В.ГАЙКОВИЧ, А.ПЕРШИН
БЕЗОПАСНОСТЬ
ЭЛЕКТРОННЫХ БАНКОВСКИХ СИСТЕМ
Москва
1993
ПРЕДИСЛОВИЕ
ВВЕДЕHИЕ
1. МЕТОДОЛОГИЯ ЗАЩИТЫ АСОИ
1.1. БЕЗОПАСНОСТЬ АСОИ. ОСНОВНЫЕ ПОНЯТИЯ
1.1.1. Что такое безопасность АСОИ
1.1.2. Два подхода к обеспечению безопасности АСОИ
1.1.3. Этапы построения системы защиты АСОИ
1.2. УГРОЗЫ БЕЗОПАСHОСТИ АСОИ
1.2.1. Классификация угроз безопасности АСОИ
1.2.2. Характеристика наиболее распространенных угроз
безопасности АСОИ
Hесанкционированный доступ
Hезаконное использование привилегий
Атаки "салями"
"Скрытые каналы"
"Маскарад"
"Сборка мусора"
"Взлом системы"
"Люки"
Вредоносные программы
"Троянский конь"
Вирус
"Червь"
"Жадные" программы
Захватчики паролей
1.2.3. Кто нарушитель ?
1.3. АHАЛИЗ РИСКА И СОСТАВЛЕHИЕ ПЛАHОВ
1.3.1. Основные этапы анализа риска
Описание компонентов АСОИ
Определение уязвимых мест АСОИ
Оценка вероятностей появления угрозы безопасности АСОИ
Оценка ожидаемых размеров потерь
Обзор возможных методов защиты и оценка их стоимости
Оценка выгоды от применения предполагаемых мер
Гарантии анализа риска
1.3.2. Планирование защиты:
Политика безопасности
Текущее состояние АСОИ
Рекомендации по реализации системы защиты
Ответственность персонала
Порядок ввода в действие средств защиты
Порядок модернизации средств защиты
1.3.3. План обеспечения непрерывной работы и восстановления
функционирования АСОИ
Резервное копирование и внешнее хранение
программ и данных (backup and oft-site storage)
Взаимопомощь (mutual aid)
"Горячий резерв"( hot site )
"Расщепленный резерв"(split site)
"Холодный резерв" (cold site)
Отсутствие действий
1.3.4. Как обеспечить выполнимость планов.
1.4. ПОЛИТИКА БЕЗОПАСHОСТИ, МОДЕЛИ И МЕХАHИЗМЫ РЕАЛИЗАЦИИ
ПОЛИТИКИ БЕЗОПАСHОСТИ
1.4.1. Политика безопасности. Модели политики безопасности
Избирательная политика безопасности
Полномочная политика безопасности
Управление информационным потоком
1.4.2. Достоверная вычислительная база
1.4.3. Механизмы защиты
1.4.4. Принципы реализации политики безопасности
1.5. ОЦЕНКА БЕЗОПАСНОСТИ СИСТЕМ
1.5.1. Основные критерии оценки безопасности систем
Система документов США
Система документов России
1.5.2. Стандарты в области криптозащиты информации
1.6. УПРАВЛЕHИЕ ЗАЩИТОЙ АСОИ
1.6.1. Принципы организации защиты и контроля функционирования
системы
1.6.2. Административная группа управления защитой
1.6.3. Опасные события и их предупреждение
Пользователи
Мониторинг функционирования АСОИ
Системный журнал
1.6.4. Устранение нарушений
Неудачные попытки проникновения
Удачные попытки проникновения.
1.6.5. Дополнительные меры контроля.
1.7. БЕЗОПАСHОСТЬ КОМПЬЮТЕРHЫХ СЕТЕЙ.
1.7.1. Модель взаимодействия открытых систем OSI/ISO:
Физический уровень
Канальный уровень
Сетевой уровень
Транспортный уровень
Протоколы верхних уровней
1.7.2. Особенности работы в сетях. Классификация сетей
1.7.3. Особенности защиты информации в сетях ЭВМ
1.7.4. Методы и механизмы защиты сетей
1.7.5. Особенности защиты различных классов сетей
1.8. ЗАКЛЮЧЕHИЕ.
2. ЭЛЕКТРОHHЫЕ ПЛАТЕЖИ: ОРГАHИЗАЦИЯ И ЗАЩИТА
2.1.ВЛИЯHИЕ ИHФОРМАЦИОHHЫХ ТЕХHОЛОГИЙ HА РАЗВИТИЕ
БАHКОВСКОЙ ИНДУСТРИИ В 90-х ГОДАХ
2.1.1. Проблемы банковской индустрии
2.1.2. Внешние и внутренние факторы
Внешние факторы
Внутренние факторы
2.1.3. Банковская индустрия: цепь приоритетов:
Привлеченные вложения
Разработка продукции
Управление активами и пассивами
Обработка транзакций
Распределение товаров и услуг
2.1.4. Стратегия развития банковской индустрии:
Принципиальные результаты
Стратегические направления деятельности
Направления развития бизнеса
2.1.5. Роль информационных технологий в деятельности
банка:
Стратегии информационных технологий и
перестройка деятельности
Разработка архитектуры компьютерной системы
банка
Системы управления информацией
Системы управления риском
Системы доставки информации и платежей
2.1.6. Выводы
2.2. АВТОМАТИЗАЦИЯ БАHКОВСКИХ ОПЕРАЦИЙ И ИХ ЗАЩИТА
2.2.1. Hеобходимость защиты банковских систем: тенденции
и факты.
2.2.2. Угрозы безопасности автоматизированных банковских систем
Особенности преступлений в финансовой сфере
2.2.3. Особенности защиты информации в электронных
банковских системах.
2.2.4. Внешний ресурс.
2.3. ЭЛЕКТРОHHЫЕ ПЛАТЕЖИ
2.3.1. Обмен электронными данными и электронные платежи
2.3.2. Торговые расчеты
2.3.3. Межбанковские расчеты
2.3.4. Основные способы межбанковских платежей
2.3.5. Общие проблемы безопасности ОЭД
2.3.6. Защита межбанковских платежей:
Система SWIFT
Архитектура системы SWIFT
Обеспечение безопасности системы SWIFT
Клиринговая система CHAPS
Архитектура системы CHAPS
Обеспечение безопасности системы CHAPS
2.4. ПЕРСОHАЛЬHЫЕ ПЛАТЕЖИ И ИХ ЗАЩИТА
2.4.1. Персональные платежи: формы организации
Домашнее (телефонное) обслуживание
Автоматические кассовые аппараты
Расчет в точке продажи
2.4.2. Персональный идентификатор
Алгоритм идентификации клиента
Генерация PIN
Альтернативы PIN
2.4.3. Обзор технологий электронных карточек
Магнитные карточки
Интеллектуальные карточки
Кредитные карточки
Состояние американского рынка кредитных карточек
Дебетовые карточки
Состояние рынка пластиковых карточек в России
Защита пластиковых карточек от подделки
Hарушения, связанные с использованием пластиковых
карточек.
2.4.4. Автоматические кассовые аппараты
Режимы работы AКА
Разделяемые сети AКА
2.4.5. Особенности расчета в точке продажи
2.4.6. Электронные чеки
2.5. ЗАКЛЮЧЕHИЕ
3. ПРОГРАММHЫЕ И АППАРАТHЫЕ СРЕДСТВА ДЛЯ АВТОМАТИЗАЦИИ
БАНКОВСКИХ СИСТЕМ
3.1. Обзор рынка аппаратных средств.
3.2. Характеристика основных фирм-производителей банковских
систем.
Tandem Computers
Digital Equipment Corporation
International Business Machine
Group Bull
Unisys Corp
NCR
3.3. HАИБОЛЕЕ ПОПУЛЯРHЫЕ МОДЕЛИ КОМПЬЮТЕРОВ, ИСПОЛЬЗУЕМЫЕ
В БАHКОВСКОЙ СФЕРЕ
3.3.1. Модели Tandem NonStop Cyclone, NonStop CIX
Аппаратное обеспечение
Операционная система
Средства связи
3.3.2. DEC VAX/VMS
Общие сведения
Операционная система
Средства связи
3.3.3. IBM AS/400
Общая характеристика
Аппаратное обеспечение
Операционная система
3.3.4. Unisys Ser. A.
Аппаратное обеспечение
Программное обеспечение
Средства связи
3.4. ПРОГРАММHОЕ ОБЕСПЕЧЕHИЕ ДЛЯ БАHКОВСКИХ СИСТЕМ.
3.4.1. Программное обеспечение для больших и средних ЭВМ
3.4.2. Программные средства для микрокомпьютеров
3.4.3. Производители программных средств автоматизации
банковской деятельности для ЭВМ различных
производителей
Фирма ACI
Фирма IBM
Фирма DEC
3.4.4. Состояние отечественного рынка систем
автоматизации банковской деятельности
3.5. ЗАКЛЮЧЕHИЕ
ПОСЛЕСЛОВИЕ
Приложение 1. Перечень нормативных и методических документов,
входящих в "Радужную серию"
Приложение 2. Глоссарий терминов теории безопасных систем
Приложение 3. Глоссарий терминов электронных банковских операций
Приложение 4. Перечень нормативных и методических документов,
разработанных Государственной технической комиссией при
Президенте Российской Федерации (по безопасности
информации в компьютерах).
СПИСОК ЛИТЕРАТУРЫ
ПРЕДИСЛОВИЕ
При создании большинства автоматизированных систем
обработки данных (АСОД) приходится решать две достаточно
противоречивые задачи. Первая из них заключается в том, чтобы
создать АСОД с минимальной стоимостью. Стоимость же создания
такого рода систем практически чаще всего прямо
пропорциональна степени использования коллективных (групповых)
ресурсов. Это означает, что с целью минимизации стоимости АСОД
целесообразно для всех ее пользователей создавать коллективный
ресурс, включающий средства хранения информации, программные и
аппаратные средства ее обработки и доступа в другие средства и
системы. Удачно выбранная организация и возможности
коллективного ресурса (емкость памяти, быстродействие
процессора, скорость передачи данных по каналам связи и т.д.)
в значительной степени снижает стоимость создания и
эксплуатации АСОД при реализации заданных требований к ее
функционированию.
Однако хранение и обработка информации с использованием
возможностей коллективного ресурса не означает, что каждому
пользователю АСОД доступны эти возможности. Доступность же
определяется теми правилами (требованиями), которые
формулируются при создании АСОД. Вот эти то правила, точнее
следование им при разделении пользователей АСОД на отдельные
классы, и вызывают к решению второй задачи, именно об
использовании каждым конечным пользователем доступного только
ему ресурса, включая и информацию.
Понятно, что повсеместная индивидуализация ресурса для
каждого пользователя АСОД (каждому конечному пользователю
доступен необходимый для его деятельности ресурс) является
хорошим решением для второй задачи, однако в значительной
степени увеличивает стоимость создания и эксплуатации АСОД.
Именно в этом смысле целевые установки первой и второй задач
находятся в противоречии.
Использование в АСОД персональных ЭВМ (ПЭВМ), а также
включение в их состав локальных вычислительных сетей сетей и
подключение к глобальным сетям усложнили постановку второй
задачи : необходимо обеспечить сохранение информации как в
памяти ПЭВМ, так и на носителях, гарантировать достоверность
передачи информации по каналам связи, обеспечить идентификацию
принимаемой информации и т.д.
Методы и средства, лежащие в основе решения второй
задачи, а также другие проблемы составляют далеко не полный
перечень под общим названием "обеспечение безопасности
компьютерных систем". Эта проблематика долгое время имела
закрытый характер (особенно в России) по разным причинам, в
том числе и в связи с тем, что изначально практически все
методы защиты информации определенным образом связывались с
семантикой закрываемой информации. Однако, по мере накопления
опыта, разработки универсальных методов, обеспечивающих те или
иные аспекты безопасности компьютерных систем, появились
первые открытые публикации. Тем не менее, по-прежнему,
обобщающего труда, в котором бы суммировался накопленный опыт
создания безопасных компьютерных систем по большинству
аспектов их функционирования, насколько известно, пока нет. В
этой связи большинство разработчиков средств защиты
компьютерных систем ориентируются на свой опыт и те отрывочные
данные, которые изредка появляются в литературе.
Актуальность создания безопасных компьютерных систем
резко возросла с началом автоматизации банковской
деятельности. Нельзя сказать, что при их создании не уделялось
внимания вопросам безопасности. Напротив, даже уровень
пяти-восьмилетней давности выглядит достаточно солидно. Однако
фактор времени и возросший профессионализм преступного мира
требует совершенствования даже солидно разработанных систем.
В смысле сформулированных выше положений и следует
рассматривать предлагаемую читателям книгу. Основная цель
представляемого в ней материала - дать достаточно обобщенное
представление о том, что собой представляет проблематика
создания безопасных компьютерных систем, в том числе (на
примере) и банковских электронных (компьютерных) систем.
Обобщение скорее касается введения в проблему и изложения
общих вопросов организации обеспечения безопасности
компьютерных систем, чем конкретных инженерных методов,
обеспечивающих необходимый уровень безопасности. Однако такой
системный подход, особенно на примере банковских систем, более
целесообразен, чем изложение существа отдельных методов по
различным аспектам обеспечения безопасности. Этим вопросам
могут быть посвящены отдельные издания.
Следует отметить одно обстоятельство, связанное с
изложением материалов книги. Основу материалов книги составили
зарубежные публикации по теоретическим и практическим вопросам
обеспечения безопасности компьютерных систем. В связи с этим
авторами заимствована не только терминология, используемая в
этих публикациях, но и сам стиль изложения, в отдельных
случаях декларативный. Однако для издания, в большей степени
рассчитанном на общее знакомство с данной проблематикой, это
вполне уместно.
Вероятнее всего эта книга не будет иметь читателя,
освоившего все три ее части. Это связано со спецификой
приводимой в ней информации. Однако, каждая из частей найдет
своего читателя.
Первая часть книги вводит читателя в проблематику
обеспечения безопасности компьютерных систем: систематически
(с нарастающим итогом) рассматриваются каналы проникновения
нарушителей к информации, возможные последствия таких
нарушений, методы оценки последствий от таких нарушений и
подходы к выбору и использованию средств защиты. Вторая
половина первой части книги посвящена изложению методологии
построения безопасных компьютерных систем с использованием уже
разработанных методов и средств защиты информации. Именно
здесь просматривается системный взгляд на создание безопасных
компьютерных систем. Эта часть книги будет полезна
администраторам безопасности и менеджерам АСОД.
Вторая часть книги, с точки зрения целевого назначения
издания, является примером реализации средств и методов защиты
компьютерных систем. Первая половина этой части вводит
читателя в существо банковских электронных систем :
рассматриваются движущие факторы развития этих систем,
основные их цели и задачи, краткий исторический экскурс их
развития и примеры наиболее распространенных систем. При этом
основной упор делается на изложении способов защиты информации
в такого рода системах. Вторая половина второй части посвящена
представлению банковских систем с более подробной
характеризацией самих методов создания безопасных компьютерных
систем. Эта часть книги будет полезна управляющему персоналу
банков для ознакомления со статистикой преступлений,
совершаемых в банковской области, статистикой применения
различным методов защиты банковских систем на примере
иностранных банков. Администраторы защиты смогут узнать из
этой части некоторые детали реализации систем безопасности
таких систем электронных платежей как SWIFT, CHAPS,
особенности организации защиты в системах персональных
электронных платежей.
В третьей части книги достаточно подробно дается обзор
аппаратно-программных средств зарубежных изготовителей,
которые используются для автоматизации банковской
деятельности. Подробный обзор аппаратных платформ и
программных средств, предлагаемых иностранными
производителями, позволит сделать обоснованный выбор средств
автоматизации учреждения.
Отечественные специалисты в данной книге найдут много
информации, которая будет полезна им как при создании
банковских систем, так и АСОД другого функционального
назначения. На наш взгляд эта книга будет также полезна,
особенно ее первая часть, руководителям тех банковских
учреждений, которые встают "на тропу автоматизации". Всегда
полезно знать, каким образом собственная информация может
стать достоянием других и что нужно сделать, чтобы этого не
случилось.
Доктор технических наук Ю.В.Гайкович
профессор
ВВЕДЕНИЕ
По мере развития и расширения сферы применения средств
вычислительной техники острота проблемы обеспечения
безопасности вычислительных систем и защиты хранящейся и
обрабатываемой в них информации от различных угроз все более
возрастает. Для этого есть целый ряд объективных причин.
Основная из них - возросший уровень доверия к
автоматизированным системам обработки информации. Им доверяют
самую ответственную работу, от качества которой зависит жизнь
и благосостояние многих людей. ЭВМ управляют технологическими
процессами на предприятиях и атомных электростанциях,
движениями самолетов и поездов, выполняют финансовые операции,
обрабатывают секретную информацию.
Сегодня проблема защиты вычислительных систем становится
еще более значительной в связи с развитием и распространением
сетей ЭВМ. Распределенные системы и системы с удаленным
доступом выдвинули на первый план вопрос защиты обрабатываемой
и передаваемой информации.
Доступность средств вычислительной техники, и прежде
всего персональных ЭВМ, привела к распространению компьютерной
грамотности в широких слоях населения. Это, в свою очередь,
вызвало многочисленные попытки вмешательства в работу
государственных и коммерческих систем, как со злым умыслом,
так и из чисто "спортивного интереса". Многие из этих попыток
имели успех и нанесли значительный урон владельцам информации
и вычислительных систем.
Поэтому понятным и естественным выглядит желание
обезопасить себя, свою информацию, секреты организации от
подобных угроз.
В немалой степени это касается разных коммерческих
структур и организаций, особенно тех, кто по роду своей
деятельности хранит и обрабатывает ценную (в денежном
выражении) информацию, затрагивающую к тому же интересы
большого количества людей.
Целостную картину всех возможностей защиты создать
довольно сложно, поскольку пока еще нет единой теории
защищенных систем. Существует много подходов и точек зрения на
методологию их построения. Тем не менее в этом направлении
прилагаются серьезные усилия, как в практическом, так и в
теоретическом плане, используются самые последние достижения
науки, привлекаются передовые технологии. Причем занимаются
этой проблемой ведущие фирмы по производству компьютеров и
программного обеспечения, крупные университеты и институты.
Известны различные варианты защиты информации - от
охранника на входе до математически выверенных способов
сокрытия данных от ознакомления. Кроме того, можно говорить о
глобальной защите и ее отдельных аспектах: защите персональных
компьютерах, сетей, баз данных и др.
Первая часть книги излагает основные составляющие теории
защиты - анализ риска, модели и механизмы, управление. Речь
пойдет о способах и средствах защиты информации в
автоматизированных системах обработки информации (АСОИ).
Подробно рассмотрен один из важнейших прикладных аспектов
теории защиты - защита сетей, а также проблемы реализации ее
общих принципов и отличительные особенности.
Необходимо отметить, что абсолютно защищенных систем нет.
Можно говорить о защите и надежности системы, во-первых, лишь
с определенной вероятностью, а во-вторых, о защите от
определенной категории нарушителей. Тем не менее почти любую
попытку проникновения в компьютерную систему можно
предусмотреть, если хорошо ее знать. Защита - это своего рода
соревнование обороны и нападения: кто больше знает и
предусматривает действенные меры - тот и выиграл.
Организация защиты АСОИ - это единый комплекс мер,
которые должны учитывать все особенности процесса обработки
информации. Несмотря на неудобства, причиняемые пользователю
во время работы, во многих случаях средства защиты могут
оказаться совершенно необходимыми для нормального
функционирования системы. К основным из упомянутых неудобств
следует отнести:
1. Дополнительные трудности работы с большинством
защищенных систем.
2. Увеличение стоимости защищенной системы.
3. Дополнительная нагрузка на системные ресурсы, что
потребует увеличения рабочего времени для выполнения одного и
того же задания в связи с замедлением доступа к данным и
выполнения операций в целом.
4. Необходимость привлечения дополнительного персонала,
отвечающего за поддержание работоспособности системы защиты.
Что же касается необходимости применения защиты, то здесь
принцип "пока гром не грянет, мужик не перекрестится"
совершенно себя не оправдывает. Порой на карту поставлено
слишком много. Информация может иметь слишком большую
ценность, чтобы рисковать ею, а непреложная истина: "кто
владеет информацией - тот владеет миром", большей частью
вполне себя оправдывает.
Надежная защита АСОИ совершенно необходима
банкам и другим крупным финансовым организациям. Более того,
им нужна тщательно спланированная и постоянно поддерживаемая
защита. Это обусловлено следующими факторами:
1. Хранимая и обрабатываемая в банковских системах
информация представляет собой реальные деньги. На основании
информации компьютера могут производится выплаты, открываться
кредиты, переводиться значительные суммы. Вполне понятно, что
незаконное манипулирование с такой информацией может привести
к серьезным убыткам.
2. Информация в банковских системах затрагивает интересы
большого количества людей и организаций - клиентов банка. Как
правило, она конфиденциальна, и банк несет ответственность за
обеспечение требуемой степени секретности перед своими
клиентами. Естественно, клиенты вправе ожидать, что банк
должен заботиться об их интересах, в противном случае он
рискует своей репутацией со всеми вытекающими отсюда
последствиями.
Современный банк трудно представить себе без
автоматизированной информационной системы. Компьютер на столе
банковского служащего уже давно превратился из игрушки или
диковинки в привычный и необходимый инструмент. Связь
компьютеров между собой и с более мощными компьютерами, а
также с ЭВМ других банков - также необходимое условие успешной
деятельности банка - слишком велико количество операций,
которые необходимо выполнить в течении короткого периода
времени.
В то же время информационные системы становятся одной из
наиболее уязвимых сторон современного банка, притягивая к себе
злоумышленников как из числа персонала банка, так и со
стороны. Оценки потерь от преступлений, связанных с
вмешательством в деятельность информационной системы банков,
очень сильно разнятся - от $170 млн. до $41 млрд. ежегодно.
Сказывается разнообразие методик для их подсчета. Средняя
банковская кража с применением электронных средств составляет
около $9.000, а один из самых громких скандалов связан с
попыткой украсть $700 млн (Первый национальный банк Чикаго).
Так нужно или не нужно защищать свои системы? Если нужно,
то как? От кого и от чего ? Сколько это будет стоить? Какую
это даст выгоду? Как вести себя в критических ситуациях?
Ответам на эти и многие другие вопросы посвящена вторая часть
книги, причем основное внимание в ней уделяется защите
электронного межбанковского взаимодействия.
Известно, как можно перевозить с собой огромные суммы
денег практически без риска быть ограбленным. Кредитные
карточки American Express, MasterCard, VISA стали привычными
во многих странах мира. Однако практическая реализация
подобных расчетов, связанные с ними проблемы обычно остаются
без внимания. Настоящая книга в своей второй части делает
попытку дать ответы на эти вопросы.
Третья часть книги содержит обзор рынка банковских систем
- как программных, так и аппаратных средств. Обзор содержит
краткие характеристики фирм-производителей компьютеров и
коммуникационного оборудования, включая исторический экскурс,
стратегию фирмы, положение на рынке, обзор основных достижений
и сведения о финансовом положении. Кроме того, здесь приведен
обзор фирм-производителей специализированных банковских
прикладных пакетов; сообщаются их основные функции; приводятся
статистические данные: объем производства, спрос,
распределение по видам продукции и аппаратным платформам, для
которых они предназначены и т.д.
В книге приводится большое количество самых разнообразных
примеров, подтверждающих выводы авторов,в том числе данные о
различных преступлениях, связанных с электронными банковскими
системами. Имеются также статистические данные, убедительно
свидетельствующие о том, что защита рынка коммерческой
информации, особенно банковской, даже в развитых странах
находится отнюдь не на должном уровне, а у нас она вообще
только зарождается. Эта книга если и не поможет вам защитить
свою конкретную систему, свои деньги и своих клиентов, то
даст, по крайней мере, возможность разобраться в проблеме и
представить себе возможные последствия.
Многие из предлагаемых рекомендаций могут показаться
достаточно очевидными (как, например, советы Дейла Карнеги).
Однако собранные воедино и соответствующим образом осмысленные
они помогут вам защитить свою АСОИ и сделать персонал
надежными помощниками, которые обезопасят Вас и Ваших клиентов
от случайных неприятностей и явных преступлений. Нам кажется,
что вашему престижу и Вашим прибылям это будет только на
пользу.
1. МЕТОДОЛОГИЯ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ
ИНФОРМАЦИИ.
1.1 Безопасность АСОИ. Основные понятия
1.1.1. Что такое безопасность АСОИ
Под безопасностью АСОИ будем понимать ее свойство,
выражающееся в способности противодействовать попыткам
нанесения ущерба владельцам и пользователям системы при
различных возмущающих (умышленных и неумышленных) воздействиях
на нее. Иными словами под безопасностью системы понимается ее
защищенность от случайного или преднамеренного вмешательства в
нормальный процесс ее функционирования, а также от попыток
хищения, модификации или разрушения ее компонентов. Следует
отметить, что природа воздействия может быть самой различной.
Это и попытки проникновения злоумышленника, и ошибки
персонала, и стихийные бедствия (ураган, пожар), и выход из
строя составных частей АСОИ.
Безопасность АСОИ достигается обеспечением
конфиденциальности обрабатываемой ею информации, а также
целостности и доступности компонентов и ресурсов системы.
Конфиденциальность информации - это свойство информации
быть известной только допущенным и прошедшим проверку
(авторизованным) субъектам системы (пользователям, программам,
процессам и т.д.). Для остальных субъектов системы эта
информация как бы не существует.
Целостность компонента (ресурса) системы - свойство
компонента (ресурса) быть неизменным (в семантическом смысле)
при функционировании системы.
Доступность компонента (ресурса) системы - свойство
компонента (ресурса) быть доступным для использования
авторизованными субъектами системы в любое время.
Обеспечение безопасности АСОИ требует применения
различных мер защитного характера. Обычно вопрос о
необходимости защиты компьютерной системы не вызывает
сомнений. Жаркие дискуссии разворачиваются при ответах на
следующие вопросы :
1. От чего надо защищать систему ?
2. Что надо защищать в самой системе ?
3. Как надо защищать систему (при помощи каких методов и
средств) ?
При выработке подходов к решению проблемы безопасности
следует всегда исходить из того, что конечной целью применения
любых мер противодействия угрозам является защиты владельца и
законных пользователей АСОИ от нанесения им материального или
морального ущерба в результате случайных или преднамеренных
воздействий на нее.
Обеспечение безопасности АСОИ в целом предполагает
создание препятствий для любого несанкционированного
вмешательства в процесс ее функционирования, а также попыток
хищения, модификации, выведения из строя или разрушения ее
компонентов. То есть защиту всех компонентов системы:
оборудования, программного обеспечения, данных и персонала. В
этом смысле, защита информации от несанкционированного доступа
является только частью общей проблемы обеспечения безопасности
АСОИ, а сам термин НСД было бы правильнее трактовать не как
"несанкционированный доступ" (к информации), а шире, - как
"несанкционированные действия".
Обычно различают внешнюю и внутреннюю безопасность АСОИ
[7]. Внешняя безопасность включает защиту АСОИ от стихийных
бедствий (пожар, наводнение и т.п.) и от проникновения
злоумышленников извне с целями хищения, получения доступа к
носителям информации или вывода системы из строя. Предметом
внутренней безопасности является обеспечение надежной и
корректной работы системы, целостности ее программ и данных.
Все усилия по обеспечению внутренней безопасности АСОИ
фокусируются на создании надежных и удобных механизмов
регламентации деятельности всех ее пользователей и
обслуживающего персонала, соблюдении установленной в
организации дисциплины прямого или косвенного доступа к
ресурсам системы и к информации.
Учитывая то обстоятельство, что основным предназначением
АСОИ является переработка (сбор, хранение, обработка и выдача)
информации, то проблема обеспечения безопасности информации
является для АСОИ центральной в ряду проблем защиты средств
вычислительной техники от стихийных бедствий и хищений,
проблем подбора и подготовки кадров, организации управления,
обеспечения живучести АСОИ, надежности их технических средств
и программного обеспечения и других. Очевидно, что все они
тесно связаны с безопасностью информации, поскольку, например,
отказ в обслуживании клиента или несвоевременное
предоставление пользователю хранящейся в АСОИ важной
информации из-за неработоспособности этой системы по своим
последствиям равноценны потере информации
(несанкционированному ее уничтожению).
В настоящее время сложилось два подхода к проблеме
обеспечения безопасности АСОИ, назовем их условно
"фрагментарный" и комплексный.
1.1.2. Два подхода к обеспечению безопасности АСОИ
"Фрагментарный" подход ориентируется на противодействие
строго определенным угрозам при определенных условиях.
Примерами реализации такого подхода являются, например,
специализированные антивирусные средства, отдельные средства
регистрации и управления, автономные средства шифрования и
т.д. Главная отличительная особенность "фрагментарного"
подхода - отсутствие единой защищенной среды обработки
информации.
Главным достоинством (и главным недостатком, ведь
недостатки - это продолжение достоинств) "фрагментарного"
подхода является его высокая избирательность относительно
конкретной угрозы, обуславливающая и основной его недостаток
локальность действия. Другими словами, фрагментарные меры
защиты обеспечивают эффективную защиту конкретных объектов
АСОИ от конкретной угрозы, но не более того. Даже небольшое
видоизменение угрозы ведет к потере эффективности защиты;
распространить действие таких мер на всю АСОИ практически
невозможно.
Особенностью комплексного подхода является создание
защищенной среды обработки информации в АСОИ, объединяющей
разнородные меры противодействия угрозам (правовые,
организационные, программно-технические). Защищенная среда
обработки информации строится на основе разработанных для
конкретной АСОИ правил обработки критической информации
(политика безопасности, см.главу 1.4.).
Организация защищенной среды обработки информации
позволяет гарантировать (в рамках разработанной политики
безопасности) уровень безопасности АСОИ. Недостатками подхода
являются высокая чувствительность к ошибкам установки и
настройки средств защиты, сложность управления, ограничения на
свободу действий пользователей АСОИ.
Комплексный подход применяют для защиты крупных АСОИ, или
небольших АСОИ, обрабатывающих дорогостоящую информацию или
выполняющих ответственные задачи. При этом способ реализации
комплексной защиты определяется спецификой АСОИ, другими
объективными и субъективными факторами.
Для всех крупных организаций характерно то, что нарушение
безопасности информации в их АСОИ может нанести огромный
материальный ущерб как самим организациям, так и их клиентам.
Поэтому эти организации вынуждены особое внимание уделять
гарантиям безопасности, что ведет к необходимости реализации
комплексной защиты.
Комплексного подхода придерживаются большинство
государственных и крупных коммерческих предприятий и
учреждений, он нашел свое отражение в различных стандартах и
целенаправленно проводится в жизнь, например, Министерством
обороны США в лице Национального Центра Компьютерной
Безопасности (National Computer Security Center;NCSC).
1.1.3. Этапы построения системы защиты
Под системой защиты АСОИ будем в дальнейшем понимать
единую совокупность правовых и морально-этических норм,
организационных (административных) мер и
программно-технических средств, направленных на
противодействие угрозам АСОИ с целью сведения до минимума
возможного ущерба пользователям и владельцам системы [9].
Основные этапы построения системы защиты приведены на
рис.1.
Ъ————————————————————ї
Ъ—>ґ Анализ возможных і
і і угроз АСОИ і
і А—————————В——————————Щ
і Ъ—————————Б——————————ї
і і Разработка системы і
Г—>ґ защиты і
і і (планирование) і
і А—————————В——————————Щ
і Ъ—————————Б——————————ї
і і Реализация системы і
Г—>ґ защиты і
і А—————————В——————————Щ
і Ъ—————————Б———————————ї
і іСопровождение системыі
і і защиты і
і А——————————В——————————Щ
А—————————————Щ
Рис.1.
Этап анализа возможных угроз АСОИ необходим для
фиксирования на определенный момент времени состояния АСОИ
(конфигурации аппаратных и программных средств, технологии
обработки информации) и определения возможных воздействий на
каждый компонент системы. Обеспечить защиту АСОИ от
всевозможных воздействий на нее невозможно, хотя бы потому,
что невозможно полностью установить перечень угроз и способов
их реализаций (см. главу 1.2). Поэтому надо выбрать из всего
множества возможных воздействий лишь те, которые могут реально
произойти и нанести серьезный ущерб владельцам и пользователям
системы. Подробнее этот этап рассмотрен в главе 1.3.
На этапе планирования формируется система защиты как
единая совокупность мер противодействия различной природы.
По способам осуществления все меры обеспечения
безопасности компьютерных систем подразделяются на: правовые
(законодательные), морально-этические, административные,
физические и технические (аппаратные и программные) [9].
К правовым мерам защиты относятся действующие в стране
законы, указы и другие нормативные акты, регламентирующие
правила обращения с информацией ограниченного использования и
ответственность за их нарушения. Этим они препятствуют
несанкционированному использованию информации и являются
сдерживающим фактором для потенциальных нарушителей.
К морально-этическим мерам противодействия относятся
всевозможные нормы поведения, которые традиционно сложились
или складываются по мере распространения ЭВМ в стране или
обществе. Эти нормы большей частью не являются обязательными,
как законодательно утвержденные, однако, их несоблюдение ведет
обычно к падению авторитета, престижа человека, группы лиц или
организации. Морально-этические нормы бывают, как неписанные
(например, общепризнанные нормы честности, патриотизма и
т.п.), так и оформленные в некий свод (устав) правил или
предписаний. Наиболее характерным примером последних является
"Кодекс профессионального поведения членов Ассоциации
пользователей ЭВМ США" [14]. В частности, считаются неэтичными
умышленные или неумышленные действия, которые:
- нарушают нормальную работу компьютерных систем;
- вызывают дополнительные неоправданные затраты ресурсов
(машинного времени, памяти, каналов связи и т.п.);
- нарушают целостность хранимой и обрабатываемой
информации;
- нарушают интересы других законных пользователей и т.д.
Административные меры защиты - это меры организационного
характера, регламентирующие процессы функционирования системы
обработки информации, использование ее ресурсов, деятельность
персонала, а также порядок взаимодействия пользователей с
системой таким образом, чтобы в наибольшей степени затруднить
или исключить возможность реализации угроз безопасности. Они
включают:
- разработку правил обработки информации в АСОИ;
- мероприятия, осуществляемые при проектировании,
строительстве и оборудовании вычислительных центров и других
объектов АСОИ (учет влияния стихии, пожаров, охрана помещений,
организация защиты от установки прослушивающей аппаратуры и
т.п.);
- мероприятия, осуществляемые при подборе и подготовке
персонала (проверка новых сотрудников, ознакомление их с
порядком работы с конфиденциальной информацией, с мерами
ответственности за нарушение правил ее обработки ; создание
условий, при которых персоналу было бы невыгодно допускать
злоупотребления и т.д.);
- организацию надежного пропускного режима;
- организацию учета, хранения, использования и
уничтожения документов и носителей с конфиденциальной
информацией;
- распределение реквизитов разграничения доступа
(паролей, профилей полномочий и т.п.);
- организацию подготовки и скрытого контроля за работой
пользователей и персонала АСОИ;
- мероприятия, осуществляемые при проектировании,
разработке, ремонте и модификациях оборудования и программного
обеспечения (сертификация используемых технических и
программных средств, строгое санкционирование, рассмотрение и
утверждение всех изменений, проверка их на удовлетворение
требованиям защиты, документальное отражение изменений и
т.п.).
Физические меры защиты - это разного рода механические,
электро- или электронно-механические устройства и сооружения,
специально предназначенные для создания физических препятствий
на возможных путях проникновения и доступа потенциальных
нарушителей к компонентам системы и защищаемой информации.
Техническими (аппаратно-программными) средствами защиты
называются различные электронные устройства и специальные
программы, которые выполняют (самостоятельно или в комплексе с
другими средствами) функции защиты (идентификацию и
аутентификацию пользователей, разграничение доступа к
ресурсам, регистрацию событий, криптографическую защиту
информации и т.д.).
Наилучшие результаты достигаются при системном подходе к
вопросам обеспечения безопасности АСОИ и комплексном
использовании различных мер защиты на всех этапах жизненного
цикла системы, начиная с самых ранних стадий ее
проектирования.
Очевидно, что в структурах с низким уровнем правопорядка,
дисциплины и этики ставить вопрос о защите информации просто
бессмысленно. Прежде всего надо решить правовые и
организационные вопросы.
Административные меры играют значительную роль в
обеспечении безопасности АСОИ. Эти меры необходимо
использовать тогда, когда другие методы и средства защиты
просто недоступны (отсутствуют или слишком дороги). Однако это
вовсе не означает, что систему защиты необходимо строить
исключительно на основе административных методов, как это
часто пытаются сделать чиновники, далекие от технического
прогресса. Этим мерам присущи серьезные недостатки, такие как:
- низкая их надежность без соответствующей поддержки со
стороны физических, технических и программных средств (люди
склонны к нарушению любых установленных правил, если только их
можно нарушить);
- применение для защиты только административного мер
обычно приводит к параличу деятельности АСОИ и всей
организации (совершенно невозможно работать не нарушая
инструкций ) из-за ряда дополнительных неудобств, связанных с
большим объемом рутинной формальной деятельности.
Административные меры надо везде, где только возможно,
заменять более надежными современными физическими и
техническими средствами. Они должны обеспечивать эффективное
применение других, более надежных методов и средств защиты в
части касающейся регламентации действий людей.
Известно не так много общих (универсальных) способов
защиты АСОИ от различных воздействий на нее. Ими являются :
- идентификация и аутентификация субъектов
(пользователей, процессов и т.д.) АСОИ;
- контроль доступа к ресурсам АСОИ;
- регистрация и анализ событий, происходящих в АСОИ;
- контроль целостности объектов АСОИ;
- шифрование данных;
- резервирование ресурсов и компонентов АСОИ.
Эти универсальные способы защиты могут применяться в
различных вариациях и совокупностях в конкретных методах и
средствах защиты.
Результатом этапа планирования является план защиты
документ, содержащий перечень защищаемых компонентов АСОИ и
возможных воздействий на них, цель защиты информации в АСОИ,
правила обработки информации в АСОИ, обеспечивающие ее защиту
от различных воздействий, а также описание разработанной
системы защиты информации.
При необходимости кроме плана защиты на этапе
планирования может быть разработан план обеспечения
непрерывной работы и восстановления функционирования АСОИ,
предусматривающий деятельность персонала и пользователей
системы по восстановлению процесса обработки информации в
случае различных стихийных бедствий и других критических
ситуаций.
Сущность этапа реализации системы защиты заключается в
установке и настройке средств защиты, необходимых для
реализации зафиксированных в плане защиты правил обработки
информации. Содержание этого этапа зависит от способа
реализации механизмов защиты в средствах защиты.
К настоящему времени сформировались два основных способа
реализации механизмов защиты.
При первом из них механизмы защиты не реализованы в
программном и аппаратном обеспечении АСОИ, либо реализована
только часть их, необходимая для обеспечения работоспособности
всей АСОИ (например, механизмы защиты памяти в
мультипользовательских системах). Защита информации при
хранении, обработке или передаче обеспечивается
дополнительными программными или аппаратными средствами, не
входящими в состав самой АСОИ. При этом средства защиты
поддерживаются внутренними механизмами АСОИ.
Такой способ получил название "добавленной" (add-on)
защиты, поскольку средства защиты являются дополнением к
основным программным и аппаратным средствам АСОИ. Подобного
подхода в обеспечении безопасности придерживается, например,
фирма IBM почти все модели ее компьютеров и ОС, от
персональных до больших машин (за исключением AS/400),
используют добавленную защиту (например пакет RACF).
Другой способ носит название "встроенной" (built-in)
защиты. Он заключается в том, что механизмы защиты являются
неотъемлемой частью АСОИ, разработанной и реализованной с
учетом определенных требований безопасности. Механизмы защиты
могут быть реализованы в виде отдельных компонентов АСОИ,
распределены по другим компонентам системы (то есть в
некотором компоненте АСОИ есть часть, отвечающая за
поддержание его защиты). При этом средства защиты составляют
единый механизм, который отвечает за обеспечение безопасности
всей АСОИ.
Этот способ использовался компанией DEC при разработке
системы VAX/VMS.
Оба способа - добавленной и встроенной защиты - имеют
свои преимущества и недостатки. Добавленная защита является
более гибкой, ее механизмы можно добавлять или удалять по мере
необходимости. Это не составит большого труда, так как они все
реализованы отдельно от других процедур системы. Однако в этом
случае остро встает вопрос поддержки работы этих механизмов
встроенными механизмами ОС, в том числе и аппаратными. В том
случае, если добавляемые средства защиты не поддерживаются
встроенными механизмами АСОИ, то они не обеспечат необходимого
уровня безопасности.
Проблемой может стать сопряжение встроенных механизмов с
добавляемыми программными средствами - довольно сложно
разработать конфигурацию механизмов защиты, их интерфейс с
добавляемыми программными средствами так, чтобы защита
охватывала всю систему целиком.
Другой проблемой является оптимальность защиты. При любой
проверке прав, назначении полномочий, разрешений доступа и
т.д. необходимо вызывать отдельную процедуру. Естественно, это
сказывается на производительности системы. Не менее важна и
проблема совместимости защиты с имеющимися программными сред-
ствами. Как правило, при добавленной защите вносятся некоторые
изменения в логику работы системы. Эти изменения могут ока-
заться неприемлемыми для некоторых прикладных программ. Такова
плата за гибкость и облегчение обслуживания средств защиты.
Основное достоинство встроенной защиты - надежность и
оптимальность. Это объясняется тем, что средства защиты и
механизмы их поддержки разрабатывались и реализовывались
одновременно с самой системой обработки информации, поэтому
взаимосвязь средств защиты с различными компонентами системы
теснее, чем при добавленной защите. Однако встроенная защита
обладает жестко фиксированным набором функций, не позволяя
расширять или сокращать их. Некоторые функции можно только
отключить.
Справедливости ради стоит отметить, что оба вида защиты в
чистом виде встречаются редко. Как правило, используются их
комбинации, что позволяет объединять достоинства и
компенсировать недостатки каждого из них.
Комплексная защита АСОИ может быть реализована как с
помощью добавленной, так и встроенной защиты.
Этап сопровождения заключается в контроле работы системы,
регистрации происходящих в ней событий, их анализе с целью
обнаружить нарушения безопасности. Подробнее этот этап описан
в главе 1.6.
В том случае, когда состав системы претерпел существенные
изменения (смена вычислительной техники, переезд в другое
здание, добавление новых устройств или программных средств),
требуется повторение описанной выше последовательности
действий.
Стоить отметить тот немаловажный факт, что обеспечение
защиты АСОИ - это итеративный процесс, завершающийся только с
завершением жизненного цикла все системы.
В последующих главах первой части книги будут подробнее
рассмотрены этапы построения системы защиты.
1.2. УГРОЗЫ БЕЗОПАСНОСТИ АСОИ
Не будет преувеличением сказать, что проблема умышленных
нарушений функционирования АСОИ различного назначения в
настоящее время является одной из самых актуальных. Наиболее
справедливо это утверждение для стран с сильно развитой
информационной инфраструктурой, о чем убедительно
свидетельствуют приводимые ниже цифры.
По данным, приведенным в [23] в 1988 году ущерб от
компьютерных преступлений составил $555 млн., 930 лет рабочего
времени и 15.3 года машинного времени. По другим данным ущерб
финансовых организаций составляет от $173 млн. до $41 млрд. в
год [32].
Неоднократно предпринимались попытки описать различные
виды воздействий на АСОИ, дать характеристику степени
опасности каждой из них и предложить меры защиты. Однако
большинство таких попыток сводилось к перечислению угроз и их
описанию. В настоящей главе приводится классификация
умышленных угроз безопасности АСОИ, их краткое описание, а
также предлагаются меры защиты. Классификация не является
исчерпывающей. Она предназначена для того, чтобы выделить
основные типы угроз и методы защиты от них.
1.2.1. Классификация угроз безопасности АСОИ
Современная АСОИ - сложный механизм, состоящий из
большого количества компонентов различной степени
автономности, связанных между собой и обменивающихся данными.
Практически каждый из них может выйти из строя или
подвергнуться внешнему воздействию.
Под угрозой безопасности понимается потенциально
возможного воздействие на АСОИ, которое может прямо или
косвенно нанести урон пользователям или владельцам АСОИ [9].
Приводимая ниже классификация охватывает только
умышленные угрозы безопасности АСОИ, оставляя в стороне таки
воздействия как стихийные бедствия, сбои и отказы оборудования
и др. Реализацию угрозы в дальнейшем будем называть атакой.
Угрозы безопасности АСОИ можно классифицировать по
следующим признакам :
1. По цели реализации угрозы. Реализация той или иной
угрозы безопасности АСОИ может преследовать следующие цели :
- нарушение конфиденциальности информации. Информация,
хранимая и обрабатываемая в АСОИ, может иметь большую ценность
для ее владельца. Ее использование другими лицами наносит
значительный ущерб интересам владельца;
- нарушение целостности информации. Потеря целостности
информации (полная или частичная, компрометация,
дезинформация) - угроза близкая к ее раскрытию. Ценная
информация может быть утрачена или обесценена путем ее
несанкционированного удаления или модификации. Ущерб от таких
действий сравним с ущербом от раскрытия информации;
- нарушение (частичное или полное) работоспособности АСОИ
(нарушение доступности). Вывод из строя или некорректное
изменение режимов работы компонентов АСОИ, их модификация или
подмена могут привести к получению неверных результатов,
отказу АСОИ от потока информации или отказам при обслуживании.
Отказ от потока информации означает непризнание одной из
взаимодействующих сторон факта передачи или приема сообщений.
Имея в виду, что такие сообщения могут содержать важные
донесения, заказы, финансовые согласования и т.п., ущерб в
этом случае может быть весьма значительным. Так как диапазон
услуг, предоставляемых современными АСОИ, весьма широк, отказ
в обслуживании может существенно повлиять на работу
пользователя.
2. По принципу воздействия на АСОИ :
- с использованием доступа субъекта системы
(пользователя, процесса) к объекту (файлу данных, каналу связи
и т.д.);
- с использованием скрытых каналов.
Под доступом*) (access) понимается взаимодействие между
субъектом и объектом (выполнение первым некоторой операции над
вторым; см. Приложение 2), приводящее к возникновению
информационного потока от второго к первому.
Под скрытым каналом (covert channel) понимается путь
передачи информации, позволяющий двум взаимодействующим
процессам обмениваться информацией таким способом, который
нарушает системную политику безопасности. Скрытые каналы
бывают двух видов:
1. Скрытые каналы с памятью (covert storage channel),
позволяющие осуществлять чтение или запись информации другого
процесса непосредственно или с помощью Достоверной
Вычислительной Базы (ДВБ, см. 1.4.2.);
2. Скрытые временные каналы (covert timing channel), при
которых один процесс может получать информацию о действиях
другого, используя интервалы между какими-либо событиями
(например, анализ временного интервала между запросом на
ввод-вывод и сообщением об окончании операции позволяет судить
о размере вводимой или выводимой информации).
——————————————————————————————
*) Определения приводятся в соответствии со стандартом
"Trusted Computer System Evaluation Criteria", известном также
под названием "Оранжевая книга" см. Приложение 2.
Коренное различие в получении информации с помощью
доступа и с помощью скрытых каналов заключается в том, что в
первом случае осуществляется взаимодействие субъекта и объекта
АСОИ и, следовательно, изменяется ее состояние. Во втором
случае используются лишь побочные эффекты от взаимодействия
субъекта и объекта АСОИ, что не оказывает влияния на состояние
системы.
Отсюда следует, что воздействие, основанное на первом
принципе, проще, более информативнее, но от него легче
защититься. Воздействие на основе второго принципа отличается
трудностью организации, меньшей информативностью и сложностью
обнаружения и устранения.
Описанные принципы воздействия могут использоваться как
самостоятельно, так и в совокупности, одним из способов,
которые описаны в п. 5.настоящей главы. Еще одно различие
между этими принципами содержится в п.6.
3. По характеру воздействия на АСОИ. По этому критерию
различают активное и пассивное воздействие.
Активное воздействие всегда связано с выполнением
пользователем каких-либо действий, выходящих за рамки его
обязанностей и нарушающих существующую политику безопасности.
Это может быть доступ к определенным наборам данных,
программам, вскрытие пароля и т.д. Активное воздействие ведет
к изменению состояния системы и может осуществляться либо с
использованием доступа (например, к наборам данных), либо как
с использованием доступа, так и с использованием скрытых
каналов.
Пассивное воздействие осуществляется путем наблюдения
пользователем каких-либо побочных эффектов (от работы
программы, например) и их анализе. На основе такого рода
анализа можно иногда получить довольно интересную информацию.
Примером пассивного воздействия может служить прослушивание
линии связи между двумя узлами сети. Пассивное воздействие
всегда связано только с нарушением конфиденциальности
информации в АСОИ, так как при нем никаких действий с
объектами и субъектами не производится. Пассивное воздействие
не ведет к изменению состояния системы.
4. По причине появления используемой ошибки защиты
Реализация любой угрозы возможна только в том случае,
если в данной конкретной системе есть какая-либо ошибка или
брешь защиты. Такая ошибка может быть обусловлена одной из
следующих причин:
1. Неадекватностью политики безопасности реальной АСОИ.
Это означает, что разработанная для данной АСОИ политика
безопасности настолько не отражает реальные аспекты обработки
информации, что становится возможным использование этого
несоответствия для выполнения несанкционированных действий.
Все системы в той или иной степени имеют несоответствия
подобного рода (модель никогда не может точно соответствовать
реальной системе), но в одних случаях это не может привести к
нарушениям, а в других - может. С другой стороны такие
действия нельзя назвать несанкционированными, поскольку защита
от них не предусмотрена политикой безопасности и система
защиты в принципе не способна их предотвратить.
Если такое несоответствие является опасным, то необходимо
разработать новую политику безопасности, в которой оно будет
не столь явным и сменить средства защиты для реализации новой
политики безопасности.
2. Ошибками административного управления, под которыми
понимается некорректная реализация или поддержка принятой
политики безопасности в данной АСОИ. Например, согласно
политике безопасности, в АСОИ должен быть запрещен доступ
пользователей к определенному набору данных, а на самом деле
(по невнимательности администратора безопасности) этот набор
данных доступен всем пользователям. Обычно на исправление
такой ошибки требуется очень мало времени, как и на ее
обнаружение, но ущерб от нее может быть огромен.
3. Ошибками в алгоритмах программ, в связях между ними и
т.д., которые возникают на этапе проектирования программы или
комплекса программ и благодаря которым их можно использовать
совсем не так, как описано в документации. Примером такой
ошибки может служить ошибка в программе аутентификации
пользователя системой VAX/VMS версии 4.5, когда при помощи
определенных действий пользователь имел возможность войти в
систему без пароля. В последующих версиях ОС VAX/VMS эта
ошибка была исправлена. Такие ошибки могут быть очень опасны,
но их трудно найти; чтобы их устранить надо менять программу
или комплекс программ.
4. Ошибками реализации алгоритмов программ (ошибки
кодирования), связей между ними и т.д., которые возникают на
этапе реализации или отладки и которые также могут служить
источником недокументированных свойств. Примером такой ошибки
являются люки (см. 1.2.3.). Подобные ошибки обнаружить труднее
всего.
5. По способу воздействия на объект атаки (при активном
воздействии):
- непосредственное воздействие на объект атаки (в том
числе с использованием привилегий), например, непосредственный
доступ к набору данных, программе, службе, каналу связи и
т.д.,воспользовавшись какой-либо ошибкой (см. п. 4.). Такие
действия обычно легко предотвратить с помощью средств контроля
доступа.
- воздействие на систему разрешений (в том числе захват
привилегий). При этом способе несанкционированные действия
выполняются относительно прав пользователей на объект атаки, а
сам доступ к объекту осуществляется потом законным образом.
Примером может служить захват привилегий (см. 1.2.3.), что
позволяет затем беспрепятственно получить доступ к любому
набору данных или программе.
- опосредованное воздействие (через других
пользователей):
- "маскарад". В этом случае пользователь присваивает себе
каким-либо образом полномочия другого пользователя выдавая
себя за него;
- "использование вслепую". При таком способе воздействия
один пользователь заставляет другого выполнить необходимые
действия (которые не для системы защиты не выглядят
несанкционированными, ведь их выполняет пользователь, имеющий
на это право), причем последний о них может и не подозревать.
Для реализации этой угрозы может использоваться вирус (вирус
выполняет необходимые действия и сообщает тому, кто его
внедрил о результате). Более подробно см. описание вирусов,
"троянских коней" и "червей" в 1.2.3.).
Два последних способа, особенно "использование вслепую",
чрезвычайно опасны. Для предотвращения подобных действий
требуется постоянный контроль как со стороны администраторов и
операторов за работой АСОИ в целом, так и со стороны
пользователей за своими собственными наборами данных.
6. По способу воздействия на АСОИ:
- в интерактивном режиме;
- в пакетном режиме.
Работая с системой, пользователь всегда имеет дело
какой-либо ее программой. Но одни программы составлены так,
что пользователь может оперативно воздействовать на ход их
выполнения, вводя различные команды или данные, а другие так,
что всю информацию приходится задавать заранее. К первым
относятся, например, интерпретаторы командных языков,
некоторые утилиты, управляющие программы баз данных и др. в
основном это программы, ориентированные на работу с
пользователем. Ко вторым относятся в основном системные и
прикладные программы, ориентированные на выполнение каких-либо
строго определенных действий без участия пользователя.
Воздействия различного рода могут производиться с
использованием обоих классов программ. При использовании
программ первого класса (например, для атаки на систему при
помощи командного интерпретатора) воздействие оказывается
более длительным по времени и, следовательно, имеет высокую
вероятность обнаружения, а также более гибким, позволяющим
оперативно менять порядок действий. Воздействие с помощью
программ второго класса (например, с помощью вирусов) является
кратковременным, трудно диагностируемым, гораздо более
опасным, но требует большой предварительной подготовки для
того, чтобы заранее предусмотреть все возможные последствия
вмешательства.
7. По объекту атаки.
Одной из самых главных составляющих нарушения
функционирования АСОИ является объект атаки, то есть компонент
АСОИ, который подвергается воздействию со стороны
злоумышленника. Определение объекта атаки позволяет принять
меры по ликвидации последствий нарушения, восстановлению этого
компонента, установку контроля по предупреждению повторных
нарушений и т.д.
Воздействию могут подвергаться следующие компоненты АСОИ:
* АСОИ в целом - злоумышленник пытается проникнуть в
систему для последующего выполнения каких-либо
несанкционированных действий. Для этого обычно используются
метод "маскарада", перехват или подделка пароля, взлом (см.
описание соответствующих нарушений в 1.2.3.) или доступ к АСОИ
через сеть.
* Объекты АСОИ - данные или программы в оперативной
памяти или на внешних носителях, сами устройства системы, как
внешние (дисководы, сетевые устройства, терминалы), так и
внутренние (оперативная память, процессор), каналы передачи
данных. Воздействие на объекты системы обычно имеет целью
доступ к их содержимому (нарушение конфиденциальности или
целостности обрабатываемой или хранимой информации) или
нарушение их функциональности ( например, заполнение всей
оперативной памяти компьютера бессмысленной информацией или
загрузка процессора компьютера задачей с неограниченным
временем исполнения (нарушение доступности АСОИ)).
* Субъекты АСОИ - процессы и подпроцессы пользователей.
Целью таких атак является либо прямое воздействие на работу
процесса - его приостановка, изменение привилегий или
характеристик (приоритета, например), либо обратное
воздействие - использование злоумышленником привилегий,
характеристик и т.д. другого процесса в своих целях. Частным
случаем такого воздействия является внедрение злоумышленником
вируса в среду другого процесса и его выполнение от имени
этого процесса. Воздействие может осуществляться на процессы
пользователей, системы, сети.
* Каналы передачи данных - пакеты данных, передаваемые по
каналу связи и сами каналы. Воздействие на пакеты данных может
рассматриваться как атака на объекты сети, воздействие на
каналы - специфический род атак, характерный для сети. к нему
относятся: прослушивание канала и анализ трафика (потока
сообщений) - нарушение конфиденциальности передаваемой
информации; подмена или модификация сообщений в каналах связи
и на узлах ретрансляторах - нарушение целостности передаваемой
информации; изменение топологии и характеристик сети, правил
коммутации и адресации - нарушение доступности сети.
Меры противодействия атакам на компоненты системы (в
частности, сети) целиком определяются характером атаки и
природой компонентов.
8. По используемым средствам атаки
Для воздействия на систему злоумышленник может
использовать стандартное программное обеспечение или
специально разработанные программы. В первом случае результаты
воздействия обычно предсказуемы, так как большинство
стандартных программ АСОИ хорошо изучены. Использование
специально разработанных программ связано с большими
трудностями, но может быть более опасным, поэтому в защищенных
системах рекомендуется не допускать добавление программ в АСОИ
без разрешения администратора безопасности системы.
9. По состоянию объекта атаки.
Состояние объекта в момент атаки может оказать
существенное влияние на результаты атаки и на работу по
ликвидации ее последствий.
Объект атаки может находиться в одном из трех состояний:
1. Хранения - на диске, магнитной ленте, в оперативной
памяти или любом другом месте в пассивном состоянии. При этом
воздействие на объект обычно осуществляется с использованием
доступа (см. п. 4.);
2. Передачи - по линии связи между узлами сети или внутри
узла. Воздействие предполагает либо доступ к фрагментам
передаваемой информации (например, перехват пакетов на
ретрансляторе сети), либо просто прослушивание с
использованием скрытых каналов;
3. Обработки - в тех ситуациях, когда объектом атаки
является процесс пользователя.
Подобная классификация показывает сложность определения
возможных угроз и способов их реализации.
Это еще подтверждает тезис, что определить все множество
угроз АСОИ и способов их реализации не представляется
возможным.
Не существует универсального способа защиты, который
предотвратил бы любую угрозу. Этот факт обуславливает
необходимость объединения различных мер защиты для обеспечения
безопасности всей АСОИ в целом.
Классификация угроз безопасности АСОИ приведена на рис.2.
Ъ—————————————————————————————————ї
і Угрозы безопасности АСОИ і
А————————————————В————————————————Щ
По цели атаки По принципу По характеру По причине появления ис-іПо способу воздействия По способу По объекту атаки По используемым По состоянию
воздействия воздействия пользуемой ошибки защитыі на объект атаки воздействия на АСОИ средствам атаки объекта атаки
Ъ————————————————————В———————————————————В—————————————————В—————————————————————————Е————————————————————В———————————————————В——————————————————В————————————————————ї
іЪ——————————————————їіЪ—————————————————їіЪ———————————————їіЪ———————————————————————їіЪ——————————————————їіЪ—————————————————їіЪ————————————————їіЪ——————————————————їіЪ——————————————————ї
іі Нарушение іііС использованием ііі Активное іііНеадекватность политикиііі Непосредственное ііі В интерактивном іііНа АСОИ в целом ііі С использованием ііі При хранении і
ГґконфиденциальностиіГґдоступа іГґ (3.1) іГґбезопасности реальной іГґ воздействие на іГґ режиме іГґ іГґ штатного ПО АСОИ іГґ объекта і
іі (1.1) ііі (2.1) ііі іііАСОИ (4.1) іііобъект атаки (5.1)ііі (6.1) ііі (7.1) ііі (8.1) ііі (9.1) і
іА——————————————————ЩіА—————————————————ЩіА———————————————ЩіА———————————————————————ЩіА——————————————————ЩіА—————————————————ЩіА————————————————ЩіА——————————————————ЩіА——————————————————Щ
іЪ——————————————————їіЪ—————————————————їіЪ———————————————їіЪ———————————————————————їіЪ——————————————————їіЪ—————————————————їіЪ————————————————їіЪ——————————————————їіЪ——————————————————ї
іі Нарушение іііС использованием ііі Пассивное ііі Ошибки управления ііі Воздействие на іііВ пакетном режимеіііНа объекты АСОИ ііі С использованием ііі При передаче і
Гґ целостности іАґскрытых каналов ііі (3.2) іГґ системой защиты іГґсистему разрешенийііі ііі іАґразработанного ПО іГґ объекта і
іі (1.2) і і (2.2) іАґ ііі (4.2) ііі (5.2) іАґ (6.2) іГґ (7.2) і і (8.2) ііі (9.2) і
іА——————————————————Щ А—————————————————Щ А———————————————ЩіА———————————————————————ЩіА——————————————————Щ А—————————————————ЩіА————————————————Щ А——————————————————ЩіА——————————————————Щ
іЪ——————————————————ї іЪ———————————————————————їіЪ——————————————————ї іЪ————————————————ї іЪ——————————————————ї
іі Нарушение і іі Ошибки проектирования ііі Опосредованное і іі На субъекты і іі При обработке і
Аґ доступности і Гґ системы защиты (4.3) іАґ воздействие і Гґ АСОИ і Аґ объекта і
і (1.3) і іі і і (5.3) і іі (7.3) і і (9.3) і
А——————————————————Щ іА———————————————————————Щ А——————————————————Щ іА————————————————Щ А——————————————————Щ
іЪ———————————————————————ї іЪ————————————————ї
іі Ошибки кодирования і іі На каналы і
Аґ (4.4) і Аґ передачи данныхі
і і і (7.4) і
А———————————————————————Щ А————————————————Щ
Рис.2.
Ниже будут подробно рассмотрены наиболее распространенные
угрозы безопасности АСОИ. Если конкретика Вас не интересует -
переходите к пункту 1.2.3.
1.2.2. Характеристика наиболее распространенных угроз
безопасности АСОИ
В предыдущем пункте была рассмотрена классификацию
возможных угроз безопасности АСОИ. Конечно не все приведенные
классы угроз являются независимыми от остальных, не для любой
угрозы можно определить, к какому виду в каждом из
перечисленных классов она принадлежит. Приведенная выше
классификация охватывает большинство основных угроз
безопасности АСОИ, которые должны найти свое место в одном или
нескольких выделенных классах.
Далее приведено более подробное описание угроз, с
которыми наиболее часто приходится сталкиваться
администраторам безопасности. Многие из них уже были описаны в
литературе, как в отечественной, так и зарубежной (см.,
например [2],[11],[14],[34],[47]), однако для полноты картины
приведем здесь описание некоторых из них, не разбирая подробно
теоретические, технические или организационные ошибки,
приводящие к подобным нарушениям, поскольку это тема
отдельного разговора. Мы также не будем останавливаться на
описании нарушений, связанных со спецификой обработки
информации в сети ЭВМ, так как для этого необходимо
предварительное подробное рассмотрение организации самой сети.
Предметом нашего внимания будут в основном последствия, к
которым может привести реализация угроз, и советы, как следует
от них защититься.
Для каждой из угроз будем определять ее класс, согласно
приведенному в предыдущем пункте перечню (с одно- и
двухзначной нумерацией).
Несанкционированный доступ
Несанкционированный доступ (НСД, unauthorized access) -
наиболее распространенный вид компьютерных нарушений. Он
заключается в получении пользователем доступа к объекту, на
который у него нет разрешения в соответствии с принятой в
организации политики безопасности. Обычно самая главная
проблема определить, кто и к каким наборам данных должен иметь
доступ, а кто нет. Другими словами, необходимо определить
термин "несанкционированный".
По характеру воздействия НСД (класс 2.1.) является
активным воздействием (класс 3.1.), использующим любую ошибку
из перечисленных для класса 4. НСД относится обычно
непосредственно к требуемому набору данных (класс 5.1.), либо
воздействует на информацию о санкционированном доступе с целью
легализации НСД (класс 5.2.). НСД может быть подвержен любой
объект системы (класс 7.2.). НСД может быть осуществлен как
стандартными, так и специально разработанными программными
средствами (класс 8)и (класс 8.1.) к объектам в любом
состоянии (класс 9).
Методика реализации НСД в значительной мере зависит от
организации обработки информации в АСОИ, разработанной для
АСОИ политики безопасности, возможностей установленных средств
защиты, а также добросовестности администратора и оператора.
Для реализации НСД существует два способа:
Во-первых, можно преодолеть систему защиты, то есть путем
различных воздействий на нее прекратить ее действия в
отношении себя или своих программ. Это сложно, трудоемко и не
всегда возможно, зато эффективно.
Во-вторых, можно понаблюдать за тем, что "плохо лежит",
то есть какие наборы данных, представляющие интерес для
злоумышленника, открыты для доступа по недосмотру или умыслу
администратора. Такой доступ, хотя и с некоторой натяжкой,
тоже можно назвать несанкционированным, его легко осуществить,
но от него легко и защититься.
В подавляющем большинстве случаев НСД становится
возможным из-за непродуманного выбора средств защиты, их
некорректной установке и настройке, контроле работы, а также
при небрежном отношении к защите своих собственных данных.
Незаконное использование привилегий
Злоумышленники, применяющие данный способ атаки, обычно
используют штатное программное обеспечение (системное или
прикладное), функционирующее в нештатном режиме. Практически
любая защищенная система содержит средства, используемые в
чрезвычайных ситуациях или средства, которые способны
функционировать с нарушением существующей политики
безопасности. В некоторых случаях пользователь должен иметь
возможность доступа ко всем наборам системы (например, при
внезапной проверке).
Такие средства необходимы, но они могут быть чрезвычайно
опасными. Обычно эти средства используются администраторами,
операторами, системными программистами и другими
пользователями, выполняющими специальные функции.
Для того, чтобы уменьшить риск от применения таких
средств большинство систем защиты реализует такие функции с
помощью набора привилегий - для выполнения определенной
функции требуется определенная привилегия. В этом случае
каждый пользователь получает свой набор привилегий, обычные
пользователи - минимальный, администраторы - максимальный (в
соответствии с принципом минимума привилегий). Наборы
привилегий каждого пользователя являются его атрибутами и
охраняются системой защиты. Несанкционированный захват
привилегий приведет, таким образом, к возможности
несанкционированного выполнения определенной функции. Это
может быть НСД (частный случай), запуск определенных программ
и даже реконфигурация системы.
Естественно, при таких условиях расширенный набор
привилегий - заветная мечта любого злоумышленника. Он позволит
ему совершать практически любые действия, причем, возможно,
даже в обход всех мер контроля. Нарушения, совершаемые с
помощью незаконного использования привилегий, являются
активным воздействием (класс 3.1.), использующим любую ошибку
в классе 4, совершаемым с целью доступа (класс 2.1.) к
какому-либо объекту (класс 7.2.), субъекту (класс 7.3.) или
системе в целом (класс 7.1.).
Незаконный захват привилегий возможен либо при наличии
ошибок в самой системе защиты (что, например, оказалось
возможным в одной из версий UNIX), либо в случае халатности
при управлении системой и привилегиями в частности (например,
при назначении расширенного набора привилегий всем подряд).
Строгое соблюдение правил управления системой защиты,
соблюдение принципа минимума привилегий позволят избежать
таких нарушений.
Атаки "салями"
Атаки "салями" (salami attack) более всего характерны для
систем, обрабатывающих денежные счета и, следовательно,
наибольшую опасность такие нарушения представляют для банков.
Принцип атак "салями" построен на том факте, что при обработке
счетов используются целые единицы (центы, рубли, копейки), а
при исчислении процентов нередко получаются дробные суммы [14].
Например, 6.5% годовых от $102.87 за 31 день составит
$0.5495726. Любая банковская система округлит эту сумму до
$0.55. Однако если пользователь имеет доступ к банковским
счетам или программам их обработки, он может округлить ее в
другую сторону - до $0.54, а разницу в 1 цент записать на свой
счет. Владелец счета вряд ли ее заметит, а если и обратит
внимание, то спишет ее на погрешности обработки и не придаст
значения. Злоумышленник же получит прибыль в один цент, при
обработке 10.000 счетов в день (а в некоторых банках и
больше). Его прибыль таким образом составит $100, т.е. около
$30.000 в год. Имеет смысл копить по центу!
Отсюда и происходит название таких атак - как колбаса
салями изготавливается из небольших частей разных сортов мяса,
так и счет злоумышленника пополняется за счет различных
вкладчиков. Естественно, такие атаки имеют смысл лишь в тех
организациях, где дневной "доход" злоумышленника составляет
$50 - $100 (то есть 5.000 - 10.000 транзакций в день), иначе
не имеет смысла рисковать. Таким образом, атаки "салями"
опасны в основном для крупных банков и других финансовых
организаций.
Причинами атак "салями" являются, во-первых, погрешности
вычислений, позволяющие трактовать правила округления в ту или
иную сторону, а во-вторых, огромные объемы вычислений,
необходимые для обработки счетов. Отметим, что "успех" таких
атак зависит не столько от величины обрабатываемых сумм,
сколько от количества счетов (для любого счета погрешность
обработки одинакова). Атаки "салями" достаточно трудно
распознаются, если только злоумышленник не начинает
накапливать на одном счете миллионы. Предотвратить такие атаки
можно только обеспечением целостности и корректности
прикладных программ, обрабатывающих счета, разграничением
доступа пользователей АСОИ к счетам, а также постоянным
контролем счетов на предмет утечки сумм.
"Скрытые каналы"
"Скрытые каналы" (covert channels) - пути передачи
информации между процессами системы, нарушающие системную
политику безопасности (см. Приложение 2). В среде с
разделением доступа к информации пользователь может не
получить разрешение на обработку интересующих его данных,
однако может придумать для этого обходные пути. Практически
любое действие в системе каким-то образом затрагивает другие
ее элементы, которые при этом могут изменять свое состояние.
При достаточной наблюдательности и знании этих связей можно
восстановить первопричину события хотя бы частично.
"Скрытые каналы" могут быть реализованы различными
путями, в частности при помощи программных закладок
("троянских коней").
Например, программист банка не всегда имеет доступ к
именам и балансам депозитных счетов. Программист системы,
предназначенной для обработки ценных бумаг, может не иметь
доступ к предложениям о покупке или продаже. Однако при
создании таких систем он может предусмотреть способ получения
интересующих его сведений. В этом случае программа скрытым
способом устанавливает канал связи с этим программистом и
сообщает ему требуемые сведения.
Атаки с использованием скрытых каналов (класс 2.2.)
обычно приводят к нарушениям конфиденциальности информации в
АСОИ (класс 1.1.), по характеру воздействия являются
пассивными (класс 3.2.): нарушение состоит только в передаче
информации. Для организации "скрытых каналов" может
использоваться как штатное программное (класс 8.1.)
обеспечение, так и специально разработанные программы (класс
8.2.). Атака обычно производится программным способом (класс
6.2.).
Примером активизации "скрытых каналов" может служить,
например, итоговый отчет, в котором вместо слова "TOTAL"
используется слово "TOTALS" - программист решил, что при
определенных условиях, которые может распознать его программа,
должна происходить замена слов. Подобными "скрытыми каналами"
могут стать число пробелов между двумя словами, значение
третьей или четвертой цифры после запятой в какой-нибудь дроби
(на которые никто не обращает внимания) и т.д. "Скрытым
каналом" может явиться и передача информации о наличии или
отсутствии какого-либо набора данных, его размере, дате
создания или модификации и т.д.
Также существует большое количество способов организации
связи между двумя процессами системы, более того, многие
операционные системы имеют в своем распоряжении такие
средства, так как они очень часто облегчают работу
программистов и пользователей. Проблема заключается в том, что
очень трудно отделить неразрешенные "скрытые каналы" от
разрешенных, то есть тех, которые не запрещаются системной
политикой безопасности. В конечном счете все определяется
ущербом, который может принести организация "скрытых каналов".
Отличительными особенностями "скрытых каналов" является
их малая пропускная способность (по ним обычно можно
передавать только небольшое количество информации), большие
трудности их организации и обычно небольшой наносимый ими
ущерб [47]. Более того, он вообще бывает незаметен, поэтому
специальные меры защиты против "скрытых каналов" предпринимают
довольно редко. Если же это все-таки необходимо, придется
разрабатывать полномочную политику безопасности (см. 1.4.1.).
"Маскарад"
Под "маскарадом" (masquerade) понимается выполнение
каких-либо действий одним пользователем АСОИ от имени другого
пользователя. При этом такие действия другому пользователю
могут быть разрешены. Нарушение заключается в присвоении прав
и привилегий.
Такие нарушения также называются симуляцией или
моделированием. Цель "маскарада" - сокрытие каких-либо
действий за именем другого пользователя или присвоение прав и
привилегий другого пользователя для доступа к его наборам
данных или для использования его привилегий.
"Маскарад" - это способ активного (класс 3.1.) нарушения
защиты системы, он является опосредованным воздействием (класс
5.3.), то есть воздействием, совершенным с использованием
возможностей других пользователей.
Примером "маскарада" может служить вход в систему под
именем и паролем другого пользователя, при этом система не
сможет распознать нарушение. В этом случае "маскараду" обычно
предшествует взлом системы или перехват пароля (см. ниже).
Другой пример "маскарада" - присвоение имени другого
пользователя в процессе работы. Это может быть сделано с
помощью средств операционной системы (некоторые операционные
системы позволяют изменять идентификатор пользователя в
процессе работы) или с помощью программы, которая в
определенном месте может изменить определенные данные, в
результате чего пользователь получит другое имя. В этом случае
"маскараду" может предшествовать захват привилегий (класс
7.3.), или он может быть осуществлен с использованием
какой-либо ошибки в системе (класс 5).
"Маскарадом" также называют передачу сообщений в сети от
имени другого пользователя. Способы замены идентификатора
могут быть разные, обычно они определяются ошибками и
особенностями сетевых протоколов. Тем не менее на приемном
узле такое сообщение будет воспринято, как корректное, что
может привести к серьезным нарушениям работы сети. Особенно
это касается управляющих сообщений, изменяющих конфигурацию
сети, или сообщений, ведущих к выполнению привилегированных
операций.
Наиболее опасен "маскарад" в банковских системах
электронных платежей, где неправильная идентификация клиента
может привести к огромным убыткам. Особенно это касается
платежей с помощью электронных банковских карт. Сам по себе
метод идентификации с помощью персонального идентификатора
(Personal Identification Number; PIN) достаточно надежен,
нарушения могут происходить вследствие ошибок его
использования. Это произойдет, например, в случае утери
кредитной карты, при использовании очевидного идентификатора
(своего имени, ключевого слова и т.д.). Поэтому клиентам надо
строго соблюдать все рекомендации банка по выполнению такого
рода платежей.
"Маскарад" является достаточно серьезным нарушением,
которое может привести к тяжелым последствиям, таким как
изменение конфигурации системы (сети), утечка информации,
нарушения работы АСОИ. Для предотвращения "маскарада"
необходимо использовать надежные методы идентификации и
аутентификации, блокировку попыток взлома системы, контроль
входов в нее. Также необходимо фиксировать все события,
которые могут свидетельствовать о "маскараде", в системном
журнале для его последующего анализа. Также желательно не
использовать программные продукты, содержащие ошибки, которые
могут привести к "маскараду".
"Сборка мусора"
После окончания работы обрабатываемая информация не
всегда полностью удаляется из памяти. Часть данных может
оставаться в оперативной памяти, на дисках и лентах, других
носителях. Данные хранятся на носителе до перезаписи или
уничтожения; при выполнении этих действий на освободившемся
пространстве диска находятся их остатки. Хотя при искажении
заголовка файла их прочитать трудно, однако, используя
специальные программы и оборудование, все же возможно. Такой
процесс принято называть "сборкой мусора" (disk scavenging,
garbage collecting). Он может привести к утечке важной
информации.
"Сборка мусора" - активное (класс 3.1.), непосредственное
(класс 5.1.) воздействие на объекты АСОИ (класс 7.2.) при их
хранении (класс 9.1.) с использованием доступа (класс 2.1.).
Это воздействие может привести к нарушению конфиденциальности
информации (класс 1.1.).
Для защиты от "сборки мусора" используются специальные
механизмы, которые могут быть реализованы в операционной
системе и/или аппаратуре компьютера или в дополнительных
программных (аппаратных) средствах. Примерами таких механизмов
являются стирающий образец и метка полноты.
- стирающий образец (erasure pattern) - это некоторая
последовательность битов, записываемая на место, освобождаемое
файлом. Менеджер или администратор безопасности АСОИ может
автоматически активизировать запись этой последовательности
при каждом освобождении участка памяти, при этом стираемые
данные уничтожаются логически и никто не сможет без применения
специальной аппаратуры восстановить затертую информацию.
- метка полноты (highwater marking) предотвращает чтение
участков памяти, отведенных процессу для записи, но не
использованных им. Верхняя граница адресов использованной
памяти и есть метка полноты. Этот способ используется для
защиты последовательных файлов исключительного доступа
(результирующие файлы редакторов, компиляторов, компоновщиков
т.д.). Для индексных и разделяемых последовательных файлов
этот метод называется "стирание при размещении", память
очищается при выделении ее процессу. Контроль метки полноты
обычно всегда включен по умолчанию.
"Взлом системы"
Под "взломом системы" (break-in) понимают умышленное
проникновение в систему с несанкционированными параметрами
входа, то есть именем пользователя и его паролем (паролями).
"Взлом системы" - умышленное (класс 8.3.), активное
(класс 3.1.) воздействие на систему в целом (класс 7.1.).
Возможность взлома может быть обусловлена любой из ошибок,
перечисленных в классе 4, кроме 4.1. "Взлом системы" обычно
происходит в интерактивном режиме (класс 6.1.).
Поскольку имя пользователя не является секретом, объектом
"охоты" обычно становится пароль. Способы вскрытия пароля
могут быть различны: перебор возможных паролей, "маскарад"
(см. выше) с использованием пароля другого пользователя,
захват привилегий (см. выше). Кроме того, "взлом системы"
можно осуществить, используя ошибки программы входа (см.
1.2.1. подпункт 4).
Таким образом, основную нагрузку на защиту системы от
"взлома" несет программа входа. Алгоритм ввода имени и пароля,
их шифрование (при необходимости), правила хранения и смены
паролей не должны содержать ошибок. Противостоять "взлому
системы" также поможет например, ограничение количества
попыток неправильного ввода пароля, с последующей блокировкой
терминала и уведомлением оператора в случае нарушения.
Кроме того, оператор должен постоянно контролировать
активных пользователей системы: их имена, характер работы,
время входа и выхода и т.д. Такие действия помогут
своевременно установить факт "взлома" и позволят предпринять
необходимые действия.
"Люки"
"Люк" (trapdoor) - это скрытая, недокументированная точка
входа в программный модуль. "Люк" вставляется в программу
обычно на этапе отладки для облегчения работы: данный модуль
можно будет вызывать в разных местах, что позволяет отлаживать
отдельные его части независимо. Кроме того, "люк" может
вставляться на этапе разработки для последующей связи данного
модуля с другими, но затем, в результате изменившихся условий
данная точка входа оказывается ненужной.
Наличие "люка" позволяет вызывать программу нестандартным
образом, что может серьезно сказаться на состоянии системы
защиты (неизвестно, как в таком случае программа будет
воспринимать данные, среду системы и т.д.). Кроме того, в
таких ситуациях не всегда можно прогнозировать ее поведение.
"Люк" относится к категории угроз, возникающих вследствие
ошибок реализации какого-либо проекта (АСОИ в целом, комплекса
программ и т.д.) - класс 4.4. Поскольку использование "люков"
может быть самым разным и зависит от самой программы,
классифицировать данную угрозу как-либо еще затруднительно.
"Люки" могут оказаться в программах по следующим
причинам:
- их забыли убрать;
- для использования при дальнейшей отладке;
- для обеспечения поддержки готовой программы;
- для реализации тайного контроля доступа к данной
программе после ее установки.
Первый из перечисленных случаев - ненамеренный промах,
который может привести к бреши в системе защиты. Два следующих
случая - серьезные испытания для системы безопасности, с
которыми она может и не справится. Четвертый случай может
стать первым шагом преднамеренного проникновения с
использованием данной программы.
Отметим, что программная ошибка "люком" не является.
"Люк" - это достаточно широко используемый механизм
отладки, корректировки и поддержки программ. Люк становится
опасным, если он не замечен, оставлен и не предпринималось
никаких мер по контролю за ним.
Большая опасность "люков", особенно в программах
операционной системы, компенсируется высокой сложностью их
обнаружения. Если не знать заранее, что данная программа
содержит "люк", необходимо обработать килобайты (а иногда и
мегабайты) информации, чтобы найти его. Понятно, что почти
всегда это нереально. Поэтому в большинстве случаев
обнаружение "люков" - результат случайного поиска. Защита от
них может быть только одна - не допускать появления "люков" в
программе, а при приемке программных продуктов, разработанных
третьими производителями - проводить анализ исходных текстов
программ с целью обнаружения "люков".
Вредоносные программы
В последнее время участились случаи воздействия на
вычислительную систему при помощи специально созданных
программ. В работе [6] для обозначения всех программ такого
рода был предложен термин "вредоносные программы".
Под вредоносными программами в дальнейшем будем понимать
такие программы, которые прямо или косвенно дезорганизуют
процесс обработки информации или способствуют утечке или
искажению информации. Ниже мы рассмотрим некоторые (самые
распространенные) виды подобных программ: "троянский конь",
вирус, "червь","жадная" программа, "захватчик паролей".
"ТРОЯНСКИЙ КОНЬ"(Trojan Horse) - программа, выполняющая в
дополнение к основным (проектным и документированным)
дополнительные, но не описанные в документации действия.
Аналогия с древнегреческим "троянским конем" таким образом
вполне оправдана - и в том и другом случае в не вызывающей
подозрений оболочке таится угроза. Программы такого типа
являются серьезной угрозой безопасности АСОИ.
По характеру угрозы "троянский конь" относится к активным
(класс 3.1.) угрозам, реализуемым программными средствами,
работающими в пакетном режиме (класс 6.2.). Он может угрожать
любому объекту АСОИ, причем эта угроза может выражаться любым
из способов, перечисленных в классе 5. Наиболее опасным
является опосредованное воздействие, при котором "троянский
конь" действует в рамках полномочий одного пользователя, но в
интересах другого пользователя, установить которого порой
невозможно.
Опасность "троянского коня" заключается в дополнительном
блоке команд, тем или иным образом вставленном в исходную
безвредную программу, которая затем предлагается (дарится,
продается, подменяется) пользователям АСОИ. Этот блок команд
может срабатывать при наступлении некоторого условия (даты,
времени и т.д., либо по команде извне). Запустивший такую
программу подвергает опасности как себя и свои файлы, так и
всю АСОИ в целом.
Наиболее опасные действия "троянский конь" может
выполнять, если запустивший ее пользователь обладает
расширенным набором привилегий. В этом случае злоумышленник,
составивший и внедривший "троянского коня", и сам этими
привилегиями не обладающий, может выполнить
несанкционированные привилегированные функции чужими руками.
Или, например, злоумышленника очень интересуют наборы данных
пользователя, запустившего такую программу. Последний может
даже не обладать расширенным набором привилегий - это не
помешает выполнению несанкционированных действий.
"Троянский конь" - одна из наиболее опасных угроз
безопасности АСОИ. Радикальным способом защиты от этой угрозы
является создание замкнутой среды исполнения программ.
Желательно также, чтобы привилегированные и
непривилегированные пользователи работали с разными
экземплярами прикладных программ, которые должны храниться и
защищаться индивидуально. При соблюдении этих мер вероятность
внедрения программ подобного рода будет достаточно низкой.
ВИРУС (computer virus) - это программа, которая может
заражать другие программы путем включения в них своей,
возможно модифицированной, копии, причем последняя сохраняет
способность к дальнейшему размножению [26].
Это исторически первое определение вируса. Хотя с той
поры прошло много времени (более 5 лет) и многие делали
попытки дать четкое определение вируса - до сих пор его
все-таки не существует. Дело в том, что все предлагаемые
определения характеризуют не столько сущность вируса, сколько
его различные свойства, которые позволяют либо обнаружить
вирус, либо защититься от его воздействия.
На наш взгляд, вирус может быть охарактеризован двумя
основными особенностями :
- способностью к самовоспроизведению. Это свойство
означает, что за время своего существования на компьютере
вирус должен хотя бы один раз воспроизвести свою копию на
долговременном носителе;
- способностью к вмешательству (получению управления) в
вычислительный процесс. Это свойство является аналогом
"паразитирования" в живой природе, которое свойственно
биологическим вирусам.
И то и другое свойство являются определяющим - при
отсутствии хотя бы одного из них вирус существовать не может.
Это определение не имеет прикладной направленности. Из
него невозможно сделать вывод, каким образом следует
защититься от воздействия вирусов.
Как и "троянские кони" вирусы относятся к активным (класс
3.1.) программным средствам (класс 6.2.). Они могут угрожать
любому объекту системы различными способами, перечисленными
для класса 5.
Классификация вирусов, используемые ими методы заражения,
способы борьбы с ними достаточно хорошо изучены и описаны
(см., например,[2],[11]). В последние несколько лет эта
проблема в нашей стране стала особенно актуальной, поэтому
очень многие занимаются ею. Мы остановимся здесь только на
некоторых аспектах проблемы вирусов.
Во-первых, проблема защиты от вирусов может
рассматриваться с двух сторон: как самостоятельная проблема и
как одна из сторон проблемы общей защиты АСОИ. И тот, и другой
подходы имеют свои отличительные особенности и,
соответственно, свои собственные методы решения проблемы.
Заметим, что пока ни тот, ни другой путь пока не привел к
успеху.
Во-вторых, в последнее время удалось более или менее
ограничить масштабы заражений и разрушений. Тут сыграли свою
роль и превентивные меры, и новые антивирусные средства, и
пропаганда всех этих мер.
Вообще говоря проблема вирусов может стать тем толчком,
который приведет к новому осмыслению как концепций защиты, так
и принципов автоматизированной обработки информации в целом.
"ЧЕРВЬ"(worm) - программа, распространяющаяся через сеть
и не оставляющая своей копии на магнитном носителе. "Червь"
использует механизмы поддержки сети для определения узла,
который может быть заражен. Затем с помощью тех же механизмов
передает свое тело или его часть на этот узел и либо
активизируется, либо ждет для этого подходящих условий.
Наиболее известный представитель этого класса - вирус
Морриса (или, вернее, "червь Морриса"), поразивший сеть
Internet в 1988 г. Наиболее подходящей средой распространения
"червя" является сеть, все пользователи которой считаются
дружественными и доверяют друг другу. Отсутствие защитных
механизмов как нельзя больше способствует уязвимости сети.
Самый лучший способ защиты от "червя" - принять меры
предосторожности против несанкционированного доступа к сети.
Вообще же сетевые нарушения и способы защиты от них - тема
главы 1.7.
Таким образом, как вирусы, так "троянские кони" и "черви"
на сегодняшний день являются одной из самых опасных угроз
АСОИ. Для защиты от этих разновидностей вредоносных программ
необходимо создание замкнутой среды исполнения программ,
разграничение доступа к исполняемым файлам, контроль
целостности исполняемых файлов и системных областей,
тестирование приобретаемых программных средств.
"ЖАДНЫЕ" ПРОГРАММЫ (greedy program) - это программы,
которые при выполнении стремятся монополизировать какой-либо
ресурс системы, не давая другим программам возможности
использовать его. Доступ таких программ (классы 2.1., 6.2.) к
ресурсам системы обычно приводит к нарушению ее доступности
(класс 1.3.). Естественно, такая атака будет активным (класс
3.1.) вмешательством в работу системы. Непосредственной атаке
(класс 5.1.) обычно подвергаются объекты системы (класс 7.2.):
процессор, оперативная память, устройства ввода-вывода.
Многие компьютеры, особенно в исследовательских центрах,
имеют фоновые программы, выполняющиеся с низким приоритетом.
Они обычно производят большой объем вычислений, а результаты
их работы требуются не так часто. Однако при повышении
приоритета такая программа может блокировать все остальные.
Такая программа и будет "жадной".
Тупиковая ситуация возникает, когда "жадная" программа
бесконечна (например, исполняет заведомо бесконечный цикл).
Однако во многих операционных системах существует возможность
ограничения времени процессора, используемого задачей. Это не
относится к операциям, выполняющимся в зависимости от других
программ, например, к операциям ввода-вывода, которые
завершаются асинхронно к основной программе; время их
выполнения не включается в счет времени программы.
Перехватывая асинхронное сообщение о завершении операции
ввода-вывода и посылая вновь запрос на новый ввод-вывод, можно
добиться по-настоящему бесконечной программы. Такие атаки
называют также асинхронными.
Другой пример "жадной" программы - программа,
захватывающая слишком большую область оперативной памяти. В
оперативной памяти последовательно размещаются данные,
например подкачиваемые с внешнего носителя. В конце концов
память может оказаться во владении одной программы, и
выполнение других окажется невозможным.
Обычно "жадные" программы осуществляют захват одного из
трех основных ресурсов системы: времени процессора,
оперативной памяти, каналов ввода-вывода. Однако возможен
захват и любых других ресурсов системы: блокирование ее
работы, или же использование побочного результата деятельности
какой-либо программы (например, вируса). Бороться с захватом
ресурсов можно путем введения различных ограничений для
выполняемых программ (на время процессора, на количество
операций ввода-вывода, на разрешенный объем оперативной памяти
и т.д.), а также постоянным операторским контролем за их
соблюдением.
ЗАХВАТЧИКИ ПАРОЛЕЙ (password grabber). Это программы
специально предназначенные воровства паролей. Они выводят на
экран терминала (друг за другом) : пустой экран, экран,
появляющийся после крушения системы или сигнализирующий об
окончании сеанса работы. При попытке входа имитируется ввод
имени и пароля, которые пересылаются владельцу
программы-захватчика, после чего выводится сообщение об ошибке
ввода и управление возвращается операционной системе.
Пользователь, думающий, что допустил ошибку при наборе пароля,
повторяет вход и получает доступ к системе. Однако его имя и
пароль уже известны владельцу программы-захватчика. Перехват
пароля может осуществляться и другим способом - с помощью
воздействия на программу, управляющую входом пользователей в
систему и ее наборы данных.
Захват пароля является активным (класс 3.1.),
непосредственным воздействием на АСОИ в целом (класс 7.1.).
Для предотвращения этой угрозы, перед входом в систему
необходимо убедиться, что вы вводите имя и пароль именно
системной программе входа, а не какой-то другой. Кроме того,
необходимо неукоснительно придерживаться правил использования
паролей и работы с системой. Большинство нарушений происходят
не из-за хитроумных атак, а из-за элементарной небрежности.
Не покидайте рабочее место, не выйдя из системы.
Постоянно проверяйте сообщения о дате и времени последнего
входа и количестве ошибочных входов. Эти простые действия
помогут избежать захвата пароля.
Кроме описанных выше, существуют и другие возможности
компрометации пароля. Не записывайте команды, содержащие
пароль, в командные процедуры, старайтесь избегать явного
объявления пароля при запросе доступа по сети; эти ситуации
можно отследить и захватить пароль. Не используйте один и тот
же пароль для доступа к разным узлам.
Соблюдение правил использования паролей - необходимое
условие надежной защиты.
1.2.3. Кто нарушитель ?
Преступления, в том числе и компьютерные, совершаются
людьми. Большинство систем не может нормально функционировать
без участия человека. Пользователь системы, с одной стороны,
ее необходимый элемент, а с другой - он же является причиной и
движущей силой нарушения или преступления. Вопросы
безопасности систем (компьютерных в том числе), таким образом,
большей частью есть вопросы человеческих отношений и
человеческого поведения.
При анализе нарушений защиты большое внимание следует
уделять не только самому факту, как таковому (то есть объекту
нарушения), но и личности нарушителя, то есть субъекту
нарушения. Такое внимание поможет разобраться в побудительных
мотивах и, может быть,даст возможность избежать в дальнейшем
повторения подобных ситуаций. Ценность такого анализа
обуславливается еще и тем, что совершаемые без причины
преступления (речь сейчас не идет о халатности) очень и очень
редки. Исследовав причину преступлений или нарушений можно
либо повлиять на саму причину (если это возможно), либо
ориентировать систему защиты именно на такие виды преступлений
или нарушений.
Итак, кто же может стать источником нарушения? И почему
нарушение было совершено? Прежде всего, кто бы ни был
источником нарушения, какое бы оно не было, все нарушители
имеют одну общую черту - доступ к системе. Доступ может быть
разным, с разными правами, к разным частям системы, через
сеть, но он должен быть.
По данным Datapro Information Services Group [32] 81.7%
нарушений совершаются самими служащими организации, имеющими
доступ к ее системе, и только 17.3% нарушений совершаются
лицами со стороны (1% приходится на случайных лиц). По другим
данным, физическое разрушение составляет около 25% нарушений
(пожар, наводнение, порча) и только 1-2% составляют нарушения
со стороны посторонних лиц. На долю служащих, таким образом,
остается 73-74% всех преступлений. Различаясь в цифрах,
результаты обоих исследований говорят об одном: главный
источник нарушений - внутри самой АСОИ. И вывод отсюда также
однозначен: неважно, есть ли у вашей АСОИ связи с внешним
миром и есть ли внешняя защита, но внутренняя защита должна
быть обязательно!
Каковы же причины нарушений защиты АСОИ ? Можно выделить
три основные причины нарушений : безответственность,
самоутверждение и корыстный интерес пользователей (персонала)
АСОИ.
При нарушениях, вызванных безответственностью,
пользователь целенаправленно или случайно производит
какие-либо разрушающие действия, не связанные тем не менее со
злым умыслом. В большинстве случаев это следствие
некомпетентности или небрежности. Маловероятно, чтобы
разработчики системы защиты могли предусмотреть все такие
ситуации. Более того, во многих случаях система в принципе не
может предотвратить подобные нарушения (например, случайное
уничтожение своего собственного набора данных). Иногда ошибки
поддержки адекватной защищенной среды могут поощрять такого
рода нарушения. Даже лучшая система защиты будет
скомпрометирована, если она неграмотно настроена. Наряду с
неподготовленностью пользователей к точному соблюдению мер
защиты, это обстоятельство может сделать систему уязвимой к
этому виду нарушений.
Некоторые пользователи считают получение доступа к
системным наборам данных крупным успехом, затевая своего рода
игру "пользователь - против системы" ради самоутверждения либо
в собственных глазах, либо в глазах коллег. Хотя намерения
могут быть и безвредными, эксплуатация ресурсов АСОИ считается
нарушением политики безопасности. Пользователи с более
серьезными намерениями могут найти конфиденциальные данные,
попытаться испортить или уничтожить их при этом. Большинство
систем имеет ряд средств противодействия подобным "шалостям".
В случае необходимости администратор защиты использует их
временно или постоянно. Такой вид нарушения называется
зондированием системы.
Нарушение безопасности АСОИ может быть вызвано и
корыстным интересом пользователя системы. В этом случае он
будет целенаправленно пытаться преодолеть систему защиты для
доступа к хранимой, передаваемой и обрабатываемой в АСОИ
информации. Даже если АСОИ имеет средства, делающие такое
проникновение чрезвычайно сложным, полностью защитить ее от
проникновения практически невозможно. Тот, кому успешно
удалось проникновение - очень квалифицирован и опасен.
Проникновение - опаснейший вид нарушений, правда, он
встречается чрезвычайно редко, так как требуют необычайного
мастерства и упорства.
Как показывает практика, ущерб от каждого вида нарушений
обратно пропорционален его частоте: чаще всего встречаются
нарушения, вызванные халатностью и безответственностью, обычно
ущерб от них незначителен и легко восполняется. Например,
случайно уничтоженный набор данных можно восстановить, если
сразу заметить ошибку. Если информация имеет важное значение,
то необходимо хранить регулярно обновляемую резервную копию,
тогда ущерб вообще практически незаметен.
Ущерб от зондирования системы может быть гораздо больше,
но и вероятность его во много раз ниже. Для таких действий
необходима достаточно высокая квалификация, отличное знание
системы защиты и определенные психологические особенности.
Наиболее характерным результатом зондирования системы является
блокировка: пользователь в конце концов вводит АСОИ в
состояние неразрешимого противоречия; после чего операторы и
системные программисты должны тратить много времени для
восстановления работоспособности системы. Скандал с вирусом
Морриса в сети Internet тоже был результатом зондирования
системы, в данном случае ущерб исчислялся миллионами.
Проникновение - наиболее редкий вид нарушений, но и
наиболее опасный. Отличительной чертой проникновений обычно
является определенная цель: доступ (чтение, модификация,
уничтожение) к определенной информации, влияние на
работоспособность системы, слежение за действиями других
пользователей и др. Для выполнения подобных действий
нарушитель должен обладать теми же качествами, что и для
зондирования системы, только в усиленном варианте, а также
иметь точно сформулированную цель. В силу этих обстоятельств
ущерб от проникновений может оказаться в принципе
невосполнимым. Например, для банков это может быть полная или
частичная модификация счетов с уничтожением журнала
транзакций.
Таким образом, для организации надежной защиты необходимо
четко отдавать себе отчет, от каких именно нарушений важнее
всего избавиться. Для защиты от нарушений, вызванных
халатностью нужна минимальная защита, для защиты от
зондирования системы - более жесткая и самая жесткая вместе с
постоянным контролем - от проникновений. Целью таких действий
должно служить одно - обеспечение работоспособности АСОИ в
целом и ее системы защиты в частности.
Причины, побудившие пользователя совершить нарушение или
даже преступление, могут быть совершенно различными. Как уже
отмечалось около 86% нарушений составляют неумышленные ошибки,
вызванные небрежностью, недостаточной компетентностью,
безответственностью и т.д. Но не вовсе это составляет основную
угрозу для системы. Гораздо более серьезным может быть ущерб,
нанесенный в результате умышленного воздействия из-за обиды,
неудовлетворенности своим служебным или материальным
положением или по указанию других лиц. Причем ущерб этот будет
тем больше, чем выше положение пользователя в служебной
иерархии. Это только некоторые из возможных причин,
побуждающих пользователей идти на нарушение правил работы с
системой.
Способы предотвращения нарушений вытекают из природы
побудительных мотивов - это соответствующая подготовка
пользователей, а также поддержание здорового рабочего климата
в коллективе, подбор персонала, своевременное обнаружение
потенциальных злоумышленников и принятие соответствующих мер.
Первая из них - задача администрации системы, вторая -
психолога и всего коллектива в целом. Только в случае
сочетания этих мер имеется возможность не исправлять нарушения
и не расследовать преступления, а предотвращать саму их
причину.
При создании модели нарушителя и оценке риска потерь от
действий персонала необходимо дифференцировать всех
сотрудников по их возможностям доступа к системе и,
следовательно, по потенциальному ущербу от каждой категории
пользователей. Например, оператор или программист
автоматизированной банковской системы может нанести
несравненно больший ущерб, чем обычный пользователь, тем более
непрофессионал. Ниже привидится примерный список персонала
типичной АСОИ и соответствующая степень риска от каждого из
них [32].
1. Наибольший риск:
- системный контролер;
- администратор безопасности.
2. Повышенный риск:
- оператор системы;
- оператор ввода и подготовки данных;
- менеджер обработки;
- системный программист.
3. Средний риск:
- инженер системы;
- менеджер программного обеспечения.
4. Ограниченный риск:
- прикладной программист;
- инженер или оператор по связи;
- администратор баз данных;
- инженер по оборудованию;
- оператор периферийного оборудования;
- библиотекарь системных магнитных носителей;
- пользователь-программист;
- пользователь-операционист.
5. Низкий риск:
- инженер по периферийному оборудованию;
- библиотекарь магнитных носителей пользователей.
Каждый из перечисленных выше пользователей в соответствии
со своей категорией риска может нанести больший или меньший
ущерб системе. Однако пользователи различных категорий
различаются не только по степени риска, но и по тому, какому
элементу системы они угрожают больше всего. Ниже приводится
таблица, в строках которой перечислены приведенные выше
категории пользователей, а в столбцах - наиболее уязвимые
элементы системы. Таблица показывает, какова степень риска
данной категории пользователей относительно данного элемента
системы.
Таблица 1
Ъ——————————————————————————В—————————————————————————————————————————ї
і і Элементы АСОИ і
і Г——————В——————В——————В——————В——————В——————ґ
і і I і II і III і IV і V і VI і
Г——————————————————————————Е——————Е——————Е——————Е——————Е——————Е——————ґ
і \ виды ущерба і і і і і і і
ікатегории \ іA B C іA B C іA B C іA B C іA B C іA B C і
іпользователей \ і і і і і і і
Г——————————————————————————Е——————Е——————Е——————Е——————Е——————Е——————ґ
ібиблиотекарь системных і і і і 4 4 і 3 3 і 3 3 і
і магнитных носителей і і і і і і і
ібиблиотекарь магнитных і і і і 2 2 і 1 1 і і
і носителей пользователейі і і і і і і
іпользователь-операционист і2 2 2 і 1 1 і і2 2 2 і 1 1 і і
іоператор системы і1 5 5 і 5 5 і 5 5 і1 3 3 і і і
іоператор периферийного і і і і 3 3 і 4 4 і 1 1 і
і оборудования і і і і і і і
іоператор заданий і і і і 3 3 і 4 4 і і
іоператор ввода и і3 3 3 і 4 4 і 5 5 і3 3 3 і 4 4 і 1 5 і
і подготовки данных і і і і і і і
іменеджер обработки і1 5 5 і 5 5 і 5 5 і1 3 3 і 4 4 і 1 5 і
іадминистратор баз данных і3 3 3 і і і3 3 3 і і і
ісистемный программист і 5 5 і 5 5 і5 5 5 і і і5 1 5 і
іприкладной программист і1 1 1 і2 2 2 і і і2 2 2 і і
іпользователь-программист і1 1 1 і2 2 2 і і і2 2 2 і і
іменеджер программного і1 1 1 і4 4 4 і і і4 4 4 і і
і обеспечения і і і і і і і
іинженер/оператор по связи і 5 5 і і і і і і
іинженер системы і і і2 2 2 і і і і
іадминистратор безопасностиі5 5 5 і5 5 5 і5 5 5 і3 3 3 і4 4 4 і5 5 5 і
ісистемный контролер і5 5 5 і5 5 5 і5 5 5 і5 5 5 і5 5 5 і5 5 5 і
А——————————————————————————Б——————Б——————Б——————Б——————Б——————Б——————Щ
Уязвимые компоненты системы:
I - внутренние данные
II - внутренние прикладные программы
III - внутренние системные модули
IV - внешние данные
V - внешние системные модули
VI - элементы компьютера и др. аппаратура.
Здесь внутренние данные, прикладные программы и системные
модули - данные, прикладные программы и системные модули,
расположенные в оперативной памяти.
Виды угроз:
A - модификация,
B - разрушение,
C - компрометация (раскрытие) информации.
Степень угрозы:
пробел - нет воздействия,
1 - до 20%,
2 - до 40%,
3 - до 60%,
4 - до 80%,
5 - до 100%.
___________________________________
Источник: Datapro Reports on Information Security,
vol.1-3, 1990-93.
Приведенная таблица составлена на основе опыта
эксплуатации АСОИ различного назначения. Как видно из нее,
различные категории пользователей могут по-разному
воздействовать на разные части АСОИ. Эти тонкости полезно
учитывать как при проектировании системы, так и при ее
эксплуатации.
Безусловно как сведения из Таблицы 1, так и приведенные
выше категорирование персонала системы по степени риска не
следует воспринимать как догму. Просто при анализе
собственных АСОИ составьте подобную таблицу для облегчения
всей дальнейшей работы.
Из всего вышеизложенного может создаться впечатление, что
работа на современных компьютерах чуть ли не невозможна вообще
из-за различных угроз, поджидающих пользователей на каждом
углу.
На самом деле такой вывод также неверен, как и вывод,
вытекающий из благодушия и чрезмерного оптимизма: "все это
так, но со мной все равно ничего не произойдет". Произойдет, и
очень скоро.
В отношении к возможным нарушениям следует придерживаться
принципа, который давно доказал свою состоятельность во многих
областях - "золотой середины". Так например, существует
вероятность ядерного инцидента (хотя она и уменьшилась во
много раз), но очень мало людей стремятся обезопасить себя,
строя бомбоубежища, запасаясь продуктами и водой, так как эта
вероятность слишком мала. В то же время, каждый человек
стремится обезопасить свою квартиру, машину, сбережения -
вероятность реализации угрозы значительна, да и ущерб может
быть ощутимым.
При организации защиты АСОИ следует учитывать следующие
обстоятельства: вероятность реализации (осуществления) данного
типа угрозы и потенциальный ущерб, нанесенный пользователям и
владельцам АСОИ в том случае, если угроза осуществится
(включающий также затраты на защиту от нее).
Предпринимаемые меры защиты должны быть адекватны
вероятности осуществления и степени угрозы, то есть
обеспечивать оптимальную защиту от нее. Этот момент является
основополагающим при организации любой защиты: конкретные меры
должны определяться в процессе анализа воздействий на АСОИ.
Таким образом, только комплексный анализ угроз и степени
защищенности АСОИ может обеспечить вам относительную
безопасность.
1.3. АНАЛИЗ РИСКА И СОСТАВЛЕНИЕ ПЛАНОВ
Риск есть стоимостное выражение вероятностного события,
ведущего к потерям [3]. Покупка лотерейного билета - одна из
форм риска, хотя большинство людей думают об этом как о
небольшой потере против (также маловероятного) шанса на
крупный выигрыш. Хождение по улицам, вождение автомобиля, даже
еда - все имеет некоторую степень риска. Каждый человек
просчитывает (часто подсознательно) степень риска в каждом
конкретном случае и решает как ему поступить.
Для оценки степени риска при том или ином варианте
действий применяются различные методики. В зарубежной
литературе они получили название "анализ риска" (risk
analysis). Анализ риска применяется к самым различным
операциям. Например, при выдаче кредита специалисты банка
оценивают риск его невозврата заемщиком. Оценив величину
степени риска можно принять меры, направленные на ее
уменьшение (например, опечатав на складе заемщика
высоколиквидный товар).
Мы будем использовать анализ риска для выбора наиболее
реальных угроз АСОИ и целесообразных способов защиты от них.
Для чего нужен анализ риска в этой области?
1. Для повышения осведомленности персонала. Обсуждение
вопросов защиты АСОИ может поднять уровень интереса к этой
проблеме среди сотрудников, что приведет к более точному
выполнению требований инструкций.
2. Для определения сильных и слабых сторон существующих и
предлагаемых мер защиты. Многие организации не имеют полной
информации о своей АСОИ и ее слабых сторонах. Систематический
анализ дает всестороннюю информацию о состоянии аппаратного и
программного обеспечения АСОИ и степени риска потери
(искажения, утечки) информации при ее обработке и хранении в
электронном виде.
3. Для подготовки и принятия решения по выбору мер и
средств защиты. Защита снижает производительность АСОИ, внося
при этом известные неудобства в работу пользователей.
Некоторые меры защиты слишком сложны и дороги и их применение
не может быть оправдано теми функциями, которые они выполняют.
В то же время существуют настолько серьезные виды угроз, что
поиск и разработка новых, более эффективных методов и средств
защиты от них является просто необходимыми. В обоих случаях
степень риска определяет уровень и масштаб применяемых средств
защиты.
4. Для определения затрат на защиту. Некоторые механизмы
защиты требуют довольно больших ресурсов и их работа скрыта от
пользователей. Анализ риска может помочь определить самые
главные требования к системе защиты АСОИ. При этом всегда
необходимо помнить, что чем меньше затраты на защиту, тем выше
возможность потери информации и нарушения работоспособности
АСОИ.
1.3.1. Основные этапы анализа риска
Анализ риска - это процесс получения количественной или
качественной оценки ущерба, который может произойти в случае
реализации угрозы безопасности АСОИ.
Ниже рассматриваются основные этапы, проводимые при
анализе риска безопасности АСОИ. Они могут в отдельных случаях
корректироваться в зависимости от конкретных условий анализа:
1. Описание компонентов АСОИ.
2. Определение уязвимых мест АСОИ.
3. Оценка вероятностей проявления угроз безопасности
АСОИ.
4. Оценка ожидаемых размеров потерь.
5. Обзор возможных методов защиты и оценка их стоимости.
6. Оценка выгоды от применения предполагаемых мер.
Рассмотрим эти этапы подробнее.
Описание компонентов АСОИ
Все компоненты АСОИ можно разбить на следующие категории:
- оборудование - ЭВМ и их составные части ( процессоры,
мониторы, терминалы, рабочие станции), периферийные устройства
(дисководы, лентопротяжные устройства, принтеры, кабели,
контроллеры, линии связи) и т.д.;
- программное обеспечение - исходные, объектные,
загрузочные модули, приобретенные программы, "домашние"
разработки, утилиты, операционные системы и системные
программы (компиляторы, компоновщики и др.), диагностические
программы и т.д.;
- данные - временные, хранимые постоянно, на магнитных
носителях, печатные, архивы, системные журналы и т.д.;
- сотрудники - пользователи и обслуживающий персонал.
Кроме компонентов АСОИ необходимо четко описать
технологию обработки информации в защищаемой АСОИ.
В результате этого этапа необходимо зафиксировать
состояние АСОИ как совокупности различных компонентов и
технологии обработки информации. Все дальнейшие этапы анализа
риска производятся именно с этой, зафиксированной на некоторый
момент времени, системой.
Определение уязвимых мест АСОИ
Для всех категорий компонентов АСОИ из перечисленных в
предыдущем пункте необходимо определить, какие опасности могут
угрожать каждой из них и что может быть их причиной.
Рассмотрим примеры опасных воздействий, которые могут
привести к нарушению конфиденциальности, целостности и
доступности определенных компонентов и ресурсов АСОИ :
1. Стихийные бедствия.
Пожар, ураган, наводнение, отключение энергии и т.д.
2. Внешние воздействия.
Подключение к сети, интерактивная работа, воздействие
хакеров;
3. Преднамеренные нарушения.
Действия обиженных служащих, взяточников, любопытных
посетителей, конкурентов и т.д.
4. Неумышленные ошибки
Ввод ошибочной команды, данных, использование неисправных
устройств, носителей, а также пренебрежение некоторыми
правилами безопасности.
В таблице 2 приведены примеры видов угроз безопасности
АСОИ, которые могут появиться в результате стихийного
бедствия, внешнего воздействия, преднамеренного вторжения в
систему, неумышленной ошибки или какой-либо другой причины.
Таблица дает общую картину того, что может произойти с
системой; разные специфические обстоятельства необходимо
рассматривать дополнительно.
Таблица 2
ЙННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННННН»
є Основные пути реализации угроз безопасности є
МННННННННННННННННЛНННННННННННННННННННННННННННННННННННННННННННННННН№
є Виды є Объекты воздействий є
є угроз З——————————————В———————————В——————————В——————————¶
є є Оборудование і Программы і Данные і Персонал є
МННННННННННННННННОННННННННННННННШНННННННННННШННННННННННШНННННННННН№
є Раскрытие є хищение і несанкц. і хищение, і передача є
є (утечка) є носителей, і копирова- і копиро- і сведений є
є информации є подключение, і ние, і вание, і о защите,є
є є несанкционир.і перехват і перехват і разглаше-є
є є использованиеі і і ние, ха- є
є є ресурсов і і і латность є
З————————————————Ч——————————————Е———————————Е——————————Е——————————¶
є Потеря є подключение, і внедрение іискажение,і вербовка,є
є целостности є модификация, і "троянскихімодифика- і подкуп є
є информации є спц.вложения,і коней" и іция іперсонала,є
є є изм.режимов, і "жучков" і і"маскарад"є
є є несанкционир.і і і є
є є использованиеі і і є
є є ресурсов і і і є
З————————————————Ч——————————————Е———————————Е——————————Е——————————¶
є Нарушение є изменения і искажение,і удаление,і уход, є
є работоспособ- є режимов, і удаление, і искажениеі физическ.є
є ности системы є вывод из і подмена і і устранен.є
є є строя, і і і є
є є разрушение і і і є
ИННННННННННННННННКННННННННННННННПНННННННННННПННННННННННПННННННННННј
Источник : Защита информации в локальных вычислительных
сетях. Информационные материалы SafeWare Group [9].
Оценка вероятностей проявления угроз безопасности АСОИ
Третий этап анализа риска определяет, как часто может
проявиться каждая из угроз безопасности АСОИ. В некоторых
случаях вообще невозможно численно оценить появление той или
иной угрозы, однако для большинства случаев такая оценка все
же возможна.
Приведем некоторые методы оценки вероятностей проявления
угроз.
1. Эмпирическая оценка количества проявлений угрозы за
некоторый период времени. Как правило, этот метод применяется
для оценки вероятности стихийных бедствий. Невозможно
предсказать возникновение, например, пожара в определенном
здании, поэтому в таких случаях целесообразно накапливать
массив данных об исследуемом событии. Так например, в среднем
за год пожар уничтожит некоторое количество зданий; средний
ущерб составит $X. Кроме того, также можно получать данные об
обманах со стороны сотрудников, коррупции и т.д. Такой анализ
обычно неточен, поскольку использует лишь частичные данные о
событии, но тем не менее в некоторых случаях таким путем можно
получить приемлемые результаты.
2. Непосредственная регистрация событий. Обычно этот
метод применяется для оценки вероятности часто проявляющихся
событий (попытки входа в систему, доступ к определенному
объекту и т.д.).
3. Оценка частоты проявления угрозы по таблице. Некоторые
методы анализа риска позволяют оценить вероятность появления
каких либо событий по специальной таблице, выбирая один из
коэффициентов (например, по таблице 3). Полнота анализа
зависит от качества метода вычисления коэффициентов проявления
данного события. Таким образом, оценка вероятности события
производится не с помощью безосновательного выбора числа, а на
основе системы коэффициентов, которая имеют некоторую
методологическую основу.
Таблица 3
Ъ———————————————————————————————В—————————————ї
і Частота проявления і Коэффициент і
Г———————————————————————————————Е—————————————ґ
і Более чем раз в день і 10 і
і Один раз в день і 9 і
і Один раз в три дня і 8 і
і Один раз в неделю і 7 і
і Один раз в две недели і 6 і
і Один раз в месяц і 5 і
і Один раз в четыре месяца і 4 і
і Один раз в год і 3 і
і Один раз в три года і 2 і
і Менее чем один раз в три года і 1 і
А———————————————————————————————Б—————————————Щ
4. Метод "Дельфийский оракул". С помощью этого метода
каждый конкретный коэффициент выводится из частоты появления
определенного события. Эти частоты накапливаются и
преобразуются в коэффициенты; они могут быть изменены на
основе новых данных. После серии испытаний все значения
коэффициентов собирают, и если они приемлемы, то одно из них
(лучшее в смысле некоторого выбранного критерия) оставляют. В
противном случае анализируется методика получения оценок и
производится новая серия испытаний.
Оценка ожидаемых размеров потерь
Определение потерь в результате реализации любой из угроз
безопасности - следующий этап анализа риска. Как и оценка
частоты реализации различных угроз, определение потерь также
трудно поддается расчету. Например, стоимость замены
аппаратного или программного обеспечения АСОИ оценивается
достаточно просто. Однако существует много случаев
(восстановление данных или программ), когда это сопряжено с
большими трудностями.
Многие данные нуждаются в защите по вполне объяснимым
причинам. Защищать необходимо личные данные (страховые полисы,
счета, медицинская информация), коммерческую информацию
(технологические, финансовые и другие секреты). Однако при
этом трудно оценить величину потерь при искажении, потере этих
данных, либо при невозможности получить данные в требуемое
время.
Ответы на приведенные ниже вопросы полезно использовать
при оценке величины ожидаемых потерь, при анализе различных
способов реализации угроз. Они, конечно, не дадут полную
картину, но могут облегчить оценку возможного ущерба.
1. Каковы Ваши обязательства по сохранению
конфиденциальности и целостности тех или иных данных?
2. Может ли компрометация этих данных привести к
несчастному случаю? Существует ли реальная возможность такого
события?
3. Может ли несанкционированный доступ к этим данным
послужить причиной потерь в будущем (упущенная возможность в
бизнесе)? Может ли этот случай послужить Вашим соперникам
(конкурентам)? Каковы возможные потери от этого?
4. Каков может быть психологический эффект потери?
Возможные затруднения? Кредитоспособность? Потеря клиентуры?
5. Каково значение доступа к этим данным? Может ли
обработка этих данных быть отложена? Могут ли эти вычислений
быть выполнены где-нибудь еще? Сколько Вы можете заплатить за
обработку этих данных в другом месте?
6. Каково для Вас значение несанкционированного доступа
конкурентов к Вашим данным? Насколько заинтересованы ваши
соперники (конкуренты) в этих данных?
7. Какие проблемы могут возникнуть при утере Ваших
данных? Могут ли они быть восстановлены? Каков объем работ по
восстановлению? Сколько это будет стоить ?
Как уже отмечалось выше, оценка потерь достаточно сложна.
Более того, уязвимость вычислительных систем часто оказывается
выше ожидаемой. Поэтому реалистичные оценки потенциального
ущерба могут послужить основой для разработки системы защиты и
определить область наиболее пристального внимания.
Обзор возможных методов защиты и оценка их стоимости
Для уменьшения размера ущерба необходимо применение
(совершенствование) различных мер защиты АСОИ
(организационных, программно-технических и др).
Защита от проявления той или иной угрозы может быть
реализована различными способами. Например, защитить
информацию на жестком диске ПЭВМ от ознакомления можно
следующими способами :
- организовать контроль за доступом в помещение, в
котором установлена ПЭВМ
- назначить ответственных за использование ПЭВМ;
- шифровать информацию на диске;
- использовать системы разграничения доступа.
Для каждого из этих способов определяются такие
характеристики, как стоимость и эффективность. Стоимость
метода защиты имеет абсолютное значение, выраженное в денежных
единицах, затраченных на его реализацию и сопровождение. При
оценке стоимости метода необходимо учитывать не только прямые
(закупка оборудования, обучение персонала и т.д.), но и
косвенные затраты (замедление работы системы, нарушение
устоявшейся технологии обработки информации и т.д)
Эффективность метода - это его способность противостоять
угрозам определенного класса. Отметим, что получить реальное
значение эффективности очень трудно, и в большинстве случаев
эта характеристика определяется эмпирически.
Оценка выгоды от применения предполагаемых мер
На последнем этапе анализа риска производится оценка
реальных затрат и выигрыша от применения предполагаемых мер
защиты. Величина выигрыша может иметь как положительное, так и
отрицательное значение. В первом случае это означает, что
использование системы защиты приносит очевидный выигрыш, а во
втором - лишь дополнительные расходы на обеспечение
собственной безопасности.
Сущность этого этапа заключается в анализе различных
вариантов построения системы защиты и выборе оптимального из
них по некоторому критерию (обычно по наилучшему соотношению
"эффективность/стоимость").
Приведем пример:
Необходимо оценить выгоду при защите информации от
раскрытия или обработки на основе некорректных данных в
течении одного года.
Величину ущерба от реализации этих угроз оценим в
$1.000.000 (C). Предположим, предварительный анализ показал,
что в среднем, эта ситуация встречается один раз в десять лет
(P=0.1).
Тогда стоимость потерь для данной угрозы (CP) составит:
CP = C * P = $1.000.000 * 0.1 = $100.000
Далее зададимся эффективностью методов защиты. Для
данного абстрактного случая предположим, что в результате
экспертной оценки методов защиты было получено значение 60 %
(EM) (в шести случаях из десяти защита срабатывает), тогда :
EM = 60% * CP = $60.000
Затраты на реализацию этих методов (закупка средств
защиты, обучение персонала, изменение технологии обработки
информации, зарплата персоналу и т.д.) составили (CM) $25.000.
Тогда величина выгоды равна:
PR = EM - CM = $60.000 - $25.000 = $35.000
В рассмотренном случае величина выгоды имеет
положительное значение, что говорит о целесообразности
применения выбранных методов защиты.
Анализ риска также позволяет вам экспериментировать с
некоторой моделью АСОИ для того, чтобы выяснить, какие из
имеющихся методов защиты наиболее эффективны для сохранения
работоспособности системы и конфиденциальности обрабатываемой
в ней информации.
Гарантии анализа риска
Анализ риска - хорошо известный инструмент планирования,
широко используемый в практике управления. Тем не менее,
иногда выдвигаются аргументы против его использования.
Рассмотрим основные из них.
1. НЕТОЧНОСТЬ. Многие значения, получаемые в процессе
анализа ( вероятность появления событий, стоимость ущерба) не
отличаются высокой точностью. Однако существуют различные
методы для получения приемлемых приближений этих значений.
В то же время, анализ риска - это инструмент
планирования. Основная его задача - определить уровень
возможных потерь. Например, можно ошибиться в частоте
появления некоторого события - один раз в год или один раз в
три года, но мы по крайней мере будем уверены, что оно вряд ли
будет происходить каждую неделю. Анализ риска определяет
эффективный уровень затрат на защиту, особенно в условиях
ограниченных финансов.
Кроме того, излишняя точность может оказаться ненужной.
Например, совершенно неважно, составят ли ожидаемые потери
$150.000 или $100.000, важно, что они будут много больше чем
$20.000. Стремление к излишней точности в таких случаях только
увеличение время анализа, требует дополнительных затрат.
2. БЫСТРАЯ ИЗМЕНЯЕМОСТЬ Анализ риска актуален лишь в
течение определенного промежутка времени. Потом может
изменится состав системы, внешние условия и т.д. и придется
проводить новый анализ. В идеале анализ риска для собственной
АСОИ рекомендуется проводить ежегодно.
Важный момент в ежегодном исследовании - учет всех
имеющих отношение к делу изменений, происшедших за истекший
год. При этом некоторые факторы могли не учитываться в прошлом
году, а некоторые могли потерять актуальность.
3. ОТСУТСТВИЕ НАУЧНОЙ БАЗЫ.Почти все методики проведения
анализа риска основывается на положениях теории вероятностей и
математической статистики, в чем вы убедитесь, если решите
провести такой анализ сами.
1.3.2. Составление плана защиты
После того, как были определены угрозы безопасности АСОИ,
от которых будет производится защита и выбраны меры защиты,
требуется составить ряд документов, отражающих решение
администрации АСОИ по созданию системы защиты. Это решение
конкретизируется в нескольких планах : плане защиты и плане
обеспечения непрерывной работы и восстановления
функционирования АСОИ.
План защиты (security plan) - это документ, определяющий
реализацию системы защиты организации и необходимый в
повседневной работе. Он необходим :
1. Для определения общих правил обработки информации в
АСОИ, целей построения и функционирования системы защиты и
подготовки сотрудников.
2. Для фиксирования на некоторый момент времени состава
АСОИ, технологии обработки информации, средств защиты
информации.
3. Для определения должностных обязанностей сотрудников
организации по защите информации и ответственности за их
соблюдение.
План представляет собой организационный фундамент, на
котором строится все здание системы защиты. Он нуждается в
регулярном пересмотре и, если необходимо, изменении.
План защиты обычно содержит следующие группы сведений:
1. Политика безопасности.
2. Текущее состояние системы.
3. Рекомендации по реализации системы защиты.
4. Ответственность персонала.
5. Порядок ввода в действие средств защиты.
6. Порядок пересмотра плана и состава средств защиты.
Рассмотрим подробнее эти группы сведений.
Политика безопасности
В этом разделе должен быть определен набор законов,
правил и практических рекомендаций, на основе которых строится
управление, защита и распределение критичной информации в
АСОИ. Раздел должен содержать:
1. Цели, преследуемые реализацией системы защиты в
вычислительной системе (например, защита данных компании от
несанкционированного доступа, защита от утери данных и др.).
2. Меры ответственности средств защиты и нижний уровень
гарантированной защиты (например, в работе небольших групп
защищенных компьютеров, в обязанностях каждого из служащих и
др.).
3. Обязательства и санкции, связанные с защитой
(например,штрафы, персональная ответственность и др.).
Текущее состояние АСОИ
В процессе проведения анализа риска должна быть
сформирована основа для определения необходимых мер защиты. В
частности, следует определить, что именно относится к АСОИ
(оборудование, программы, данные, персонал и т.д.) и что
нуждается в защите. Далее необходимо составить список
возможных на ваш взгляд способов реализации угроз работе
системы, роль и место средств защиты для предотвращения
кризисных ситуаций.
В этом разделе плана фиксируется порядок формирования и
обработки данных в защищаемой АСОИ. Как отмечалось выше,
наиболее сложным этапом анализа риска является определение
частоты появления возможных угроз системе. Поскольку
использование различных методов оценки может влиять на
точность результатов, все они должны быть отражены в данном
пункте плана.
Наконец, этот пункт должен содержать сведения о действиях
средств защиты в случае возникновения непредусмотренных
ситуаций, которые могут возникнуть при вводе в действие новой
техники, программ, данных или из-за ошибок в планировании. При
этом необходимо также предусмотреть, каким образом
существующая система защиты может быть адаптирована к
возникающим новым ситуациям.
Рекомендации по реализации системы защиты
Всесторонний анализ риска должен определять размеры
наибольших возможных потерь, независимо от вероятности
появления соответствующих событий; размеры наибольших
ожидаемых потерь; меры, предпринимаемые в случае критических
ситуаций, а также стоимость таких мер. Эти результаты
используются при определении зон особого контроля и
распределении средств для обеспечения защиты. В этом случае
план защиты должен содержать рекомендации, какие средства
контроля лучше всего использовать в чрезвычайных ситуациях (то
есть имеющих наибольшую эффективность) и какие лучше всего
соответствовали бы средствам контроля повседневной работы.
Некоторые ситуации могут приводить к слишком большому
ущербу (например, крушение системы), а стоимость средств
защиты от них может быть слишком высока или эти средства
окажутся неэффективны. В этом случае лучше не учитывать такие
ситуации при планировании защиты, хотя их и возникающие при
этом возможные последствия следует отразить в плане.
Ответственность персонала
Каждый сотрудник обслуживающего персонала вычислительной
системы должен хорошо знать свои обязанности и нести
ответственность за свои действия. Ниже приводятся некоторые
примеры обязанностей сотрудников и групп сотрудников
(дополнительная информация по этому вопросу, в частности
функциональные обязанности сотрудников группы информационной
безопасности, содержится также в п.1.6.2).
1. Пользователь персонального компьютера или терминала
несет ответственность за физическую целостность компьютера
(терминала) во время сеанса работы с АСОИ, а также за
неразглашение собственного пароля.
2. Администратор баз данных несет ответственность за
конфиденциальность информации в базах данных, ее логическую
непротиворечивость и целостность.
3. Сотрудник руководства отвечает за разделение
обязанностей служащих в сфере безопасности обработки
информации, предупреждение возможных угроз и профилактику
средств защиты.
Порядок ввода в действие средств защиты
Ввод в работу крупномасштабных и дорогих средств защиты
целесообразно проводить постепенно, давая возможность
обслуживающему персоналу и пользователям спокойно ознакомиться
со своими новыми обязанностями. Для этого необходимо проводить
разного рода тренировки, занятия по разъяснению целей защиты и
способов ее реализации.
Этот раздел плана содержит расписание такого рода
занятий, а также порядок ввода в действие системы защиты.
Порядок модернизации средств защиты
Важной частью плана защиты является порядок пересмотра
состава средств защиты. Состав пользователей, данные,
обстановка - все изменяется с течением времени, появляются
новые программные и аппаратные средства. Многие средства
защиты постепенно теряют свою эффективность и становятся
ненужными, или подлежат замене по какой-либо иной причине
(например, уменьшается ценность информации, для обработки
которой достаточно более простых средств защиты). Поэтому
список объектов, содержащих ценную информацию, их содержимое и
список пользователей должны периодически просматриваться и
изменяться в соответствии с текущей ситуацией. Также
периодически должен проводиться анализ риска, учитывающий
изменения обстановки. Последний пункт плана защиты должен
устанавливать сроки и условия такого пересмотра, а также
условия, при которых может производиться внеочередной
пересмотр (например, качественный скачок в разработке методов
преодоления защиты, что может нанести серьезный ущерб
пользователям и владельцам АСОИ).
Каким бы всеобъемлющим не был план, все возможные угрозы
и защиту от них он предусмотреть не в состоянии. К тому же
многие ситуации он должен только описывать - их контроль может
оказаться неэффективным (в силу дороговизны средств защиты или
малой вероятности появления угроз). В любом случае владельцы и
персонал системы должны быть готовы к различным непредвиденным
ситуациям.
1.3.3. План обеспечения непрерывной работы и
восстановления функционирования АСОИ
Для определения действий персонала системы в критических
ситуациях с целью обеспечения непрерывной работы и
восстановления функционирования АСОИ разрабатывается план
обеспечения непрерывной работы и восстановления (для краткости
план ОНРВ; contingency and recovery plan). В некоторых случаях
В некоторых случаях план обеспечения непрерывной работы и план
восстановления - разные. Первый, скорее план, позволяющий
избежать опасных ситуаций, второй - план реакции на них.
План ОНРВ можно сравнить с планом противопожарной защиты
(обеспечение непрерывной работы) и ликвидации последствий
(минимизация ущерба и восстановление функционирования АСОИ).
Про этот план обычно все знают, но никто его не читает, хотя
на пепелище об этом обычно жалеют.
Существует несколько способов смягчения воздействия
непредвиденных ситуаций:
1. Избегать их. Это наиболее эффективный, но не всегда
осуществимый способ. Избегать непредвиденных ситуаций можно с
помощью ограничительных мер, предусмотренных планом защиты, а
можно и с помощью устранения самой причины потенциального
нарушения. Например, с пожаром можно бороться огнетушителем, а
можно соблюдением мер противопожарной защиты. С рассерженными
пользователями можно бороться административными мерами
(разозлив этим их еще больше), а можно и поддержанием здоровой
атмосферы в коллективе. Это относится практически ко всем
возможным нарушениям.
2. Если избежать какого-либо нарушения невозможно,
необходимо уменьшить вероятность его появления или смягчить
последствия от него.
3. Если предполагать, что какие-то нарушения все-таки
могут произойти, следует предусмотреть меры сохранения
контроля над ситуацией. Например, в любой момент может выйти
из строя отдельный блок системы - часть компьютера, компьютер
целиком, подсеть и т.д., может наступить нарушение
энергоснабжения и др. В принципе это может привести к выходу
АСОИ из строя, однако при правильной организации АСОИ этого
можно избежать.
4. Если нарушение произошло, необходимо предусмотреть
меры по ликвидации последствий и восстановлению информации.
Например, в случае сбоя в в компьютере - замену сбойного
компонента, в случае уничтожения каких-либо данных -
восстановление с резервных копий и т.д.
Все приведенные выше четыре способа должны в той или иной
мере присутствовать в плане ОНРВ. Для каждой конкретной АСОИ
эти меры следует планировать в процессе анализа риска с учетом
особенностей (специфических видов угроз, вероятностей
появления, величин ущерба и т.д.) и на основе критерия
"эффективность/стоимость". Хороший план ОНРВ должен отвечать
следующим требованиям:
1. РЕАЛЬНОСТЬ ПЛАНА ОНРВ. План должен оказывать реальную
помощь в критических ситуациях, а не оставаться пустой
формальностью. Необходимо учитывать психологический момент
ситуации, при которой персонал находится в состоянии стресса,
поэтому сам план и предлагаемые действия должны быть простыми
и ясными. План должен учитывать реальное состояние компонентов
системы, способов их взаимодействия и т.д. Повышению
действенности плана ОНРВ способствуют тренировки в условиях,
приближенных к реальным (естественно без реальных потерь).
2. БЫСТРОЕ ВОССТАНОВЛЕНИЕ РАБОТОСПОСОБНОСТИ СИСТЕМЫ.
Предлагаемые планом ОНРВ действия должны восстанавливать
повседневную деятельность настолько быстро, насколько это
возможно. В принципе это главное назначение плана ОНРВ.
Расследовать причины и наказать виновных можно потом, главное
- продолжить процесс обработки информации.
3. СОВМЕСТИМОСТЬ С ПОВСЕДНЕВНОЙ ДЕЯТЕЛЬНОСТЬЮ.
Предлагаемые планом ОНРВ действия не должны нарушать привычный
режим работы. Если его действия противоречат повседневной
деятельности (возможно, возобновленной после аварии), то это
приведет к еще большим проблемам.
4. ПРАКТИЧЕСКАЯ ПРОВЕРКА. Все положения плана ОНРВ должны
быть тщательно проверены, как теоретически, так и практически.
Только в этом случае план ОНРВ будет удовлетворять
перечисленным выше требованиям.
5. ОБЕСПЕЧЕНИЕ. Реальная выполнимость плана ОНРВ будет
достигнута только в том случае, если предварительно
подготовлено, проверено и готово к работе все вспомогательное
обеспечение - резервные копии, рабочие места и т.д. Персонал
должен совершенно точно знать, как и когда пользоваться этим
обеспечением. Естественно, его лучше подготовить заранее.
Наличие любого плана ОНРВ - полного или краткого, но
главное - реального, благотворно влияет на моральную
обстановку в коллективе. Пользователи должны быть уверены в
том, что даже в самых неблагоприятных условиях какая-то часть
их труда будет сохранена; руководство должно быть уверено, что
не придется начинать все с начала.
План ОНРВ лучше всего строить как описание опасных
ситуаций и способов реакции на них в следующем порядке:
- описание нарушения;
- немедленная реакция на нарушение - действия
пользователей и администрации в момент обнаружения нарушения
(сведение ущерба до минимума, уведомление руководства, останов
работы, восстановительные процедуры и т.д.);
- оценка ущерба от нарушения - в чем заключаются потери и
какова их стоимость (включая восстановление);
- возобновление обработки информации. После устранения
нарушения и первичного восстановления необходимо как можно
быстрее возобновить работу, так как машинное время - это
деньги;
- полное восстановление функционирования системы -
удаление и замена поврежденных компонентов системы,
возобновление обработки информации в полном объеме.
В части, посвященной реакции на нарушения, план ОНРВ
должен содержать перечень действий, которые выполняются
персоналом при наступлении различных ситуаций. Причем действия
должны быть реальными, иначе в них нет никакого смысла.
Эта часть плана должна определять:
- что должно быть сделано;
- когда это должно быть сделано;
- кем и как это должно быть сделано;
- что необходимо для того, чтобы это было сделано.
При планировании подобных действий необходимо помнить об
их экономической эффективности. Например, всю информацию
системы в резервных копиях держать в принципе невозможно - ее
слишком много и она слишком часто обновляется. В копиях должна
содержаться только самая ценная информация, значимость которой
уменьшается не слишком быстро. Вообще определение степени
дублирования ресурсов (критичной нагрузки; critical workload)
- самостоятельная и достаточно сложная задача. Она должна
решаться индивидуально для конкретных условий с учетом
стоимости дублирования и загрузки системы, размеров возможного
ущерба, имеющихся ресурсов и других факторов.
Для определения конкретных действий по восстановлению и
возобновлению процесса обработки, включаемых в план ОНРВ,
может быть полезен приводимый ниже список способов организации
восстановления программ и данных, а также процесса обработки
информации (первый способ для восстановления программ и
данных, остальные - для возобновления самого процесса
обработки информации).
Резервное копирование и внешнее хранение программ и данных
(backup and off-site storage).
Это основной и наиболее действенный способ сохранения
программного обеспечения и данных. Резервные копии делаются с
наборов данных, потеря или модификация которых могут нанести
значительный ущерб. Обычно в таких копиях хранятся системное
программное обеспечение и наборы данных, наиболее важное
прикладное программное обеспечение, а также наборы данных,
являющиеся основными в данной системе (например, база данных
счетов в банке).
Резервное копирование может быть полным (копии делаются
со всех наборов данных), возобновляемым (копии некоторых
наборов данных периодически обновляются) и выборочным (копии
делаются только с некоторых наборов данных, но потом не
обновляются). Способы резервного копирования определяются для
каждой конкретной АСОИ индивидуально с точки зрения критерия
экономической эффективности.
Резервное копирование не имеет никакого смысла, если
копии могут быть уничтожены вместе с оригиналами. Поэтому
копии должны храниться в надежном месте, исключающем
возможность уничтожения. В то же время, должны существовать
возможность их оперативного использования. Иногда хранят две и
более копий каждого набора данных. Например, одна копия может
храниться в сейфе, находящемся в границах доступа персонала
системы, а другая - в другом здании. В случае сбоя
оборудования в системе используется первая копия
(оперативно!), а в случае ее уничтожения (например, при
пожаре) - вторая.
Взаимопомощь (mutual aid).
Услуги по возобновлению процесса обработки
предоставляются по взаимной договоренности другими службами
или организациями, обычно безвозмездно. Взаимопомощь бывает
двух видов:
1. Внешняя (external) - другая организация предоставляет
свою АСОИ, возможно программное обеспечение для временной
обработки информации пострадавшей стороной.
Такой способ возобновления процесса обработки информации
может использоваться для обработки небольших объемов
некритичной информации. При этом желательно, чтобы две
организации были примерно одного типа и работали в одной
области.
2. Внутренняя (internal) - возможность обработки
информации предоставляется другими подразделениями одной и той
же организации (департаментами, отделами, группами). Такой
способ обычно не требует больших затрат и легко доступен, если
дублирующая АСОИ позволяет проводить такого рода обработку.
"Горячий резерв" (hot site).
"Горячий резерв" используется для возобновления процесса
обработки после событий, вызвавших полный или частичный отказ
основной системы - в результате отключения энергоснабжения,
неисправности оборудовании или программного обеспечения, злого
умысла ("вирусная атака") и т.д.
"Горячий резерв" - это готовая к работе дублирующая
система, в которой полностью сгенерирована операционная
система, размещены прикладное программное обеспечение и наборы
данных. Кроме того, резервная система должна иметь
работоспособные периферийные устройства, подключенные каналы
связи, источники энергоснабжения и даже персонал. Время на
подготовку определяется временем загрузки резервных копий и
системы.
Содержание "горячего резерва" обходится очень дорого,
поэтому с точки зрения экономической эффективности
целесообразнее пользоваться услугами сервис-бюро (см.
п.2.1.4.). Однако в некоторых случаях - для обработки
информации, требующей полного контроля со стороны ее
владельца, "горячий резерв" необходим. Кроме того, можно
содержать и использовать "горячий резерв" на кооперативных
началах - вместе с другими организациями.
"Горячий резерв" бывает двух видов:
1. Открытый (open hot site) - при котором дублирующая
система доступна различным организациям по предварительному
соглашению. Она осуществляет обработку информации за отдельную
плату (выполняет функции сервис-бюро (см. также 2.1.4.)).
2. Закрытый (closed hot site) - при котором дублирующая
система содержится на средства ограниченной группы организаций
(например, банков) и используется ими в критических ситуациях
на основе предварительного соглашения.
"Расщепленный резерв" (split site).
"Расщепленный резерв" представляет собой способ не
столько восстановления, сколько организации АСОИ. В этом
смысле о нем можно говорить, как о способе организации системы
с высокой степенью распределенности (см. 1.7.2.) и
взимодублирующими составными частями. При таком подходе
критичные элементы системы (аппаратура, программы, данные)
разнесены по отдельным ее частям (узлам распределенной
системы) и функционируют в какой-то мере независимо,
обмениваясь между собой информацией по каналам связи.
В случае выхода из строя отдельных элементов системы
другие могут взять на себя их функции. Времени на приведение
дублирующих элементов в рабочее состояние очень мало,
фактически оно определяется загрузкой из резервных копий (так
как аппаратура расщепленного резерва всегда находится в
рабочем состоянии).
Такой способ обеспечения непрерывной работы и
восстановления очень эффективен, так как позволяет быстро
осуществлять переход с основных элементов АСОИ на дублирующие.
Более того, этот переход может быть практически незаметен для
пользователей за исключением возрастания нагрузки на отдельные
элементы. Однако при использовании "расщепленного резерва"
возникает множество проблем, основными из которых являются:
1. Определение критической нагрузки. Распределение
аппаратуры, программ и данных по элементам всей АСОИ таким,
чтобы обеспечить оптимальное дублирование и восстановление
данных и процесса их обработки в различных ситуациях.
Существующие математические методы позволяют рассчитывать
оптимальную критическую нагрузку для каждого конкретного
случая.
2. Обеспечение безопасности. При распределении программ и
данных по различным элементам системы неизбежно увеличивается
вероятность различных нарушений. Эта вероятность повышается в
критических случаях, когда информация может обрабатываться на
других элементах системы, возможно, с нарушением безопасности.
В этом случае необходимо разрабатывать политику безопасности и
составлять планы с учетом возможных опасных ситуаций и реакции
на них.
"Холодный резерв" (cold site).
"Холодный резерв" используется для возобновления процесса
обработки после серьезных, нанесший большой ущерб событий,
которые привели к полному выходу системы из строя пожара,
наводнения и т.д. Время на восстановление в этом случае может
исчисляться неделями и месяцами. Естественно, это слишком
большой срок, чтобы позволить себе обходиться без обработки
информации.
"Холодный резерв" представляет собой резервную систему
обработки данных, которая не участвует в повседневной
деятельности организации. Резервная система поставляется
определенными фирмами (по заранее согласованной
договоренности) в течение короткого промежутка времени (24
часа). Так же оперативно выполняются пуско-наладочные работы
(согласно плану ОНРВ), после чего резервная система готова
принять на себя функции основной.
В результате подобных мероприятий перерыв в работе АСОИ
будет исчисляться днями, а не неделями и месяцами. В то же
время, покупка и установка резервной системы - дело дорогое, к
тому же она не сможет принять на себя все функции основной, а
только некоторую их часть. Поэтому "холодный резерв"
целесообразно использовать для возобновления выполнения
наиболее важных операций.
Отсутствие действий
В том случае, когда размер ущерба невелик, система
серьезно не пострадала, то наилучшим способом может быть
отсутствие экстренных действий и продолжение работы.
Предложенные выше способы организации резервной АСОИ
могут комбинироваться в плане ОНРВ в зависимости от различных
ситуаций и требований к процессу обработки информации.
Критерием выбора того или иного способа реакции на
определенную ситуацию должна служить экономическая
эффективность, рассчитываемая на основе затрат на
восстановление, вероятности появления ситуации и
предполагаемого размера ущерба.
Предлагаемая структура плана ОНРВ не является,
естественно, догмой. План может составляться на основе других
принципов и с учетом других условий. Однако некоторые факторы
- такие как выполнимость, эффективность и др. должны
соблюдаться обязательно. Для каждой конкретной системы план
ОНРВ составляется индивидуально.
1.3.4. Как обеспечить выполнимость планов
Любой план хорош в том случае, если он выполним. Для
обеспечения выполнимости планов необходимо чтобы работу по их
составлению выполняла группа квалифицированных специалистов,
размеры которой зависят от характера организации и масштабов
предполагаемых мер защиты. Оптимальная численность группы : 5
- 7 человек. Можно привлечь дополнительных сотрудников для
обработки и анализа выводов и рекомендаций основной группы,
или, в случае больших объемов работы, каждая группа должна
составлять один план или один из пунктов плана.
Специализация сотрудников, входящих в группу разработки
планов, зависит от конкретных условий. Использование
защищенных протоколов, механизмов защиты операционных систем и
сетей требует привлечения системных программистов. Применение
средств защиты, встраиваемых в прикладное программное
обеспечение делает необходимым участие в группе проблемных
программистов. Необходимость организации защиты физических
устройств, организации резервных рабочих мест также требует
присутствия в рабочей группе соответствующих специалистов. И,
наконец, поскольку АСОИ функционирует для пользователя, то
целесообразно присутствие пользователей различных категорий -
для учета взгляда со стороны на удобство и эффективность
предлагаемых методов и средств защиты. В большинстве случаев
целесообразно, чтобы в эту группу входили следующие
специалисты, каждый из которых должен отвечать за свой участок
работы:
- специалисты по техническим средствам;
- системные программисты;
- проблемные программисты;
- сотрудники, отвечающие за подготовку, ввод и обработку
данных;
- специалисты по защите физических устройств;
- представители пользователей.
После подготовки плана необходимо его принять и
реализовать, что напрямую зависит от его четкости,
корректности и ясности для сотрудников организации.
Понимание необходимости мер защиты и контроля -
непременное условие нормальной работы. Известен достоверный
случай о том, как пользователь менял каждый раз 24 пароля и
возвращался к первоначальному, так как система была защищена
от повторного использования предыдущих 23 паролей. Если
сотрудники не понимают или не согласны с предлагаемыми мерами,
то они будут стараться обойти их, так как любые меры контроля
предполагают увеличение сложности работы.
Другой ключевой момент - управление средствами защиты и
восстановления. Надежное управление осуществимо лишь в случае
понимания обслуживающим персоналом размеров возможных убытков,
ясного изложения планов и выполнения персоналом своих
обязанностей. Многие сотрудники, обслуживающие АСОИ, не всегда
осознают риск, связанный с обработкой информации в АСОИ.
Только специальная предварительная подготовка персонала
способствует правильной и эффективной работе средств защиты и
восстановления; она может проводиться с привлечением сторонних
специалистов. Описание различных способов преодоления и
нарушения защиты в повседневной деятельности в сфере бизнеса
(как, например, утечка информации к конкуренту) поможет
обслуживающему персоналу понять необходимость точного
выполнения требований защиты (например, своевременной смены
паролей).
Итак, если Вы:
- имеете дело с ценной информацией и не хотите, чтобы она
была потеряна, искажена или стала известна посторонним, ТО Вы
нуждаетесь в защите АСОИ при помощи специальных средств,
которые возьмут на себя многие Ваши заботы по обеспечению
сохранности Вашей информации;
- не знаете или имеете приблизительное представление о
том, какие именно средства защиты Вам нужны, какие функции они
должны выполнять и какова их реальная стоимость, ТО Вам
необходимо провести анализ риска;
- не представляете себе, что нужно сделать для
организации защиты информации в Вашей АСОИ, ТО вам необходимо
составить план защиты ;
- не желаете тратить лишние деньги на средства контроля,
но все же опасаетесь не предусмотренных защитой ситуаций, ТО
Вы должны составить план непрерывной работы и восстановления -
на тот случай, если такая ситуация все же возникнет;
- хотите, чтобы средства, затраченные на защиту, не
пропали зря вместе с вашей информацией и правильно работали,
ТО Вы должны объяснить всем своим сотрудникам, как правильно
работать со средствами защиты и что они могут потерять вместе
с информацией, если будут нарушать правила пользования этими
средствами.
Вместе с тем необходимо помнить, что сложность установки
и настройки средств защиты напрямую зависит от их
возможностей, и если Вы не хотите вместо правильно
функционирующего инструмента получить набор средств,
выполняющих неизвестно что, то вам необходимо обратиться к
специалистам.
1.4. ПОЛИТИКА БЕЗОПАСНОСТИ. МОДЕЛИ И МЕХАНИЗМЫ РЕАЛИЗАЦИИ
ПОЛИТИКИ БЕЗОПАСНОСТИ
В этой главе будут рассмотрены основные положения теории
защищенных систем (политика безопасности, механизмы
безопасности и т.д.). Поскольку целью этой книги не является
рассмотрение математических аспектов этой теории, не будем
останавливаться на различных математических моделях,
формулировках и доказательствах их свойств и т.д. Упомянем
только, что все положения, рассматриваемые в данной главе,
имеют под собой теоретической обоснование.
Изучение материала, изложенного в этой главе, позволит
получить представление о теоретических положениях,
реализованных в современных средствах защиты информации.
О принципах настройки средств защиты на конкретные
условия и правилах управления ими пойдет речь в главе 1.6.
1.4.1. Политика безопасности. Модели политики безопасности
Политика безопасности - набор законов, правил и
практических рекомендаций, на основе которых строится
управление, защита и распределение критичной информации в
системе. Она должна охватывать все особенности процесса
обработки информации, определяя поведение системы в различных
ситуациях.
Политика безопасности представляет собой некоторый набор
требований, прошедших соответствующую проверку, реализуемых
при помощи организационных мер и программно-технических
средств, и определяющих архитектуру системы защиты. Ее
реализация для конкретной АСОИ осуществляется при помощи
средств управления механизмами защиты.
Для конкретной организации политика безопасности должна
быть индивидуальной, зависимой от конкретной технологии
обработки информации, используемых программных и технических
средств, расположения организации т.д.
Перед тем, как приступит к изложению материала введем
некоторые определения, чтобы избежать путаницы.
В этой главе под "системой" мы будем понимать некоторую
совокупность субъектов и объектов и их отношений между ними.
Субъект - активный компонент системы, который может
явиться причиной потока информации от объекта к объекту или
изменения состояния системы.
Объект - пассивный компонент системы, хранящий,
принимающий или передающий информацию. Доступ к объекту
подразумевает доступ к содержащейся в нем информации.
Основу политики безопасности составляет способ управления
доступом, определяющий порядок доступа субъектов системы к
объектам системы. Название этого способа, как правило,
определяет название политики безопасности.
Для изучения свойств способа управления доступом
создается его формальное описание - математическая модель. При
этом модель должна отражать состояния всей системы, ее
переходы из одного состояния в другое, а также учитывать,
какие состояния и переходы можно считать безопасными в смысле
данного управления. Без этого говорить о каких-либо свойствах
системы, и тем более гарантировать их, по меньшей мере
некорректно. Отметим лишь, что для разработки моделей
применяется широкий спектр математических методов
(моделирования, теории информации, графов, автоматов и
другие).
В настоящее время лучше всего изучены два вида политики
безопасности: избирательная и полномочная, основанные,
соответственно на избирательном и полномочном способах
управления доступом. Особенности каждой из них, а также их
отличия друг от друга будут описаны ниже.
Кроме того, существует набор требований, усиливающий
действие этих политик и предназначенный для управления
информационными потоками в системе.
Следует отметить, что средства защиты, предназначенные
для реализации какого-либо из названных выше способа
управления доступом, только предоставляют возможности
надежного управления доступом или информационными потоками.
Определение прав доступа субъектов к объектам и/или
информационным потокам (полномочий субъектов и атрибутов
объектов, присвоение меток критичности и т.д.) входит в
компетенцию администрации системы.
Избирательная политика безопасности
Основой избирательной политики безопасности является
избирательное управление доступом (ИУД, Discretionary Access
Control; DAC), которое подразумевает, что:
- все субъекты и объекты системы должны быть
идентифицированы;
- права доступа субъекта к объекту системы определяются
на основании некоторого внешнего (по отношению к системе)
правила (свойство избирательности).
Для описания свойств избирательного управления доступом
применяется модель системы на основе матрицы доступа (МД,
иногда ее называют матрицей контроля доступа). Такая модель
получила название матричной.
Матрица доступа представляет собой прямоугольную матрицу,
в которой объекту системы соответствует строка, а субъекту -
столбец. На пересечении столбца и строки матрицы указывается
тип (типы) разрешенного доступа субъекта к объекту. Обычно
выделяют такие типы доступа субъекта к объекту как "доступ на
чтение", "доступ на запись", "доступ на исполнение" и др.
Множество объектов и типов доступа к ним субъекта может
изменяться в соответствии с некоторыми правилами,
существующими в данной системе. Определение и изменение этих
правил также является задачей ИУД. Например, доступ субъекта к
конкретному объекту может быть разрешен только в определенные
дни (дата-зависимое условие), часы (время-зависимое условие),
в зависимости от других характеристик субъекта
(контекстно-зависимое условие) или в зависимости от характера
предыдущей работы. Такие условия на доступ к объектам обычно
используются в СУБД. Кроме того, субъект с определенными
полномочиями может передать их другому субъекту (если это не
противоречит правилам политики безопасности).
Решение на доступ субъекта к объекту принимается в
соответствии с типом доступа, указанным в соответствующей
ячейке матрицы доступа. Обычно, избирательное управление
доступом реализует принцип "что не разрешено, то запрещено",
предполагающий явное разрешение доступа субъекта к объекту.
Матрица доступа - наиболее примитивный подход к
моделированию систем, который, однако, является основой для
более сложных моделей, наиболее полно описывающих различные
стороны реальных АСОИ.
Вследствие больших размеров и разреженности МД хранение
полной матрицы представляется нецелесообразным, поэтому во
многих средствах защиты используют более экономные
представления МД (профили, и т.д. см. п.1.4.3). Каждый из этих
способов представления МД имеет свои достоинства и недостатки,
обуславливающие область их применения. Поэтому в каждом
конкретном случае надо знать, во-первых, какое именно
представление использует средство защиты, и, во-вторых, какие
особенности и свойства имеет это представление.
Избирательное управление доступом является основой
требований к классам C2 и C1 ("Оранжевая книга",см. 1.5.1).
Избирательная политика безопасности наиболее широко
применяется в коммерческом секторе, так как ее реализация на
практике отвечает требованиям коммерческих организаций по
разграничению доступа и подотчетности (accountability), а
также имеет приемлемую стоимость и небольшие накладные
расходы.
Полномочная политика безопасности
Основу полномочной политики безопасности составляет
полномочное управление доступом (Mandatory Access Control;
MAC), которое подразумевает что :
- все субъекты и объекты системы должны быть однозначно
идентифицированы;
- каждому объекту системы присвоена метка критичности,
определяющая ценность содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности
(security clearance), определяющий максимальное значение метки
критичности объектов, к которым субъект имеет доступ.
В том случае, когда совокупность меток имеет одинаковые
значения, говорят, что они принадлежат к одному уровню
безопасности. Организация меток имеет иерархическую структуру
и, таким образом, в системе можно реализовать иерархически
ненисходящий (по ценности) поток информации (например, от
рядовых исполнителей к руководству). Чем важнее объект или
субъект, тем выше его метка критичности. Поэтому наиболее
защищенными оказываются объекты с наиболее высокими значениями
метки критичности.
Каждый субъект кроме уровня прозрачности имеет текущее
значение уровня безопасности, которое может изменяться от
некоторого минимального значения до значения его уровня
прозрачности.
Для моделирования полномочного управления доступом
используется модель Белла-Лападула (Bell-LaPadulla model
[45]), включающая в себя понятия безопасного (с точки зрения
политики) состояния и перехода. Для принятия решения на
разрешение доступа производится сравнение метки критичности
объекта с уровнем прозрачности и текущим уровнем безопасности
субъекта. Результат сравнения определяется двумя правилами:
простым условием защиты (simple security condition) и
*-свойством (*-property). В упрощенном виде, они определяют,
что информация может передаваться только "наверх", то есть
субъект может читать содержимое объекта, если его текущий
уровень безопасности не ниже метки критичности объекта, и
записывать в него, - если не выше (*-свойство).
Простое условие защиты гласит, что любую операцию над
объектом субъект может выполнять только в том случае, если его
уровень прозрачности не ниже метки критичности объекта.
Полномочное управление доступом составляет основу
требований к классу B1 ("Оранжевая книга", см.1.5.1), где оно
используется совместно с избирательным управлением.
Основное назначение полномочной политики безопасности -
регулирование доступа субъектов системы к объектам с различным
уровнем критичности и предотвращение утечки информации с
верхних уровней должностной иерархии на нижние, а также
блокирование возможных проникновений с нижних уровней на
верхние. При этом она функционирует на фоне избирательной
политики, придавая ее требованиям иерархически упорядоченный
характер (в соответствии с уровнями безопасности).
Изначально полномочная политика безопасности была
разработана в интересах МО США для обработки информации с
различными грифами секретности. Ее применение в коммерческом
секторе сдерживается следующими основными причинами :
- отсутствием в коммерческих организациях четкой
классификации хранимой и обрабатываемой информации,
аналогичной государственной классификации (грифы секретности
сведений);
- высокой стоимостью реализации и большими накладными
расходами.
Управление информационными потоками
Помимо управления доступом субъектов к объектам системы
проблема защиты информации имеет еще один аспект.
Как уже отмечалось в главе 1.2 для того, чтобы получить
информацию о каком-либо объекте системы, вовсе не обязательно
искать пути несанкционированного доступа к нему. Можно
получать информацию, наблюдая за работой системы и, в
частности, за обработкой требуемого объекта. Иными словами,
при помощи каналов утечки информации. По этим каналам можно
получать информацию не только о содержимом объекта, но и о его
состоянии, атрибутах и др. в зависимости от особенностей
системы и установленной защиты объектов (см. 1.2.1 и
Приложение 2). Эта особенность связана с тем, что при
взаимодействии субъекта и объекта возникает некоторый поток
информации от субъекта к объекту (информационный поток,
information flow)
Информационные потоки существуют в системе всегда.
Поэтому возникает необходимость определить, какие
информационные потоки в системе являются "легальными", то есть
не ведут к утечке информации, а какие - ведут. Таким образом,
возникает необходимость разработки правил, регулирующих
управление информационными потоками в системе.
Для этого необходимо построить модель системы, которая
может описывать такие потоки. Такая модель разработана Гогеном
и Мисгаером (Goguen Meseguer model) и называется потоковой
[40]. Модель описывает условия и свойства взаимного влияния
(интерференции) субъектов, а также количество информации,
полученной субъектом в результате интерференции.
Управление информационными потоками в системе не есть
самостоятельная политика, так как оно не определяет правил
обработки информации. Управление информационными потоками
применяется обычно в рамках избирательной или полномочной
политики, дополняя их и повышая надежность системы защиты. В
рамках полномочной политики оно является основой требований к
классу B2 стандарта "Оранжевая книга" (см. 1.5.1.).
Управление доступом (избирательное или полномочное)
сравнительно легко реализуемо (аппаратно или программно),
однако оно неадекватно реальным АСОИ из-за существования в них
скрытых каналов. Тем не менее управление доступом обеспечивает
достаточно надежную защиту в простых системах, не
обрабатывающих особо важную информацию. В противном случае
средства защиты должны дополнительно реализовывать управление
информационными потоками. Организация такого управления в
полном объеме достаточна сложна, поэтому его обычно используют
для усиления надежности полномочной политики: восходящие
(относительно уровней безопасности) информационные потоки
считаются разрешенными, все остальные - запрещенными.
Отметим, что кроме способа управления доступом политика
безопасности включает еще и другие требования, такие как
подотчетность, гарантии и т.д.
Избирательное и полномочное управление доступом, а также
управление информационными потоками - своего рода три кита, на
которых строится вся защита.
1.4.2. Достоверная вычислительная база
Для того, чтобы корректно воплотить в жизнь разработанную
политику безопасности необходимо иметь надежные механизмы ее
реализации. При последующем изложении материала основное
внимание обратим на то, каким образом должны быть реализованы
средства защиты для выполнения требований политики
безопасности (способа управления доступом).
Естественно предположить, что все средства, отвечающие за
реализацию политики безопасности, сами должны быть защищены от
любого вмешательства в их работу. В противном случае говорить
о надежности защиты будет трудно. Можно изменять их параметры,
но в своей основе они должны оставаться в неприкосновенности.
Поэтому все средства защиты и управления должны быть
объединены в так называемую достоверную вычислительную базу.
Достоверная вычислительная база (ДВБ; Trusted Computing
Base; TCB см. Приложение 2) - это абстрактное понятие,
обозначающее полностью защищенный механизм вычислительной
системы (включая аппаратные и программные средства),
отвечающий за поддержку реализации политики безопасности.
Средства защиты должны создавать ДВБ для обеспечения
надежной защиты АСОИ. В различных средствах защиты ДВБ может
быть реализована по-разному. Способность реализации ДВБ к
безотказной работе зависит от ее устройства и корректного
управления, а ее надежность является залогом соблюдения
политики безопасности в защищаемой системе.
Таким образом, ДВБ выполняет двойную задачу -
поддерживает реализацию политики безопасности и является
гарантом целостности механизмов защиты, то есть самой себя.
ДВБ совместно используется всеми пользователями АСОИ, однако
ее модификация разрешена только пользователям со специальными
полномочиями. К ним относятся администраторы системы и другие
привилегированные сотрудники организации.
Процесс, функционирующий от имени ДВБ, является
достоверным. Это означает, что система защиты безоговорочно
доверяет этому процессу и все его действия санкционированы
политикой безопасности. Именно поэтому задача номер один
защиты ДВБ - поддержание собственной целостности; все
программы и наборы данных ДВБ, должны быть надежно защищены от
несанкционированных изменений.
Для поддержки политики безопасности и собственной защиты
ДВБ должна обеспечить защиту субъектов (процессов) системы и
защиту объектов системы в оперативной памяти и на внешних
носителях.
Защита ДВБ строится на основе концепции иерархической
декомпозиции системы. Сущность концепции заключается в том,
что реальная система представляется как совокупность
иерархически упорядоченных абстрактных уровней; при этом
функции каждого уровня реализуются компонентами более низкого
уровня. Компоненты определенного уровня зависят только от
компонентов более низких уровней и их внутренняя структура
полагается недоступной с более высоких уровней. Связь уровней
организуется через межуровневый интерфейс (см. рис. 3).
Ъ———ї Ъ———ї Ъ———ї Ъ———ї
компоненты і і і і і і . . . і і
уровня i А—В—Щ А—В—Щ А———Щ А———Щ
ННННННННННННШННННННННННШННННННННННННННННННННННННННН
і А————В—————— . . .
межуровневый Ъ———Б———В—————————ї і
интерфейс і і і і общий компонент
Ъ—Б—ї Ъ—Б—ї ЪБ—Бї уровня i+1 Ъ———ї
компоненты і і і і і і . . . і і
уровня i+1 А—В—Щ А—В—Щ А———Щ А———Щ
ННННННННШНННННННШНННННННННННННННННННННННННННННННННН
межуровневый Ъ———Б———ї А———ї
интерфейс і і і вспомогательный компонент
Ъ—Б—ї Ъ—Б—ї Ъ—Б—ї Ъ———ї уровня i+2 Ъ———ї
компоненты і і і і і і і і . . . і і
уровня i+2 А—В—Щ А———Щ А—В—Щ АВ—ВЩ А———Щ
і А——————Щ і
А————————————————————————Щ
Рис. 3.
Структура компонентов системы и связи между ними являются
жестко фиксированными; их изменение, дублирование, уничтожение
невозможны. Компоненты более высоких уровней привязаны к
компонентам более низких уровней, те, в свою очередь, к
элементам физической реализации (устройствам ввода-вывода,
процессору и др.). Связи между различными компонентами
определяются спецификациями межуровневого интерфейса и также
не могут изменяться. Это является дополнительной мерой
обеспечения целостности ДВБ.
Компоненты верхних уровней обычно описывают интерфейс
пользователя. Сюда входят различные редакторы, компиляторы,
интерпретаторы командных языков, утилиты и т.д. Средние уровни
обычно реализуют ввод-вывод на уровне записей, работу с
файлами и виртуальной памятью. Компоненты нижних уровней
реализуют планирование и диспетчеризацию процессов,
распределение ресурсов, ввод-вывод на физическом уровне,
обработку прерываний и т.д. Компонентами нулевого уровня можно
считать элементы физической реализации: особенности
архитектуры процессора, состав и назначение регистров (общих и
привилегированных), физическую реализацию некоторых функций и
т.д. Множество компонентов всех уровней, кроме верхнего, а
также средства управления ими и составляют ДВБ.
Пользователь, находясь на самом высоком уровне, может
только послать запрос на выполнение какой-либо операции. Этот
запрос будет разрешен к выполнению компонентами более низких
уровней только в том случае, если, пройдя обработку
корректности на всех промежуточных уровнях, он не был
отвергнут, то есть не сможет нарушить существующую политику
безопасности. При этом каждая функция может быть выполнена
только определенными компонентами на определенном уровне, что
определяется архитектурой системы в целом.
Например, пользователь из командного интерпретатора
послал запрос на выполнение операции ввода-вывода (для
редактирования файла, размещающегося на диске). Этот запрос
будет обработан интерпретатором и передан на более низкий
уровень - в подсистему ввода-вывода. Та проверит корректность
запроса (разрешен ли доступ к этому файлу?), обработает его и
передаст дальше - примитивам ввода-вывода, которые выполнят
операцию и сообщат о результатах. При этом спецификации
межуровневого интерфейса гарантируют, что прямой вызов
примитивов ввода-вывода пользователю недоступен. Он еще может
иногда обращаться непосредственно к подсистеме ввода-вывода
(из программы), но не на более низкий уровень. Таким образом
гарантируется невозможность доступа субъекта к объекту в обход
средств контроля.
Необходимость защиты внутри отдельных компонентов системы
очевидна: каждый из них должен проверять корректность
обращения к реализуемой им функции.
Особенность применения концепции иерархической
декомпозиции заключается в следующем:
1. Каждый компонент должен выполнять строго определенную
функцию;
2. Каждая функция с помощью операции декомпозиции может
быть разбита на ряд подфункций, которые реализуются и
защищаются отдельно. Этот процесс может насчитывать несколько
этапов;
3. Основная "тяжесть" защиты приходится на межуровневый
интерфейс, связывающий декомпозированные подфункции в единое
целое; горизонтальные ссылки должны быть сведены до минимума.
Помимо защиты самой себя ДВБ также должна обеспечить
надежную защиту пользователей системы (в частности, друг от
друга). Для защиты пользователей используются те же самые
механизмы, что и для защиты ДВБ. Теми же остаются и цели
защиты: субъектов и объектов пользователей, в оперативной
памяти и на внешних носителях. Рассмотрим подробнее принципы
такой защиты.
Защита субъектов осуществляется с помощью межуровневого
интерфейса: в зависимости от выполняемой им функции система
переводит его на соответствующий уровень. Уровень, в свою
очередь, определяет и степень управляемости процесса
пользователем, который находится на самом верхнем уровне - чем
ниже уровень процесса, тем меньше он управляем с более верхних
уровней и тем больше он зависит от ОС.
Любые попытки защиты оперативной памяти приводят к
необходимости создания виртуальной памяти в том или ином виде.
Здесь используется та же концепция иерархической декомпозиции,
чтобы отделить реальную память, содержащую информацию, от той,
которая доступна пользователям. Соответствие между виртуальной
и физической памятью обеспечивается диспетчером памяти. При
этом различные области памяти могут являться компонентами
разных уровней - это зависит от уровня программ, которые могут
обращаться к этим областям.
Пользователи и их программы могут работать только с
виртуальной памятью. Доступ к любому участку физической
оперативной памяти (в том числе и принадлежащему ДВБ),
контролируется диспетчером памяти. При трансляции виртуального
адреса в физический проверяются права доступа к указанному
участку. Надежность разделения оперативной памяти во многом
обеспечивается за счет надежности функции, отображающей
виртуальные адреса в физические: адресные пространства
различных пользователей и системы не должны перекрываться в
физической памяти.
Доступ к информации на внешних носителях осуществляется с
помощью подсистемы ввода-вывода; программы этой подсистемы
являются компонентами нижних и средних уровней ДВБ. При
получении имени файла (адреса записи) в первую очередь
проверяются полномочия пользователя на доступ к запрашиваемым
данным. Принятие решение на осуществление доступа
осуществляется на основе информации, хранящейся в базе данных
защиты. Сама база данных является частью ДВБ, доступ к ней
также контролируются.
ДВБ должна быть организована таким образом, чтобы только
ее компоненты могли выполнить запрос, причем только тот,
который содержит корректные параметры.
Одним из необходимых условий реализации ДВБ в средствах
защиты является наличие мультирежимного процессора (то есть
процессора, имеющего привилегированный и обычный режим работы)
с аппаратной поддержкой механизма переключения режимов, и
различных способов реализации виртуальной памяти.
Достоверная вычислительная база состоит из ряда
механизмов защиты, позволяющих ей обеспечивать поддержку
реализации политики безопасности.
1.4.3. Механизмы защиты
В этом пункте будут рассмотрены механизмы защиты и их
свойства, входящие в состав ДВБ и обеспечивающие поддержку
политики безопасности. Основное внимание уделим механизмам
реализации избирательной политики безопасности поскольку,
во-первых, она является основной для коммерческого сектора, а
во-вторых, базовые механизмы поддержки этой политики также
используются как для поддержки полномочной политики, так и для
управления информационным потоком.
Основой ДВБ является ядро безопасности (security kernel)
- элементы аппаратного и программного обеспечения, защищенные
от модификации и проверенные на корректность, которые
разделяют все попытки доступа субъектов к объектам.
Ядро безопасности является реализацией концепции монитора
ссылок (reference monitor) - абстрактной концепции механизма
защиты.
Помимо ядра безопасности ДВБ содержит другие механизмы,
отвечающие за жизнедеятельность системы. К ним относятся
планировщики процессов, диспетчеры памяти, программы обработки
прерываний, примитивы ввода-вывода и др. программно-аппаратные
средства, а также системные наборы данных.
Под монитором ссылок понимают концепцию контроля доступа
субъектов к объектам в абстрактной машине. Схематически
монитор ссылок изображен на рис. 4.
Ъ—————————ї
і База і
і данных і
і защиты і
А——В———В——Щ
V ^
Ъ—————————ї ЙННПНННПНН» Ъ————————ї
і Субъект Г——>є Монитор З——>і Объект і
А—————————Щ є ссылок є А————————Щ
ИННННСННННј
V
Ъ—————Б—————ї
і Системный і
і журнал і
А———————————Щ
Рис. 3.
Под базой данных защиты (security database) понимают базу
данных, хранящую информацию о правах доступа субъектов системы
к объектам. Основу базы данных защиты составляет матрица
доступа или ее представления, которая служит основой
избирательной политики безопасности (см. 1.4.1.).
Любая операционная система, поддерживающая ИУД,
использует МД и операции над ней, поскольку МД - удобный
инструмент контроля использования и передачи привилегий.
Однако, вследствие больших размеров и разреженности МД,
хранение полной матрицы представляется нецелесообразным,
поэтому во многих системах используют более экономные
представления МД: по строкам, по столбцам, поэлементно.
Рассмотрим эти способы более подробно:
1. Профиль (profile).
Профилем называется список защищаемых объектов системы и
прав доступа к ним, ассоциированный с каждым субъектoм. При
обращении к объекту профиль субъекта проверяется на наличие
соответствующих прав доступа. Таким образом МД представляется
своими строками.
В системах с большим количеством объектов профили могут
иметь большие размеры и, вследствие этого, ими трудно
управлять; изменение профилей нескольких субъектов может
потребовать большого количества операций и привести к
трудностям в работе системы. Поэтому профили обычно
используются лишь администраторами безопасности для контроля
работы субъектов, и даже такое их применение весьма
ограничено.
2. Список контроля доступа (access control list).
Это представление МД по столбцам - каждому объекту
соответствует список субъектов вместе с их правами. В
современных условиях списки контроля доступа (СКД) - лучшее
направление реализации ИУД, поскольку это очень гибкая
структура, предоставляющая пользователям много возможностей.
3. Мандат или билет (capability или ticket).
Это элемент МД, определяющий тип доступа определенного
субъекта к определенному объекту (т.е. субъект имеет "билет"
на доступ к объекту). Каждый раз билет выдается субъекту
динамически - при запросе доступа, и так же динамически билет
может быть изъят у субъекта. Поскольку распространение билетов
происходит очень динамично, и они могут размещаться
непосредственно внутри объектов, то вследствие этого контроль
за ним очень затруднен. В чистом виде билетный механизм
хранения и передачи привилегий используется редко. Однако
реализация других механизмов присвоения привилегий (например с
использованием СКД) часто осуществляется с помощью билетов.
При реализации полномочной политики безопасности база
данных защиты также содержит метки критичности всех объектов и
уровни прозрачности субъектов системы.
Монитор ссылок должен выполнять следующие функции:
1. Проверять права доступа каждого субъекта к любому
объекту на основании информации, содержащейся в базе данных
защиты и положений политики безопасности (избирательной или
полномочной);
2. При необходимости регистрировать факт доступа и его
параметры в системном журнале.
Реализующее монитор ссылок ядро безопасности должно
обладать следующими свойствами:
- контролировать все попытки доступа субъектов к объ-
ектам;
- иметь защиту от модификации, подделки, навязывания;
- быть протестировано и верифицировано для получения
гарантий надежности;
- иметь небольшой размер и компактную структуру.
В терминах модели Белла-Лападулла (избирательной и
полномочной политик безопасности) монитор ссылок должен
контролировать состояния системы и переходы из одного в
другое. Основными функциями, которые должно выполнять ядро
безопасности совместно с другими службами ОС, являются:
1. Идентификация, аутентификация и авторизация субъектов
и объектов системы.
Эти функции необходимы для подтверждения подлинности
субъекта, законности его прав на данный объект или на
определенные действия, а также для обеспечения работы субъекта
в системе.
* Идентификация - процесс распознавания элемента системы,
обычно с помощью заранее определенного идентификатора или
другой априорной информации; каждый субъект или объект должен
быть однозначно идентифицируем.
* Аутентификация - проверка идентификации пользователя,
процесса, устройства или другого компонента системы (обычно
осуществляется перед разрешением доступа); а также проверка
целостности данных при их хранении или передаче для
предотвращения несанкционированной модификации.
* Авторизация - предоставление субъекту прав на доступ к
объекту.
Эти функции необходимы для поддержания разрешительного
порядка доступа к системе и соблюдения политики безопасности:
авторизованный (разрешенный) доступ имеет только тот субъект,
чей идентификатор удовлетворяет результатам аутентификации.
Они выполняются как в процессе работы (при обращении к наборам
данных, устройствам, ресурсам), так и при входе в систему. Во
втором случае имеются отличия, которые мы рассмотрим в
следующем пункте.
2. Контроль входа пользователя в систему и управление
паролями.
Эти функции являются частным случаем перечисленных выше:
при входе в систему и вводе имени пользователя осуществляется
идентификация, при вводе пароля - аутентификация и, если
пользователь с данными именем и паролем зарегистрирован в
системе, ему разрешается доступ к определенным объектам и
ресурсам (авторизация). Однако при входе в систему существуют
отличия при выполнении этих функций. Они обусловлены тем, что
в процессе работы система уже имеет информацию о том, кто
работает, какие у него полномочия (на основе информации в базе
данных защиты) и т.д. и поэтому может адекватно реагировать на
запросы субъекта. При входе в систему это все только предстоит
определить. В данном случае возникает необходимость
организации "достоверного маршрута" (trusted path) - пути
передачи идентифицирующей информации от пользователя к ядру
безопасности для подтверждения подлинности. Как показывает
практика, вход пользователя в систему - одно из наиболее
уязвимых мест защиты; известно множество случаев взлома
пароля, входа без пароля, перехвата пароля и т.д. Поэтому при
выполнении входа и пользователь, и система должны быть
уверены, что они работают непосредственно друг с другом, между
ними нет других программ и вводимая информация истинна.
Достоверный маршрут реализуется привилегированными
процедурами ядра безопасности, чья работа обеспечивается
механизмами ДВБ, а также некоторыми другими механизмами,
выполняющими вспомогательные функции. Они проверяют, например,
что терминал, с которого осуществляется вход в систему, не
занят никаким другим пользователем, который имитировал
окончание работы.
3. Регистрация и протоколирование. Аудит.
Эти функции обеспечивают получение и анализ информации о
состоянии ресурсов системы с помощью специальных средств
контроля, а также регистрацию действий, признанных
администрацией потенциально опасными для безопасности системы.
Такими средствами могут быть различные системные утилиты или
прикладные программы, выводящие информацию непосредственно на
системную консоль или другое определенное для этой цели
устройство, а также системный журнал. Кроме того, почти все
эти средства контроля могут не только обнаружить какое-либо
событие, но и фиксировать его. Например, большинство систем
имеет средства протоколирования сеансов работы отдельных
пользователей (всего сеанса или его отдельных параметров).
Большинство систем защиты имеют в своем распоряжении
средства управления системным журналом (audit trail). Как было
показано выше, системный журнал является составной частью
монитора ссылок и служит для контроля соблюдения политики
безопасности. Он является одним из основных средств контроля,
помогающим администратору предотвращать возможные нарушения в
связи с тем, что:
- способен оперативно фиксировать происходящие в системе
события;
- может помочь выявить средства и априорную информацию,
использованные злоумышленником для нарушения;
- может помочь определить, как далеко зашло нарушение,
подсказать метод его расследования и способы исправления
ситуации.
Содержимое системного журнала и других наборов данных,
хранящих информацию о результатах контроля, должны
подвергаться периодическому просмотру и анализу (аудит) с
целью проверки соблюдения политики безопасности. Подробнее
использование системного журнала рассмотрено в 1.6.4.
4. Противодействие "сборке мусора".
После окончания работы программы обрабатываемая
информация не всегда полностью удаляется из памяти. Части
данных могут оставаться в оперативной памяти, на дисках и
лентах, других носителях. Они хранятся на диске до перезаписи
или уничтожения. При выполнении этих действий на
освободившемся пространстве диска находятся их остатки.
Хотя при искажении заголовка файла эти остатки прочитать
трудно, однако, используя специальные программы и
оборудование, такая возможность все-таки имеется. Этот процесс
называется "сборкой мусора" (disk scavenging) (см. 1.2.2.). Он
может привести к утечке важной информации.
Для защиты от "сборки мусора" используются специальные
средства, которые могут входить в ядро безопасности ОС или
устанавливаться дополнительно.
5. Контроль целостности субъектов.
Согласно модели Белла-Лападулла множество субъектов
системы есть подмножество множества объектов, то есть каждый
субъект одновременно является объектом. При этом под
содержимым субъекта обычно понимают содержимое контекста
процесса, куда входит содержимое общих и специальных регистров
(контекст процесса постоянно изменяется). Кроме содержимого
или значения субъект имеет ряд специфических атрибутов
приоритет, список привилегий, набор идентификаторов и др.
характеристики. В этом смысле поддержание целостности
субъекта, то есть предотвращение его несанкционированной
модификации, можно рассматривать как частный случай этой
задачи для объектов вообще.
В то же время субъект отличается от объекта тем, что
является, согласно определению, активным компонентом системы.
В связи с этим для защиты целостности субъекта, в качестве
представителя которого выступает процесс, вводится такое
понятие как рабочая среда или область исполнения процесса. Эта
область является логически защищенной подсистемой, которой
доступны все ресурсы системы,относящиеся к соответствующему
процессу. Другими словами, область исполнения процесса
является виртуальной машиной. В рамках этой области процесс
может выполнять любые санкционированные действия без опасения
нарушения целостности. Таким образом, реализуется концепция
защищенной области для отдельного процесса.
Контроль целостности обеспечивается процедурами ядра
безопасности, контролируемыми механизмами поддержки ДВБ.
Основную роль играют такие механизмы, как поддержка
виртуальной памяти (для создания области данного процесса) и
режим исполнения процесса (определяет его возможности в рамках
данной области и вне ее).
Область исполнения процесса может содержать или
вкладываться в другие подобласти, которые составляют единую
иерархическую структуру системы. Процесс может менять области:
это действие называется переключением области процесса
(process switching). Оно всегда связано с переходом
центрального процессора в привилегированный режим работы.
Механизмы поддержки областей исполнения процесса
обеспечивают контроль их целостности достаточно надежно.
Однако даже разделенные процессы должны иметь возможность
обмениваться информацией. Для этого разработаны несколько
специальных механизмов, чтобы можно было осуществлять обмен
информацией между процессами без ущерба безопасности или
целостности каждого из них. К таким механизмам относятся,
например, кластеры флагов событий, почтовые ящики и другие
системные структуры данных. Следует однако учитывать, что с их
помощью может осуществляться утечка информации, поэтому если
использование таких механизмов разрешено, их обязательно
следует контролировать.
6. Контроль доступа.
Под контролем доступа будем понимать ограничение
возможностей использования ресурсов системы программами,
процессами или другими системами (для сети) в соответствии с
политикой безопасности. Под доступом понимается выполнение
субъектом некоторой операции над объектом из множества
разрешенных для данного типа. Примерами таких операций
являются чтение, открытие, запись набора данных, обращение к
устройству и т.д.
Контроль должен осуществляться при доступе к:
- оперативной памяти;
- разделяемым устройствам прямого доступа;
- разделяемым устройствам последовательного доступа;
- разделяемым программам и подпрограммам;
- разделяемым наборам данных.
Основным объектом внимания средств контроля доступа
являются совместно используемые наборы данных и ресурсы
системы. Совместное использование объектов порождает ситуацию
"взаимного недоверия" при которой разные пользователи одного
объекта не могут до конца доверять друг другу. Тогда, если с
этим объектом что-нибудь случиться, все они попадают в круг
подозреваемых.
Существует четыре основных способа разделения субъектов к
совместно используемым объектам:
1. Физическое - субъекты обращаются к физически различным
объектам (однотипным устройствам, наборам данных на разных
носителях и т.д.).
2. Временное - субъекты с различными правами доступа к
объекту получают его в различные промежутки времени.
3. Логическое - субъекты получают доступ к совместно
используемому объекту в рамках единой операционной среды, но
под контролем средств разграничения доступа, которые
моделируют виртуальную операционную среду "один субъект - все
объекты"; в этом случае разделение может быть реализовано
различными способами разделение оригинала объекта, разделение
с копированием объекта и т.д.
4. Криптографическое - все объекты хранятся в
зашифрованном виде, права доступа определяются наличием ключа
для расшифрования объекта.
Существует множество различных вариантов одних и тех же
способов разделения субъектов, они могут иметь разную
реализацию в различных средствах защиты.
Контроль доступа субъектов системы к объектам (не только
к совместно используемым, но и к индивидуальным) реализуется с
помощью тех же механизмов, которые реализуют ДВБ и
осуществляется процедурами ядра безопасности. Эти механизмы
были описаны в 1.4.3.
1.4.4. Принципы реализации политики безопасности
Как уже отмечалось выше, настройка механизмов защиты -
дело сугубо индивидуальное для каждой системы и даже для
каждой задачи. Поэтому дать ее подробное описание довольно
трудно. Однако существуют общие принципы, которых следует
придерживаться, чтобы облегчить себе работу, так как они
проверены практикой. Рассмотрим их.
1. Группирование.
Это объединение множества субъектов под одним групповым
именем; всем субъектам, принадлежащим одной группе,
предоставляются равные права. Принципы объединения
пользователей в группы могут быть самые разные: ссылки на одни
и те же объекты, одинаковый характер вычислений, работа над
совместным проектом и т.д. При этом один и тот же субъект
может входить в несколько различных групп, и, соответственно,
иметь различные права по отношению к одному и тому же объекту.
Механизм группирования может быть иерархическим. Это
означает, что каждый субъект является членом нескольких групп,
упорядоченных по отношению "быть подмножеством". Контроль за
состоянием групп очень важен, поскольку члены одной группы
имеют доступ к большому числу объектов, что не способствует их
безопасности. Создание групп и присвоение групповых привилегий
должно производиться администратором безопасности,
руководителем группы или каким-либо другим лицом, несущим
ответственность за сохранность групповых объектов.
2. Правила умолчания.
Большое внимание при назначении привилегий следует
уделять правилам умолчания, принятым в данных средствах
защиты; это необходимо для соблюдения политики безопасности.
Во многих системах, например, субъект, создавший объект и
являющийся его владельцем, по умолчанию получает все права на
него. Кроме того, он может эти права передавать кому-либо.
В различных средствах защиты используются свои правила
умолчания, однако принципы назначения привилегий по умолчанию
в большинстве систем одни и те же. Если в системе используется
древовидная файловая структура, то необходимо принимать во
внимание правила умолчания для каталогов. Корректное
использование правил умолчания способствуют поддержанию
целостности политики безопасности.
3. Минимум привилегий.
Это один из основополагающих принципов реализации любой
политики безопасности, используемый повсеместно. Каждый
пользователь и процесс должен иметь минимальное число
привилегий, необходимое для работы. Определение числа
привилегий для всех пользователей, с одной стороны,
позволяющих осуществлять быстрый доступ ко всем необходимым
для работы объектам, а, с другой, - запрещающих доступ к чужим
объектам - проблема достаточно сложная. От ее решения во
многом зависит корректность реализации политики безопасности.
4. "Надо знать".
Этот принцип во многом схож с предыдущим. Согласно ему,
полномочия пользователей назначаются согласно их обязанностям.
Доступ разрешен только к той информации, которая необходима им
для работы.
5. Объединение критичной информации.
Во многих системах сбор, хранение и обработка информации
одного уровня производится в одном месте (узле сети,
устройстве, каталоге). Это связано с тем, что проще защитить
одним и тем же способом большой массив информации, чем
организовывать индивидуальную защиту для каждого набора.
Для реализации этого принципа могут быть разработаны
специальные программы, управляющие обработкой таких наборов
данных. Это будет простейший способ построения защищенных
областей.
6. Иерархия привилегий.
Контроль объектов системы может иметь иерархическую
организацию. Такая организация принята в большинстве
коммерческих систем.
При этом схема контроля имеет вид дерева, в котором узлы
- субъекты системы, ребра - право контроля привилегий согласно
иерархии, корень - администратор системы, имеющий право
изменять привилегии любого пользователя (см. рис.5.).
Администратор
Ъ———ї системы
і і
А—В—Щ
Ъ———————Е———————ї Администраторы
Ъ—Б—ї Ъ—Б—ї Ъ—Б—ї подсистем
і і і і і і
А—В—Щ А———Щ А———Щ
Ъ———————Е———————ї Пользователи
Ъ—Б—ї Ъ—Б—ї Ъ—Б—ї системы
і і і і і і
А———Щ А———Щ А———Щ
Рис.5.
Узлами нижележащих уровней являются администраторы
подсистем, имеющие права изменять привилегии пользователей
этих подсистем (в их роли могут выступать руководители
организаций, отделов). Листьями дерева являются все
пользователи системы. Вообще говоря, субъект, стоящий в корне
любого поддерева, имеет право изменять защиту любого субъекта,
принадлежащего этому поддереву.
Достоинство такой структуры - точное копирование схемы
организации, которую обслуживает АСОИ. Поэтому легко составить
множество субъектов, имеющих право контролировать данный
объект. Недостаток иерархии привилегий - сложность управления
доступом при большом количестве субъектов и объектов, а также
возможность получения доступа администратора системы (как
высшего по иерархии) к любому набору данных.
7. Привилегии владельца.
При таком контроле каждому объекту соответствует
единственный субъект с исключительным правом контроля объекта
- владелец (owner). Как правило, это его создатель. Владелец
обладает всеми разрешенными для этого типа данных правами на
объект, может разрешать доступ любому другому субъекту, но не
имеет права никому передать привилегию на корректировку
защиты. Однако такое ограничение не касается администраторов
системы - они имеют право изменять защиту любых объектов.
Главным недостатком принципа привилегий владельца
является то, что при обращении к объекту, пользователь должен
предварительно получить разрешение у владельца (или
администратора). Это может приводить к сложностям в работе
(например, при отсутствии владельца или просто нежелании его
разрешить доступ). Поэтому такой принцип обычно используется
при защите личных объектов пользователей.
8. Свободная передача привилегий.
При такой схеме субъект, создавший объект, может передать
любые права на него любому другому субъекту вместе с правом
корректировки СКД этого объекта. Тот, в свою очередь, может
передать все эти права другому субъекту.
Естественно, при этом возникают большие трудности в
определении круга субъектов, имеющих в данный момент доступ к
объекту (права на объект могут распространяться очень быстро и
так же быстро исчезать), и поэтому такой объект легко
подвергнуть несанкционированной обработке. В силу этих
обстоятельств подобная схема применяется достаточно редко - в
основном в исследовательских группах, работающих над одним
проектом (когда все имеющие доступ к объекту заинтересованы в
его содержимом).
В чистом виде рассмотренные принципы реализации политики
безопасности применяются редко. Обычно используются их
различные комбинации. Ограничение доступа к объектам в ОС
включает в себя ограничение доступа к некоторым системным
возможностям, например, ряду команд, программам и т.д., если
при использовании их нарушается политика безопасности. Вообще
набор полномочий каждого пользователя должен быть тщательно
продуман, исключены возможные противоречия и дублирования,
поскольку большое количество нарушений происходит именно из-за
этого. Может произойти утечка информации без нарушения защиты,
если плохо была спроектирована или реализована политика
безопасности.
Политика безопасности и механизмы поддержки ее реализации
образуют единую защищенную среду обработки информации. Эта
среда имеет иерархическую структуру, где верхние уровни
представлены требованиями политики безопасности, далее следует
интерфейс пользователя, затем идут несколько программных
уровней защиты (включая уровни ОС) и, наконец, нижний уровень
этой структуры представлен аппаратными средствами защиты. На
всех уровнях, кроме верхнего, должны реализовываться
требования политики безопасности, за что, собственно, и
отвечают механизмы защиты.
В различных системах механизмы защиты могут быть
реализованы по-разному; их конструкция определяется общей
концепцией системы. Однако одно требование должно выполняться
неукоснительно: эти механизмы должны адекватно реализовывать
требования политики безопасности.
1.5. ОЦЕНКА БЕЗОПАСНОСТИ СИСТЕМ
Естественным требованием конечных пользователей к
выбираемым средствам защиты информации является их надежность
(или уровень обеспечиваемой ими безопасности). Для оценки
степени безопасности в различных странах были разработаны
критерии оценки безопасности систем [9]. В этой главе будут
рассмотрены только два из них.
Кроме критериев оценки в главе приведено краткое описание
основных зарубежных и отечественных стандартов в области
криптозащиты.
1.5.1. Основные критерии оценки безопасности систем
Для оценки надежности средств защиты применяются
различные критерии оценки. Анализ некоторых критериев показал
общность идеи, лежащей в основе подхода к оценке безопасности
(степени защищенности) компьютерных систем. Ее сущность
состоит в следующем. Для предоставления пользователям
возможности обоснованного выбора средств защиты вводится некая
система классификации их свойств. Задается иерархия
функциональных классов безопасности. Каждому классу
соответствует определенная совокупность обязательных функций.
Конкретное средство разграничения доступа относится к такому
классу безопасности, в котором реализованы все соответствующие
ему функции безопасности, если оно не может быть отнесено к
более высокому классу.
В разных странах за разработку этих документов и проверку
средств разграничения доступа на соответствие им, отвечают
различные организации. Например, в США это уже упоминаемый
ранее Национальный Центр Компьютерной Безопасности, в России
это Государственная техническая комиссия при Президенте
Российской Федерации (в дальнейшем просто ГТК РФ).
Система документов США
В период с 1983 по 1988 год в США Министерством обороны
(Department of Defence, DoD) и Национальным Центром
Компьютерной Безопасности была разработана система документов
в области компьютерной безопасности. В нее вошли:
1. "Критерий оценки безопасности компьютерных систем"
(больше известна как "Оранжевая книга");
2. "Программа оценки безопасности продуктов";
3. "Руководство по применению критерия оценки
безопасности компьютерных систем в специфических средах"
(известно под названием "Желтая книга");
4. "Разъяснение критерия оценки безопасности компьютерных
систем для безопасных сетей", "Разъяснение критерия оценки
безопасности компьютерных сетей для безопасных СУБД",
"Разъяснение критерия оценки безопасности компьютерных систем
для отдельных подсистем безопасности" (комплект документов под
общим названием "Радужная серия"(Rainbow Series). Список
материалов этой серии приведен в Приложении 1).
Ниже будет несколько подробнее рассмотрены основные
понятия "Оранжевой книги", как исторически первого критерия
оценки безопасности компьютерных систем.
Областью действия "Оранжевой книги" являются операционные
системы и программно/аппаратные средства, изменяющие функции
операционных систем. Оценка безопасности СУБД и сетей ЭВМ
производится по другим документам (см. Приложение 1).
"Оранжевая книга" необходима:
- пользователям, для того, чтобы они могли оценить
степень доверия системе, выбираемой для обработки
конфиденциальной информации;
- производителям, чтобы они знали требования,
предъявляемые к системам защиты информации и учитывали это в
своих коммерческих продуктах.
- разработчикам стандартов, для обеспечения основы
разработки других документов в области безопасности.
В документе изложены единые для МО США требования к
обеспечению безопасности компьютерных систем и порядок
определения классов защищенности компьютерных систем МО США.
В документе выделены общие требования по обеспечению
безопасности обрабатываемой информации, определен перечень
показателей (показатели защищенности), характеризующих
реализацию этих требований. Совокупность показателей
определяет уровень безопасности рассматриваемой системы.
Выделены также шесть основных требований безопасности;
четыре из них относятся к управлению доступом к информации
(политика безопасности, маркировка, идентификация и учет), а
два - к предоставляемым гарантиям (уверенность в системе и
непрерывность защиты). Эти основные требования
конкретизируются в показателях защищенности, которые приведены
в табл.4. Чтобы избежать разночтений, приводим формулировки
оригинала, смысл некоторых из них разъясняется в Приложении
2).
Таблица 4
Ъ———В——————————————————————————————————В———————————————————————ї
і і Наименование і Класс защищенности і
і і показателя Г———В———В———В———В———В———ґ
і і і C1і C2і B1і B2і B3і A1і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і SECURITY POLICY і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і 1.іDiscretionary Access Control і + і + і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 2.іMandatory Access Control і - і - і + і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 3.іLabels і - і - і + і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 4.іLabels Integrity і - і - і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 5.іWorking labels і - і - і - і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 6.іLabels Frequency і - і - і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 7.іObject Reuse і - і + і = і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 8.іResource Encapsulation і - і + і = і - і - і - і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 9.іExported Machine Readable Output і - і - і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і10.іExported Human-Readable Labels і - і - і + і = і = і = і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і ACCOUNTABILITY і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і11.іIdentification & Authentication і + і + і = і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і12.іAudit і - і + і + і + і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і13.іTrusted Path і - і - і - і + і = і = і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і ASSURANCE і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і14.іDesign Specification&Verification і - і - і + і + і + і + і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і15.іSystem Architecture і + і = і = і + і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і16.іSystem Integrity і + і = і = і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і17.іSecurity Testing і + і + і + і + і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і18.іTrusted Recovery і - і - і - і - і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і19.іConfiguration Management і - і - і - і + і + і + і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і20.іTrusted Facility Management і - і - і - і + і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і21.іTrusted Distribution і - і - і - і - і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і22.іCovert Channel Analysis і - і - і - і + і = і + і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і DOCUMENTATION і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і23.іSecurity Features User's Guide і + і = і = і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і24.іTrusted Facility Manual і + і + і + і + і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і25.іTest Documentation і + і = і = і + і = і + і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і26.іDesign Documentation і + і = і + і + і = і + і
А———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———Щ
"-" - нет требований к данному классу
"+" - новые или дополнительные требования
"=" - требования совпадают с требованиями к предыдущему классу
В документе даны подробные требования к реализации
каждого показателя защищенности для соответствующего класса.
Класс защищенности присваивается системе при прохождении ею
сертификации. При сертификации специалисты NCSC на основании
представленных исходных текстов программ и документации на
систему оценивают уровень реализации той или иной возможности
системы по защите информации.
Следует отметить, что сертификации подвергается вся
система в целом, а класс защищенности присваивается только в
том случае, когда самый "слабый" показатель удовлетворяет его
требованиям.
Ниже в порядке возрастания требований к обеспечению
безопасности приведены классы безопасности компьютерных
систем.
Класс D: подсистемы безопасности.
Класс D присваивается тем системам, которые не прошли
испытаний на более высокий уровень защищенности, а также
системам, использующим для защиты лишь отдельные функции
(подсистемы) безопасности. Структура этого класса приведена в
документе [14] Приложения 1.
Класс С1: избирательная защита.
Средства защиты систем класса С1 удовлетворяют
требованиям избирательного управления доступом, обеспечивая
разделение пользователей и данных. Для каждого объекта и
субъекта в системе явно и недвусмысленно задается перечень
допустимых типов доступа (чтение, запись и др.) субъекта к
объекту.
В системах этого класса обязательна идентификация и
аутентификация субъекта доступа, а также поддержка со стороны
оборудования.
Класс С2: управляемый доступ
К требованиям класса C1 добавляются требования уникальной
идентификации субъекта доступа, защиты по умолчанию и
регистрации событий. Уникальная идентификация означает, что
любой пользователь системы должен иметь уникальное имя.
Защита по умолчанию предполагает назначение полномочий
доступа пользователям по принципу "все что не разрешено, то
запрещено". То есть все те ресурсы, которые явно не разрешены
пользователю, полагаются недоступными.
В системах этого класса обязательно ведение системного
журнала, в котором должны отмечаться события, связанные с
безопасностью системы. Данные журнала должны быть защищены от
доступа любых пользователей, за исключением администратора
системы.
Системы класса B
Системы класса B характеризуются реализацией в них
полномочного управления доступом, при котором каждый субъект и
объект системы снабжается метками (или уровнями)
конфиденциальности и решение на доступ субъекта к объекту
принимается по определенному правилу на основе сопоставления
информации, содержащихся в обеих метках. При этом оборудование
должно обеспечить целостность меток безопасности и
использование их при разграничении доступа. Системы этого
класса предполагают реализацию концепции монитора ссылок.
Реализация полномочной политики безопасности имеет в виду
использование модели Белла-Лападула, хотя явно это не отражено
(см. 1.4.1.).
Класс B1: меточная защита.
Метки безопасности должны быть присвоены всем субъектам и
объектам системы, которые могут содержать конфиденциальную
информацию. Доступ к объектам внутри системы разрешается
только тем субъектам, чья метка (или уровень) удовлетворяет
определенному критерию относительно метки объекта. Примером
такого критерия являются простое условие безопасности и
*-свойство в модели Белла-Лападула.
При этом должно контролироваться соответствие меток на
данных, экспортируемых из системы, и на устройствах, на
которые осуществляется их вывод. Метка безопасности на
вводимые данные запрашивается у пользователя.
Класс B2: структурированная защита
Дополнительно к требованиям класса B1 добавляется
требование наличия хорошо определенной и документированной
формальной модели политики безопасности, требующей действия
избирательного и полномочного управления доступом ко всем
объектам системы. Вводится требование управления
информационными потоками в соответствии с полномочной
политикой безопасности.
Система должна быть четко разделена на чувствительные и
нечувствительные к защите элементы. Также предъявляются
дополнительные требования по защите механизмов аутентификации.
Интерфейс с ДВБ должен быть хорошо документирован.
Класс B3: области безопасности.
В оборудовании систем этого класса должна быть
реализована концепция монитора ссылок (reference monitor). Все
взаимодействия субъектов с объектами должны контролироваться
этим монитором. Действия должны выполнятся в рамках областей
безопасности, которые имеют иерархическую структуру и защищены
друг от друга с помощью специальных механизмов.
Из системы защиты должен быть исключен код, который не
требуется для обеспечения поддержки политики безопасности.
Механизмы регистрации событий безопасности должны также
оповещать администратора и пользователя о нарушении
безопасности.
Класс A1: верифицированная разработка.
Системы этого класса отличаются от класса B3 тем, что для
проверки спецификаций применяются методы формальной
верификации - анализа спецификаций системы на предмет
неполноты или противоречивости, что могло бы привести к
появлению брешей безопасности.
Анализ классов защищенности показывает, что чем он выше,
тем более жесткие требования предъявляются к системе. Это
выражается не только в расширенном тестировании возможностей
системы и представлении расширенной документации, но и в
использовании формальных методов проверки правильности
спецификаций программ и верификации их текстов.
Ниже перечислены некоторые системы, прошедшие анализ в
NCSC: (по состоянию на апрель 1992 г.):
1. Bull Multics (разработка компании Honeywell) - класс
защищенности B2, сентябрь 1985 г.
2. DEC VAX/VMS (для всех моделей семейства VAX) - класс
защищенности C2, июль 1986 г.
3. Hewlett-Packard MPE V/E (для серии 3000) - класс
защищенности C2, октябрь 1988 г.
4. IBM MVS/XA, MVS/SP с пакетом RACF (для моделей серии
ES/370) -класс защищенности C2, июнь 1988 г.
5. IBM VM/SP с пакетом RACF (для моделей серии ES/370) -
класс защищенности C2, сентябрь 1989 г.
6. Unisys MCP/AS с пакетом InfoGuard (для всех моделей
серии A) -класс защищенности C2, август 1987 г.
7. Unisys OS 1100 Security Release 1 (для Unisys 1100/90,
System 11, 2200/200) - класс защищенности B1, сентябрь 1989 г.
Кроме того, NCSC проводит анализ ОС:
1. Tandem Computers Guardian-90 - претендует на класс
защищенности C2;
2. Unisys OS/1100/2200 Release SB3R6 SB3R8 - претендует
на класс B2;
3. Hewlett-Packard HP-UX B - претендует на класс B;
4. IBM MVS/ESA с пакетом RACF - претендует на класс B1;
5. Trusted Information Systems (TIS) Trusted XENIX (для
IBM PC AT и IBM PS/2) - претендует на класс B1;
Собирается претендовать также на получение сертификата
безопасности ОС OS/400 для компьютеров AS/400 компании IBM и
Windows NT компании Microsoft для PC/AT/486 и выше.
Сертификация продукции в NCSC - дело долгое и хлопотное.
Процесс сертификации (в зависимости от того класса, на который
претендует система) может длиться от полугода до двух-трех
лет. За это время система может морально устареть, поэтому
фирмы-разработчики придумали оригинальный ход. При
представлении своей продукции потенциальным пользователям они
утверждают, что продукция разработана "с учетом требований к
классу C2 (B2 и т.д.)". С одной стороны - звучит вроде как
убедительно, а с другой очень трудно проверить.
Заметим, что на сегодняшний день NCSC не выдал ни одного
сертификата на средства защиты информации для персональных
ЭВМ. Системы защиты типа WatchDog проходят проверку в NCSC, о
чем выдается соответствующее заключение (но не сертификат).
Система документов России
Руководящие документы (в некоторой степени аналогичные
разработанным NSCS) в области защиты информации разработаны
ГТК РФ. Требования всех приведенных ниже документов
обязательны для исполнения только в государственном секторе,
либо коммерческими организациями, которые обрабатывают
информацию, содержащую государственную тайну.
Для остальных коммерческих структур документы носят
рекомендательно-консультативный характер. Все вопросы
криптографической защиты информации находятся в компетенции
Федерального агенства правительственной связи и информации (ФАПСИ см. п.1.5.2.)
Руководящие документы ГТК РФ включают (см. Приложение 4):
1) Концепцию защиты средств вычислительной техники и
автоматизированных систем от несанкционированного доступа
(НСД) к информации. Этот документ содержит определение НСД,
основные способы осуществления НСД, модель нарушителя,
основные направления и принципы организации работ по защите
информации от НСД;
2) Термины и определения в области защиты от НСД к
информации. Этот документ вводит в действие основные термины и
определения, используемые в других документах;
3) Показатели защищенности СВТ от НСД к информации. Этот
документ устанавливает классификацию СВТ по уровню
защищенности от НСД к информации на базе перечня показателей
защищенности и совокупности предъявляемым к ним требованиям;
4) Классификацию автоматизированных систем и требования
по защите информации. Документ устанавливает классификацию
автоматизированных систем (АС), подлежащих защите от НСД к
информации, и требования по защите информации в АС различных
классов.
5) Временное положение о государственном лицензировании
деятельности в области защиты информации. Документ
устанавливает основные принципы, организационную структуру
системы лицензирования деятельности предприятий в сфере
оказания услуг в области защиты информации, а также правила
осуществления лицензирования и надзора за деятельностью
предприятий, получивших лицензию.
Эти документы изданы в конце 1992 года. Полный перечень
этих документов приведен в Приложении 4.
Здесь мы кратко рассмотрим содержание только одного
документа - "Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели
защищенности". В этом документе определены семь классов
защищенности СВТ от НСД к информации. Самый низкий класс
седьмой, самый высокий первый. Каждый класс наследует
требования защищенности от предыдущего.
Изложенные ниже требования к показателям защищенности
предъявляются к общесистемным программным средствам и
операционным системам.
Совокупность всех средств защиты СВТ образует комплекс
средств защиты (КСЗ).
В зависимости от реализованных моделей защиты и
надежности их проверки классы подразделяются на четыре группы.
Первая группа включает только один седьмой класс (минимальная
защищенность).
Вторая группа характеризуется избирательной защитой и
включает шестой и пятый классы. Избирательная защита
предусматривает контроль доступа поименованных субъектов к
поименованным объектам системы. При этом для каждой пары
"субъект-объект" должны быть определены разрешенные типы
доступа. Контроль доступа применяется к каждому объекту и
каждому субъекту (индивиду или группе равноправных индивидов).
Третья группа характеризуется полномочной защитой и
включает четвертый, третий и второй классы. Полномочная защита
предусматривает присвоение каждому субъекту и объекту системы
классификационных меток, указывающих место субъекта (объекта)
в соответствующей иерархии. Классификационные метки на объекты
устанавливаются пользователем системы или специально
выделенным субъектом. Обязательным требованием для классов,
входящих в эту группу, является реализация диспетчера доступа
(в иностранной литературе - reference monitor, монитор ссылок,
см.1.4.3). Контроль доступа должен осуществляться
применительно ко всем объектам при явном и скрытом доступе со
стороны любого из субъектов. Решение о санкционированности
запроса на доступ должно приниматься только при одновременном
разрешении его и избирательными и полномочными правилами
разграничения доступа.
Четвертая группа характеризуется верифицированной защитой
и содержит только первый класс.
Для присвоения класса защищенности система должна иметь:
руководство администратора по системе, руководство
пользователя, тестовую и конструкторскую (проектную)
документацию.
Перечень показателей по классам защищенности СВТ приведен
в таблице 5. Сопоставление этого документа с "Оранжевой
книгой" приведено в работе [9].
Таблица 5
Ъ———В——————————————————————————————————В———————————————————————ї
і і Наименование і Класс защищенности і
і і показателя Г———В———В———В———В———В———ґ
і і і 6 і 5 і 4 і 3 і 2 і 1 і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і Политика безопасности і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і 1.іИзбирательная политика безопаснос-і і і і і і і
і іти і + і + і + і = і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 2.іПолномочная политика безопасности і - і - і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 3.іПовторное использование объектов і - і + і + і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 4.іИзоляция модулей і - і - і + і = і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 5.іМаркировка документов і - і - і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 6.іЗащита ввода и вывода на отчуж- і і і і і і і
і ідаемый физический носитель ин- і і і і і і і
і іформации і - і - і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 7.іСопоставление пользователя с і і і і і і і
і іустройством і - і - і + і = і = і = і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і Учет і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і 8.іИдентификация и аутентификация і + і = і + і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і 9.іРегистрация і - і + і + і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і10.іВзаимодействие пользователя с і і і і і і і
і іКСЗ і - і - і - і + і = і = і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і Гарантии і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і11.іГарантии проектирования і - і + і + і + і + і + і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і12.іГарантии архитектуры і - і - і - і - і - і + і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і13.іНадежное восстановление і - і - і - і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і14.іЦелостность КСЗ і - і + і + і + і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і15.іКонтроль модификации і - і - і - і - і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і16.іКонтроль дистрибуции і - і - і - і - і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і17.іТестирование і + і + і + і + і + і = і
Г———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———ґ
і Документация і
Г———В——————————————————————————————————В———В———В———В———В———В———ґ
і18.іРуководство пользователя і + і = і = і = і = і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і19.іРуководство по КСЗ і + і + і = і + і + і = і
Г———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і20.іТестовая документация і + і + і + і + і + і = і
і———Е——————————————————————————————————Е———Е———Е———Е———Е———Е———ґ
і21.іКонструкторская (проектная) і і і і і і і
і ідокументация і + і + і + і + і + і + і
А———Б——————————————————————————————————Б———Б———Б———Б———Б———Б———Щ
"-" - нет требований к данному классу
"+" - новые или дополнительные требования
"=" - требования совпадают с требованиями к СВТ предыдущего
класса
В соответствии со статьей 28 Закона "О государственной
тайне" [10] "средства защиты информации должны иметь
сертификат, удостоверяющий их соответствие требованиям по
защите сведений соответствующей степени секретности.
Организация сертификации средств защиты информации возлагается
на Государственную техническую комиссию при Президенте
Российской Федерации, Министерство безопасности Российской
Федерации, Федеральное агенство правительственной связи и
информации при Президенте Российской Федерации, Министерством
обороны Российской Федерации в соответствии с возложенными на
них законодательством Российской Федерации. Сертификация
осуществляется на основе требований государственных стандартов
Российской Федерации и иных документов, утвержденных
правительством Российской Федерации" сертификация средств
разграничения доступа осуществляется ГТК РФ через систему
своих сертификационных центров.
Обратите внимание на то, что обязательной сертификации
должны быть подвергнуты средства информации, применяемые для
защиты государственных секретов. Для обработки коммерческой
информации сертификат иметь не обязательно.
Опыт работы с банковскими специалистами показал, что они
склонны требовать сертификат на любые предлагаемые им средства
защиты. Эту проблему можно решить одним из двух способов :
либо применять средства защиты информации, которые имеют
сертификат и используются для защиты государственных секретов,
либо сертифицировать средства защиты, разработанные для
коммерческих организаций.
Использование средств защиты информации, применяемых для
защиты государственных секретов, в коммерческом секторе
затруднено, в первую очередь, их малым количеством. Всего две
системы имеют сертификат ГТК РФ. Это системы защиты информации
"СНЕГ" и "СНЕГ-ЛВС", разработанные в ЦНИИАтоминформ.
Разработчиков средств защиты сертификация не устраивает
по следующим причинам :
* сертификационные центры ГТК РФ, как правило, сами
разрабатывают аналогичные средства защиты информации и
предлагают их на рынке. Напомним, что обязательным условием
сертификации является представление исходных текстов. Так
например, одним из сертификационных центров ГТК РФ является
ЦНИИАтоминформ (упоминаемый выше). По сути дела при
сертификации разработчики вынуждены раскрывать свои "ноу-хау"
конкурентам;
* высокая стоимость услуг по сертификации, сравнимая со
стоимостью разработки средств защиты.
Потенциальным потребителям из коммерческого сектора
сертификат на средства защиты кроме уверенности в приносит
следующие неудобства :
* значительное увеличение стоимости сертифицированных
средств защиты по сравнению с их несертифицированными
аналогами. Увеличение разработчиком стоимости средств защиты
будет вызвано необходимостью окупить расходы на их создание.
Причем чем больше система, тем больше увеличится ее стоимость.
* трудности поддержки и сопровождения приобретенных
средств защиты. После сертификации средств защиты разработчик
не может вносить изменения в программы, в противном случае
теряется сертификат.
Анализ сложившейся ситуации показывает, что на
сегодняшний день сертификация средств защиты информации
является выгодной лишь тем, кто ее проводит. Коренные
изменения ситуации могут произойти лишь в том случае, если
сертификационные центры сами не будут заниматься разработкой
средств защиты информации и снизят расценки на свои услуги.
1.5.2. Стандарты в области криптозащиты информации
Эффективное использование криптозащиты в любой системе
невозможно без приемлемых для всех абонентов стандартов.
Наиболее известными зарубежными стандартами являются:
* DES (Data Encryption Algorithm) - стандарт шифрования
данных, разработанный в США. В настоящее время используется
почти повсеместно для защиты коммерческой информации, в
частности, в банковской сфере (ISO 8731-1/ANSI X3.92). Введен
в действие в 1977 году. Представляет собой блочный алгоритм
шифрования с секретным ключом. Длина ключа- 56 бит.
Есть два режима шифрования : непосредственное и с
обратной связью. При непосредственном информация шифруется
блоками по 8 байтов, при шифровании с обратной связью исходное
сообщение преобразуется при помощи операции "исключающее или"
с потоком битов длиной от 1 до 64 бит в зависимости от длины
шифруемого сообщения.
Зарубежные специалисты отмечают следующие недостатки
этого алгоритма [48] :
- малый размер ключа. В работе [43] показано, что
при правильном сочетании предварительного вычисления и
перебора можно сконструировать машину, которая была бы
способна раскрыть ключ за один день с очень высокой
вероятностью.
- отсутствие публикаций о критериях проектирования;
- малое число циклов
- относительно простой алгоритм назначения ключей.
Эти недостатки были проанализированы в процессе
исследования группами Национального бюро стандартов (National
Bureau of Standarts). По мнению специалистов одной из этих
групп [49] машина для автоматического анализа ключей
с вероятностью распознавания шифров от 0.1 до 0.2 не может
быть создана ранее 1990 года и оценивается в несколько
десятков миллионов долларов.
* RSA (Rivest, Shamir, Adleman) - криптосистема с
открытыми ключами (т.е. часть ключа является открытой и может
быть известна всем; на стойкость системы это не влияет, но
отпадает необходимость сложного порядка распределения ключей),
опубликованная в 1978 г. и названная по имени ее авторов.
Скорость ее работы значительно меньше, чем у DES, поэтому
используется в основном вместе с более быстрыми алгоритмами.
* MAA (Message Authentication Algorithm) - разработанный
в Великобритании стандарт для защиты целостности данных (ISO
8731-2/ ANSI X9.8). Используется для защиты финансовых
сообщений от различных (в том числе и мошеннических)
манипуляций.
* Стандарт MAC (Код проверки подлинности данных;Message
Authentication Code;MAC) (ISO 8730 и 9807/ ANSI X9.9 и X9.19).
Используется в банковских системах для подтверждения
подлинности сообщения совместно с МАА.
Код проверки подлинности данных представляет собой поле
данных, добавляемое к сообщению и являющееся функцией от
содержимого сообщения и секретного ключа. Любое воздействие на
содержимое сообщения повлияет на связь между ним и полем MAC,
что сразу же будет обнаружено при приеме. Соответствующее же
изменение поля MAC невозможно без знания ключа. При этом
необходимо учитывать, что все подобного рода меры защиты
бессильны против того, кто обладает ключом. Назначение MAC
заключается в доказательстве того факта, что во время передачи
сообщение не было изменено, либо подменено даже тем человеком,
который имеет такой же секретный ключ. Однако MAC не может
защитить от неправильной регистрации сообщения.
Для поддержания конфиденциальности может быть
использована определенная схема. С каждым сообщением
посылается его ключ аутентификации, полученный из ключа
соединения двойным шифрованием с использованием алгоритма с
секретным ключом (см. рис.6 ).
Ъ———————————————————ї
іКлюч аутентификацииі
А————————В——————————Щ
Г——> двойное шифрование
Ъ—————————————В————————Б———————В———————————ї
і Шифроблок і Сообщение і M A C і
А—————————————Б————————————————Б———————————Щ
Рис. 6.
В России к настоящему времени приняты или готовятся к
принятию следующие стандарты:
* Стандарт криптографического преобразования информации
(ГОСТ 28147-89) был введен в действие с июля 1990 года.
Стандарт устанавливает единый алгоритм криптографического
преобразования для систем обработки информации в сетях ЭВМ и
отдельных вычислительных комплексах, который определяет
правила шифрования данных и выработки имитовставки.
Алгоритм не накладывает ограничений на степень
секретности обрабатываемой информации. Он представляет собой
блочный алгоритм с секретным ключом. Это означает, что
шифрование данных производится блоками (выбор размера блока
осуществляется разработчиком), а зашифрование и расшифрование
осуществляется при помощи одного и того же ключа. Последний из
шифруемых блоков может иметь длину меньшую, чем 8 байт. Длина
ключа - 256 бит. Длина блока подстановки - 512 бит. Размер
минимального блока для шифрования - 64 бита. К достоинствам
алгоритма криптографического преобразования можно отнести его
высокую криптостойкость (по оценке специалистов она равна
10**75, что превосходит стойкость алгоритма DES, а также
больший набор режимов функционирования).
Существенным недостатком стандарта является сложность его
программно-технической реализации и, как следствие этого,
низкая скорость шифрования данных. Например, программная
реализация режима гаммирования с обратной связью этого
алгоритма на PC/AT-286/16Mhz обладает быстродействием 12-15
Кб/сек. Существующие аппаратные реализации этого алгоритма
немного (от 50 Кб/сек до 150 Кб/сек).
* Разработкой стандарта электронной подписи (ЭП) в
настоящее время занимается ФАПСИ (Федеральное Агенство
Правительственной Связи и Информации). Стандарт будет
содержать описание криптографических случайных функций и
алгоритмов, построенных на принципах как классической (с
использованием стандарта криптографической защиты данных ГОСТ
28147-89), так и открытой криптографии, а также протоколов
взаимодействия объектов в системе ЭП для сетей различной
конфигурации.
Стандарт ЭП предполагается разрабатывать как
межгосударственный для республик бывшего СССР, подписавших
соответствующее соглашение по проблемам стандартизации.
Планируемый срок завершения создания стандарта - середина 1994
года.
Следует заметить, что для криптозащиты информации лучше
всего применять стандартизованные алгоритмы, так как они
прошли многократные проверки в различных компетентных
организациях. Никто не запрещает коммерческим организациям
применять собственные алгоритмы криптозащиты, однако в этом
случае необходимо предусмотреть проверку их криптостойкости.
Мало иметь проверенный алгоритм, необходима правильная
его реализация на языке программирования или в аппаратуре. Для
проверки соответствия алгоритма и его реализации проводится
сертификация реализации. Она проводится специалистами
Федерального агентства правительственной связи и информации
(ФАПСИ).
По нашим сведениям на сегодняшний день сертификат имеет
только плата "Криптон-3". Плата "Криптон-3" реализует алгоритм
шифрования в соответствии с ГОСТ 28147-89. Плату отличает
высокая стоимость (на июль месяц 1993 года - около 120 тыс.
руб), неприемлемая для многих приложений скорость шифрования
(не более 150 Кб/сек, наши тесты показали скорость 25-30
Кб/сек на PC/AT/286/16Mhz), встроенная поддержка механизма
распространения ключей. Сертификаты на реализации ЭП ФАПСИ не
выдает в связи с тем, что отсутствует государственный стандарт
на ЭП (см. выше). В то же время, по сообщению газеты
"Коммерсантъ-DAILY" от 26.10.93, ФАПСИ поручило одной из
коммерческих фирм продвижение своего варианта реализации ЭП на
рынок средств защиты.
Специалистами фирмы "Элиас" была предложена интересная
схема, позволяющая широко использовать свои разработки в
коммерческом секторе без получения сертификата ФАПСИ.
Надежность ЭП гарантируется не сертификатом, не честным словом
специалистов фирмы, а деньгами страховой компании,
обслуживающей сделки с использованием реализации ЭП фирмы
"Элиас". При этом страховая компания получает небольшую
фиксированную сумму от заверенной сделки, гарантируя своим
страховым фондом возмещение убытков, если такое произойдет при
"вскрытии" ЭП.
Использование средств криптозащиты порождает одну
немаловажную проблему, неудовлетворительное решение которой
может свести на нет все достоинства самих алгоритмов - это
рассылка ключей. Вопросы распространения ключей будут
несколько подробнее рассмотрены во второй части книги.
1.6. УПРАВЛЕНИЕ ЗАЩИТОЙ АСОИ
Выбрать надежные средства защиты, отвечающие вашим
требованиям это только полдела. Дальше необходимо настроить их
так, чтобы все требования части политики безопасности
выполнялись так, как и было задумано (и зафиксировано в плане
защиты). Кроме того, необходимо постоянно контролировать
работу АСОИ. В принципе все это достаточно очевидно. Однако
задачи настройки средств защиты, управления ими и контроля
функционирования АСОИ в каждом конкретном случае решаются
по-своему. Подходы к решению этих задач зависят от конкретных
условий, поэтому приведем лишь основные положения, которыми
следует руководствоваться при организации управления защитой
АСОИ.
Если каждый пользователь работает "сам по себе", решает
только индивидуальные задачи и обрабатывает лишь собственные
данные, то изоляция пользователей друг от друга и
индивидуальная защита каждого из них позволят надежно оградить
обрабатываемую информацию от различных угроз. Однако на
практике такая ситуация встречается крайне редко. Почти всегда
существует необходимость совместного решения различных задач
или совместного анализа каких-либо данных, обмена информацией.
Это означает, что в системе существует информация, не
принадлежащая ДВБ (см. 1.4.2) и совместно используемая
несколькими пользователями. Это обстоятельство, в свою очередь
порождает проблему взаимного недоверия: если несколько
пользователей имеют одинаковые права на какой-либо набор
данных, кто будет отвечать, если с ним что-либо случится?
Вообще, наличие любых совместно используемых ресурсов, тем
более доступных для модификации, создает предпосылки нарушения
политики безопасности.
О том, как этого избежать, или хотя бы свести до минимума
возможность нарушения политики безопасности, либо, в крайнем
случае, вовремя заметить и устранить последствия нарушения,
пойдет речь ниже.
1.6.1. Принципы организации защиты и контроля
функционирования системы
Настройка средств защиты, управление системой защиты и
осуществление контроля функционирования АСОИ - все это
составляющие одной задачи - реализации политики безопасности.
Управление средствами защиты включает в себя несколько задач и
их правильное решение способствует успешному функционированию
АСОИ в целом. При этом, как правило, ни одна из крайностей -
тотальная защита или полное ее отсутствие - не способствует
оптимальной работе.
Настройка средств защиты необходима для приведения
средств защиты информации в соответствие с разработанным
планом. При настройке добавленных (add-on) средств защиты
необходимо особое внимание уделить вопросам проверки их
совместимости с используемыми прикладными программами.
Управление системой защиты состоит в периодическом
внесении изменений в базу данных защиты (см. 1.4.3.),
содержащую сведения о пользователях, допущенных к работе в
системе, их правах доступа к различным объектам системы и др.
Особое внимание при управлении системой защиты необходимо
обратить на следующее :
- документированность всех изменений в базе данных
защиты. Лучше всего организовать систему заявок от должностных
лиц организации на разрешение доступа тому или иному
сотруднику организации к какому-либо ресурсу системы. При этом
ответственность за допуск сотрудника возлагается на
соответствующее лицо, подписавшее заявку;
- периодическое резервное копирование базы данных защиты
во избежание утраты их актуальной копии в случае сбоя (отказа)
оборудования;
Контроль за функционированием АСОИ заключается в слежении
за опасными событиями, анализе причин, которые привели к их
возникновению и устранению последствий (если таковые
наступили).
Как правило, задачи управления и контроля решаются
административной группой, состав и размер которой зависят от
конкретных условий. Обычно в эту группу входят: администратор
безопасности, менеджер безопасности и операторы. Ниже мы более
подробно рассмотрим характеристики этой административной
группы и функциональные обязанности входящих в нее
сотрудников.
Обеспечение и контроль безопасности представляют собой
комбинацию технических и административных мер. По данным,
взятым из зарубежных источников, у сотрудников
административной группы обычно 1/3 времени занимает
техническая работа (управление программами и др. средствами
контроля доступа, защита портов, криптозащита и т.д.) и около
2/3 административная (разработка документов, связанных с
защитой АСОИ, процедур проверки системы защиты, и т.д.).
Разумное сочетание этих мер помогает поддерживать
адекватную защиту АСОИ и способствует уменьшению вероятности
нарушений политики безопасности.
В отличие от своих зарубежных коллег, у отечественных
сотрудников аналогичных служб распределение времени несколько
иное. По нашим оценкам администратор безопасности среднего и
крупного банка на техническую работу тратит более 60% своего
времени, а оставшиеся 40% уходит у него на административные
задачи. Это объясняется тем, что:
- количества сотрудников, входящих в административную
группу, слишком мало для выполнения всех возложенных на группу
обязанностей. Такое положение дел следует из недооценки
руководящим составом организации роли и места обеспечения
безопасности собственной АСОИ;
- производятся частые изменения программных средств,
предназначенных для обработки информации (до 3-5 раз за одну
неделю). Это связано с тем, что как правило, крупные
коммерческие банки содержат собственный штат программистов. А
программисты находят и устраняют ошибки в программном
обеспечении, или дорабатывают программы в соответствии с
требованиями аналитиков банка и затем обновляют программы;
- периодически изменяется штатно-должностное расписание,
приходят новые сотрудники, уходят старые. Это приводит к тому,
что иногда приходиться за неделю добавлять (удалять) в систему
(из системы) 5-7 пользователей. Если система невелика - все не
так сложно, а если ежедневно в ней работает одновременно более
100 человек с более чем 200 программными модулями, половина из
которых обновляется, задача становится неимоверно тяжелой;
- отсутствуют программные средства, облегчающие
деятельность администратора, поэтому администраторам
приходится либо мириться с таким положением дел, либо
разрабатывать необходимые программные средства.
Меры по реализации и сопровождению политики безопасности
сильно зависят от конкретных условий, поэтому мы приведем лишь
некоторые общие рекомендации (опуская анализ риска и
составление плана защиты):
1.Оптимизация хранения и обработки информации.
Информацию в системе необходимо размещать таким образом,
чтобы свести до минимума вероятность несанкционированного
доступа. Это означает, что информацию, с одной стороны, надо
организовать так, чтобы ее удобно было обрабатывать тем, кто
должен с ней работать, а с другой, - чтобы к ней нельзя было
получить доступ тем, кому это не разрешено. Способы и принципы
разделения субъектов системы были рассмотрены в 1.4.3. и
1.4.4. Комбинируя их следует подобрать такое размещение
наборов данных, при котором возможность НСД была бы
минимальной. Организация такого разделения определяется
организационной структурой и особенностями АСОИ.
2.Реализация принципов минимума привилегий и что "надо
знать ("need-to-know").
Каждый пользователь должен иметь так мало привилегий,
насколько это возможно без ущерба работоспособности системы.
Эти принципы являются ключевыми при определении полномочий
пользователей и организации защиты наборов данных.
3.Разделение ответственности между пользователями.
Каждый должен нести персональную ответственность за свои
действия, при этом защиту следует организовать так, чтобы
действия пользователей были как можно более независимы друг от
друга. В тех случаях, когда это невозможно, и, следовательно,
возникает проблема взаимного подозрения, следует использовать
средства контроля.
4.Контроль за наиболее ценной информацией.
Для предотвращения утечки или модификации наиболее ценной
информации и для сохранения работоспособности АСОИ необходимо
постоянное слежение за наиболее опасными событиями. Кроме
того, необходимы регулярные проверки средств защиты и наиболее
ценных объектов АСОИ.
5. Регулярный пересмотр положений политики безопасности и
отражающих ее планов, используемых стандартов, своевременное
внесение изменений, контроль за тем, чтобы средства защиты
всегда были адекватны требованиям политики безопасности.
В частности, к этим мерам относится своевременное
добавление и, особенно, удаление пользователей, изъятие у них
ненужных привилегий и т.д.
6. Взаимодействие с административными группами других
АСОИ для координирования действий и проведения единой политики
безопасности, затрагивающей общие аспекты обработки
информации.
Это лишь самые общие рекомендации, справедливые
практически для управления любой системой. Однако их точное
соблюдение поможет сохранить работоспособность АСОИ в
кризисных ситуациях, которые не так уж редки. Ниже мы более
подробно остановимся на мерах контроля за работой системы.
Для успешного решения основных задач административной
группы, которые были перечислены выше, полезно учитывать
следующие факторы:
1. Тип управления защитой.
Управление может быть централизованным и
децентрализованным. В зависимости от этого функциональные
обязанности каждого сотрудника административной группы
распространяются на всю систему или на какую-то ее часть.
Выбираемый тип управления целиком зависит от
организационной структуры АСОИ и сложившейся технологии
обработки информации.
2. Уверенность в безопасности.
Администратор должен точно представлять себе все элементы
защиты, степень уверенности пользователей в возможностях
системы защиты, возможные угрозы системе и средства их
предупреждения и т.д.
3. Возможности средств защиты.
Для успешного решения задач управления защитой АСОИ
административная группа должна использовать современные
средства защиты, позволяющие гибко реагировать на все
требования жизни.
4. Возможности администратора.
Администратор безопасности - лицо в своем роде
исключительное, он должен быть представительным (всегда хорошо
выглядеть), иметь возможность по взаимодействию с любыми
подразделениями и должностными лицами организации для более
эффективного выполнения своих обязанностей.
Далее будут рассмотрены функции, которые должны выполнять
администратор безопасности и операторы в повседневной
деятельности. Основные проблемы, связанные с планированием и
настройкой средств защиты, были уже рассмотрены ранее, поэтому
наибольший интерес сейчас представляют вопросы управления и
контроля.
1.6.2. Административная группа управления защитой
Организация группы управления защитой информации,
включающей специалистов в этой области - одна из наиболее
важных задач управления защитой АСОИ. Иногда эту группу
называют также группой информационной безопасности.
В обязанности входящих в эту группу сотрудников должно
быть включено не только исполнение директив вышестоящего
руководства, но и участие в выработке решений по всем
вопросам, связанным с процессом обработки информации с точки
зрения обеспечения его защиты. Более того, все их
распоряжения, касающиеся этой области, обязательны к
исполнению сотрудниками всех уровней и организационных
звеньев. Кроме того, организационно эта группа должна быть
обособлена от всех отделов или групп, занимающихся управлением
самой системой, программированием и другими относящимися к
системе задачами во избежание возможного столкновения
интересов.
Состав знаний и практических навыков, которыми должен
обладать сотрудник группы информационной безопасности приведен
на рис.7.
Сюда Рис.7. (графика)
Несмотря на то, что обязанности и ответственность
сотрудников группы информационной безопасности варьируются от
организации к организации, можно выделить несколько основных
положений, которым должны соответствовать функциональные
обязанности во всех учреждениях. В обязанности сотрудников
группы информационной безопасности входит:
1. Управление доступом пользователей системы к данным,
включая установку (периодическую) смену паролей, управление
средствами защиты коммуникаций и криптозащиту предаваемых,
хранимых и обрабатываемых данных.
2. Разработка планов защиты, ОНРВ. Контроль за их
соблюдением, а также контроль за хранением резервных копий.
3. Доведение до пользователей изменений в области защиты,
которые имеют к ним отношение, обучение персонала и
пользователей АСОИ.
4. Взаимодействие со службой менеджмента АСОИ по вопросам
защиты информации в АСОИ.
5. Совместная работа с представителями других организаций
по вопросам безопасности - непосредственный контакт или
консультации с партнерами или клиентами.
6. Тесное сотрудничество и поддержание хороших отношений
со службой менеджмента и администрацией АСОИ.
7. Расследование происшедших нарушений защиты.
8. Координация действий с аудиторской службой, совместное
проведение аудиторских проверок.
9. Постоянная проверка соответствия принятых в
организации правил безопасности обработки информации
существующим правовым нормам, контроль за соблюдением этого
соответствия.
10. Поддержание хороших отношений с теми отделами, чьи
задачи могут (по каким-то особым причинам) выполняться в обход
существующих правил.
Естественно, все эти задачи не под силу одному человеку,
особенно если организация (компания, банк и др.) довольно
велика. Более того, в группу управления защитой могут входить
сотрудники с разными функциональными обязанностями. Обычно
выделяют четыре группы сотрудников (по возрастанию иерархии):
1. Сотрудник группы безопасности.
В его обязанности входит обеспечение должного контроля за
защитой наборов данных и программ, помощь пользователям и
организация общей поддержки групп управления защитой и
менеджмента в своей зоне ответственности. При
децентрализованном управлении каждая подсистема АСОИ имеет
своего сотрудника группы безопасности.
2. Администратор безопасности системы.
В его обязанности входит ежемесячное опубликование
нововведений в области защиты, новых стандартов, а также
контроль за выполнением планов непрерывной работы и
восстановления (если в этом возникает необходимость) и за
хранением резервных копий.
3. Администратор безопасности данных.
В его обязанности входит реализация и изменение средств
защиты данных, контроль за состоянием защиты наборов данных,
ужесточение защиты с случае необходимости, а также
координирование работы с другими администраторами.
4. Руководитель (начальник) группы по управлению
обработкой информации и защитой.
В его обязанности входит разработка и поддержка
эффективных мер защиты при обработке информации для
обеспечения сохранности данных, оборудования и программного
обеспечения; контроль за выполнением плана восстановления и
общее руководство административными группами в подсистемах
АСОИ (при децентрализованном управлении).
Существует несколько вариантов детально разработанного
штатного расписания такой группы,которые включают перечень
функциональных обязанностей,необходимых знаний и навыков,
распределение времени и усилий. При организации защиты
существование такой группы и детально разработанные
обязанности ее сотрудников совершенно необходимы [32].
1.6.3. Опасные события и их предупреждение
Для того, чтобы предотвратить проявление угрозы
безопасности или устранить ее последствия, прежде всего надо
хорошо представлять, какие вообще возможны угрозы Вашей АСОИ.
Для большинства АСОИ перечень угроз , которые могут повлечь за
собой частичную или полную потерю информации или
работоспособности системы и которые мы будем называть
опасными, один и тот же. К таким угрозам можно отнести:
1. Перехват информации из линии связи.
2. Перехват паролей.
3. Попытка проникновения в систему.
4. Создание или изменение записей базы данных защиты.
5. Несанкционированное получение и использование
привилегий.
6. Несанкционированный доступ к наборам данных.
7. Установка непроверенных выполняемых модулей и
командных процедур, которые могут содержать "Троянских коней",
"червей" и т.д.
8. "Сборка мусора" на диске или в оперативной памяти.
9. Использование узлов сети как портов для проникновения
в другие узлы сети ЭВМ.
В каждом из этих случаев должны предприниматься
немедленные меры для предотвращения нарушения
работоспособности АСОИ и сохранения данных.
При этом необходимо особо остановиться на таком опасном
нарушении, как несанкционированный доступ. Дело в том, что
понятие "несанкционированный" достаточно трудно определить.
Чаще всего под НСД понимают проникновение пользователя к
информации, которая ему не должна быть доступна. Это возможно
в двух случаях (см. главу 1.2):
1. В программно-аппаратных средствах поддержки политики
безопасности есть ошибки, приводящие к возможности действий,
позволяющих их обход. В этом случае единственный выход - смена
средств защиты (внести исправления в рабочем порядке обычно не
представляется возможным).
2. НСД оказался возможен в результате некорректно
сформулированной или реализованной политики безопасности для
данной конфигурации технических и программных средств системы.
Следует пересмотреть политику безопасности или способы ее
реализации, проверить полноту и однозначность сформулированных
требований. Этот вопрос лежит больше в плоскости
проектирования и реализации средств защиты или политики
безопасности, но никак не управления защитой.
НСД может быть обнаружен с помощью средств контроля или
явиться побочным эффектом другого нарушения (например,
вирусной атаки), но причины его гораздо глубже. Более подробно
этот вопрос мы рассматривали в 1.2.2. Во всяком случае
говорить о возможности НСД можно только в том случае, если
строго определено понятие "несанкционированный".
Когда систему пытаются атаковать, умышленно или
неумышленно, информацию об этом можно получить из следующих
источников:
- от пользователей - о состоянии защиты личных наборов
данных отдельных пользователей;
- при мониторинге функционирования АСОИ - о состоянии
общих характеристик системы;
- из системного журнала - о состоянии защиты различных
наборов данных.
Рассмотрим подробнее, как на основе информации каждого из
вышеперечисленных источников распознать угрозу.
Пользователи
Пользователи в своей работе постоянно сталкиваются с
работой средств защиты и в некоторых ситуациях, когда ее
поведение может показаться некорректным, должны обращаться к
администратору или оператору защиты. Это могут быть следующие
ситуации:
- потеря набора данных или ошибки при обращении к нему;
- неудовлетворительное содержание сообщения о последнем
входе (зафиксирован более поздний вход в систему, чем был на
самом деле);
- неудача при входе в систему- возможно, изменен пароль;
- зафиксирована попытка проникновения и, как следствие,
невозможность входа в систему;
- наличие наборов данных, которые никогда не создавались;
- неожиданные изменения защиты личных объектов
пользователя;
- появление листингов, сообщений и др. под именем
пользователя, который их не генерировал;
- истощение ресурсов пользователя (например, памяти на
диске).
Каждая возникающая ситуация нуждается в тщательном
анализе, его результаты должны быть известны соответствующим
пользователям.
Мониторинг функционирования АСОИ
Под мониторингом системы мы понимаем получение и анализ
информации о состоянии ресурсов системы с помощью специальных
средств контроля. Такими средствами могут быть различные
системные утилиты или прикладные программы, выводящие
информацию непосредственно на системную консоль или другое
определенное для этой цели устройство. Отличительная
особенность мониторинга - получение и анализ информации,
осуществляемые в реальном времени.
Ниже перечислены некоторые ситуации возможного нарушения
защиты, информацию о которых можно получить с помощью
мониторинга:
- в списке пользователей находятся такие, которые не
должны в настоящее время работать в системе;
- неожиданные события при загрузке системы;
- нарушения физической защиты - неработоспособны или
утеряны носители информации;
- изменения в списке пользователей, допущенных к
защищенным файлам;
- появление в системных библиотеках выполняемых модулей,
которые не были проверены;
- обнаружение выполнения неизвестных программ при
контроле системы;
- добавление неизвестных имен к списку привилегированных
пользователей;
- во время сеанса работы пользователей зафиксировано
чрезмерно большое время использования процессора - возможно,
вследствие НСД;
- в очереди пакетных заданий находятся неизвестные или
подозрительные;
- в АСОИ обнаружены неизвестные устройства;
- наблюдается повышенный уровень загруженности системы;
- неожиданное изменение характеристик системы (средств)
защиты;
- изменение характера работы пользователей.
Этот список может быть дополнен еще множеством других
ситуаций. Для каждой АСОИ такой список индивидуален. Мы
привели здесь лишь наиболее часто встречающиеся ситуации,
которые могут сигнализировать о наличии угрозы. Появление
каждой из них должно тщательно и своевременно анализироваться,
чтобы избежать потенциальной опасности.
Кроме того, средства контроля, как правило, фиксируют
сведения о прошедшем событии. Например, большинство систем
имеет средства протоколирования сеансов работы отдельных
пользователей. Отчеты о сеансах работы помогут обнаружить
следующие факты:
- неизвестные имена пользователей;
- настораживающие характеристики сеансов - неурочные
часы или дни работы, например,- чрезмерное использование
ресурсов системы;источники некорректных входов в систему- узлы
сети, удаленные терминалы и др.
Системный журнал
Для того, чтобы своевременно обнаруживать и предотвращать
опасные события должен вестись системный журнал (audit trail).
Работа с системным журналом является частным случаем
мониторинга функционирования АСОИ, однако его обычно считают
самостоятельным средством контроля. Дело в принципиальном
различии их целей: в процессе мониторинга осуществляется
слежение за общими характеристиками системы и он
осуществляется оператором, а системный журнал регистрирует
состояние средств защиты и управляется администратором
безопасности.
По ряду причин системный журнал является одним из
основных средств контроля, помогающим предотвращать возможные
нарушения:
1. В журнале оперативно фиксируются происходящие в
системе события, например:
- вводимые команды и имена выполняемых программ;
- доступ к определенным наборам данных или устройствам и
его параметры;
- вход и выход пользователей из системы;
- имя терминала или другого устройства, с которого был
осуществлен ввод команды или запуск программы;
- случались ли похожие события ранее и кто (или что) были
их причиной;
- другие события.
2. Анализ содержимого системного журнала может помочь
выявить средства и априорную информацию, использованные
злоумышленником для осуществления нарушения. Ведь очевидно,
что без предварительной информации любая сознательная попытка
нарушения почти наверняка обречена на провал. К такой
информации можно отнести:
- сведения об АСОИ;
- сведения о структуре организации;
- знание параметров входа в систему (имена и пароли);
- сведения об используемом оборудование и программном
обеспечении;
- характеристики сеансов работы и т.д.
3. Кроме того анализ содержимого системного журнала может
помочь определить, как далеко зашло нарушение, подсказать
метод его расследование и способы исправления ситуации.
Естественно, с помощью одного системного журнала не
всегда удается определить источник нарушения, однако он
несомненно позволяет значительно сузить круг подозреваемых. О
методах обнаружения и устранения нарушений более подробно см.
1.6.5.
В дополнение к перечисленным выше мерам рекомендуется
обязательно осуществлять контроль следующих событий с помощью
системного журнала:
1. События типа "ошибка входа" или "попытка
проникновения" (если "ошибка входа" фиксируется слишком часто,
обычно - больше трех раз подряд). Это лучший способ
распознавания попыток проникновения в систему.
2. События типа "вход в систему". Помогает контролировать
работу, особенно при доступе к узлу из сети. Такой доступ
является источником повышенной опасности.
3. События типа "ошибка при доступе к набору данных".
Дает возможность обнаружить попытки преодоления защиты
наиболее ценных объектов АСОИ.
4. Запись (доступ типа WRITE) в наборы данных. Помогает
предотвратить их несанкционированную модификацию. При этом
необходимо учитывать особенности модификации некоторых
системных наборов.
5. Осуществление действий, на которые необходимы
различного рода привилегии. Дает возможность выявить
злоупотребления ими.
Мониторинг функционирования системы и системный журнал
дают умелому администратору мощное средство слежения за
функционированием системы. Однако, изобилие информации,
поступающее в результате мониторинга и анализа системного
журнала может быть эффективно обработано лишь при наличии у
администратора специальных средств работы с этой информацией.
1.6.4. Устранение нарушений
Используя информацию, поступающую от пользователей, на
основе мониторинга и записей системного журнала, оператор
системы должен своевременно обнаруживать нарушения и
предпринимать меры по их локализации и устранению. Если его
знаний или полномочий недостаточно, такую работу выполняет
администратор безопасности.
В случае установления попытки или факта проникновения в
систему администратор безопасности или оператор обязан
предпринять следующие действия:
1. Локализовать нарушение.
2. Установить личность нарушителя.
3. Предотвратить дальнейшие нарушения.
4. Попытаться устранить последствия нарушения.
Прежде всего необходимо локализовать нарушение, то есть
определить, кто нарушитель, что он делает и что будет делать
дальше. Для этого прежде всего необходимо определить круг
подозреваемых: кто мог вообще это сделать? Кто обладал
необходимыми полномочиями? Кто знал, как это сделать? После
этого, используя имеющуюся информацию, сужать этот круг.
Например, определив, с какого терминала осуществлено
нарушение, в какое время и каким образом, и вы значительно
сузите круг подозреваемых.
Конкретные действия оператора и/или администратора
безопасности в каждом случае определяются особенностями АСОИ и
системы защиты.
Каждая попытка нарушения может оказаться удачной или
неудачной. В зависимости от этого должны предприниматься
соответствующие действия. Ниже мы рассмотрим эти этапы более
подробно.
Неудачные попытки проникновения
Под неудачными попытками проникновения будем понимать
безуспешные попытки угадать или перехватить пароль, а также
попытки НСД.
Они обычно обнаруживаются, если:
- пользователи сообщают о неожиданных ошибках входа;
- установлены необычные действия в системе или
использование недействительных коммутируемых линий;
- система вывела тревожные сообщения об ошибках входа,
попытках проникновения, нарушениях защиты наборов данных;
- обнаружены записи об опасных событиях в системном
журнале.
Установить личность нарушителя очень просто с помощью
соответствующего вида контроля, если он является пользователем
данного узла сети. В этом случае имя нарушителя просто
фиксируется в системном журнале вместе с характеристиками
нарушения. Далее следуют оргвыводы.
Если нарушитель является пользователем другого узла сети,
свои действия необходимо согласовывать с администратором
защиты этого узла. Дело в том, что системный журнал данного
узла может зафиксировать только точку входа в систему и
характеристики входа. Например, если осуществлено
проникновение с удаленного узла, то системный журнал
зафиксирует только его имя. С помощью другой информации можно
проследить вход в лучшем случае до соседнего узла, то есть
установить имя его пользователя, осуществившего вход на данный
узел.
Установление нарушителя, осуществившего проникновение
издалека с помощью сети, задача очень сложная и порой
неразрешимая. Даже если удастся определить имя нарушителя, то,
во-первых, сложно установить, кто скрывается за ним, а
во-вторых, наказать его. Последняя задача иногда вообще
нереальна. Он может находиться в другой организации, другом
городе или за границей. Такие методы применяются лишь в самых
крайних случаях, т.к. они требуют большого количества времени
(до месяца и более), труда, привлечения дополнительных
специалистов и, следовательно, денежных средств.
Всегда предпочтительнее использовать превентивные меры,
чем потом тратить время и деньги на поиск нарушителя (а поиск
может и не увенчаться успехом). Единственный надежный способ
избежать этих сложностей - установить контроль за
проникновением в АСОИ и постараться не допускать его вовсе.
Предотвращение попыток проникновения подразумевает действия
относительно потенциальных нарушителей и прогнозирует
возможное усложнение таких попыток.
Чтобы свести до минимума вероятность успешного перехвата
паролей необходимо выполнить следующие действия:
1. Разрешить определенным пользователям выбор подходящего
пароля. Предупреждать их о возможности перехвата пароля.
Использовать генератор паролей.
2. Использовать для входа пароль администратора. Это
лучший способ защиты от проникновений, доставляющий лишь
небольшие дополнительные неудобства пользователям. Если
системный пароль уже разрешен, изменить его.
3. Провести анализ успешных входов в систему для
определения возможных проникновений.
Для уменьшения вероятности успешного НСД необходимо
выполнить следующие действия:
1. Если возможно установить нарушителя, немедленно
предпринять соответствующие действия, предусмотренные для
данной АСОИ планом защиты.
2. Предупредить пользователей о необходимости адекватной
защиты наборов данных; регулярно проверять защиту наиболее
ценных из них.
3. Если сетевой НСД становится периодическим - резко
ограничить возможный доступ из сети, возможно, вообще
запретить его.
В случае установления факта попытки проникновения, не
увенчавшегося успехом, никаких действий по ликвидации
последствий предпринимать не требуется, за исключением
блокировки повторных нарушений подобного рода.
Удачные попытки проникновения
Удачные попытки проникновения включают успешный захват
пароля, ознакомление с информацией или ее искажение, истощение
системных ресурсов, разрушение программного обеспечения. Они
требуют большого количества времени для ликвидации
последствий, в зависимости от квалификации и возможностей
нарушителя.
Определение личности нарушителя - наиболее трудный этап
при ликвидации последствий проникновения. Прежде всего,
необходимо установить, является ли нарушитель
зарегистрированным пользователем системы или нет. Это может
определить порядок дальнейших действий.
Информация, полученная в результате контроля, зачастую
бывает неполной. В таких ситуациях можно разрешить дальнейшее
проникновение, если необходимо получить о нем более полную
информацию. При этом в каких-либо системных процедурах,
находящихся под полным контролем администратора, организуются
"люки" (traps) для получения дополнительной информации.
Необходимо позаботиться о восстановлении наборов по резервным
копиям в случае их уничтожения или модификации. Именно в этих
редких, но чрезвычайно опасных ситуациях играет свою роль план
ОНРВ (см. 1.3.3.).
Наиболее сложно определить нарушителя при проникновении
через сеть, особенно при использовании коммутируемых (или
выделенных) линий связи. Связанные с этим трудности мы
рассмотрели выше.
Меры, которые необходимо предпринять после установления
факта проникновения, зависят от его сущности. Основные
перечислены ниже в порядке возрастания предполагаемого ущерба:
1. Обезопасить базу данных защиты (хранящую информацию о
пользователях и их полномочиях, а также о защите объектов
системы).
2. Изменить пароли, если есть подозрения в их
компрометации. Изменить хотя бы пароли привилегированных
пользователей, строго следя за тем, чтобы они не повторялись
для разных пользователей.
3. Полностью или частично обновить системные модули из
резервных копий.
4. Ужесточить защиту. Применить дополнительные меры по
защите наборов данных; использовать системные пароли,
генераторы паролей; усилить меры контроля.
В качестве первоочередной меры по ликвидации последствий
проникновения в систему необходимо перезагрузить
модифицированные или уничтоженные файлы. Также следует
определить, обязательна ли полная перезагрузка данных;
пересмотреть защиту файлов; выяснить, имелась ли возможность
при данном нарушении внести в системные или прикладные модули
"червей", "троянских коней" и т.д. В случае положительного
решения произвести уничтожение и перезагрузку соответствующих
компонентов системы.
Разумное сочетание этих мер поможет избежать многих
опасностей - уж где-нибудь злоумышленник да проявит себя;
важно не пропустить его.
1.6.5. Дополнительные меры контроля
В некоторых случаях обычных мер контроля, предлагаемых
системой, может оказаться недостаточно. Тогда применяют
специально разработанные дополнительные меры.
К ним можно отнести, во-первых, статистические меры
контроля. Особые программы постоянно следят за состоянием
некоторых параметров системы, постоянно отслеживая их
изменение. Специальная экспертная система периодически
(например, в определенные моменты времени или при изменении
определенных параметров) анализирует состояние контролируемых
параметров, при этом, возможно, сравнивая их с предыдущими
значениями (на основе методов многомерного статистического
анализа). При появлении каких-либо отклонений сразу выдается
тревожное сообщение. Это своего рода автоматизация мониторинга
системы. Такие методы уже достаточно хорошо разработаны,
некоторые из них реализованы.
Во-вторых, к дополнительным мерам можно отнести некоторые
интеллектуальные средства. Если АСОИ имеет большие размеры,
следить за состоянием ее защиты трудно. Поэтому можно
установить специальные программные средства, которые будут
настроены на анализ определенных состояний системы, например,
на опасные события или изменение конфигурации. Они могут
вовремя сообщить о появлении возможности НСД или каналов
утечки информации, которые обычным способом обнаружить
непросто.
Примером средств контроля, совмещающего в себе некоторые
черты как статистических, так и интеллектуальных средств,
может быть контроль банковских операций. С помощью такого
контроля можно автоматически следить за пересылаемыми суммами,
номерами счетов, местом назначения, временем платежа. Если
какой-то отдельный параметр или их комбинация перейдут в
разряд запрещенных (например, размер платежа превышает
установленный), подается сигнал тревоги. Эта же система может
накапливать и анализировать определенные сведения в течение
длительного периода времени. Она может контролировать,
например, все переводы на определенный счет, и, если за
определенный промежуток времени сумма превысит допустимую,
также выдается сигнал тревоги. Можно назвать еще множество
полезных функций, которые могла бы выполнять такая система.
1.7. БЕЗОПАСНОСТЬ КОМПЬЮТЕРНЫХ СЕТЕЙ
С развитием вычислительной техники, проникновением ее в
самые различные области общественной жизни, расширением круга
задач, решаемых с ее помощью, неизбежно встал вопрос об обмене
информацией между различными компьютерами. Естественно,
передача информации с помощью внешних носителей (магнитных
лент, дисков) не удовлетворяла растущим потребностям ни по
скорости, ни по удобствам. Самым естественным было бы
соединить два (или более) компьютеров каналом связи и
передавать информацию по этому каналу. Однако это казалось бы
очевидное решение сразу породило множество проблем.
Прежде всего, различные компьютеры имеют разную
архитектуру, используют свои собственные стандарты
представления данных и т.д. Возможно ли объединить их? Далее,
различные каналы тоже обладают совершенно разными
характеристиками пропускной способностью, уровнем шумов и т.д.
Если соединяются больше двух компьютеров, как им отличать свои
сообщения от чужих и как абоненту без проблем получить свое
сообщение? Можно ли помимо сообщений передавать другому
компьютеру какие-либо указания (например, выполнить
определенную программу) ? И наконец самое главное: с
информацией в компьютерах большинство пользователей привыкло
работать на логическом уровне - с файлами или записями, то
есть с информацией, уже имеющей определенную внутреннюю
организацию. В канал же связи должен передаваться поток битов,
также имеющий определенную организацию, но уже ориентированную
на параметры канала. Как совместить эти два представления
данных ?
Таким образом, возникает необходимость предварительного
преобразования данных перед передачей их по каналу связи. При
этом к данным добавляется дополнительная информация, без
которой невозможна ее передача абоненту и восстановление к
исходному варианту. Так создаются компьютерные сети.
И еще один немаловажный аспект - а что собственно считать
сетью? Раньше ею считалось объединение в единую рабочую среду
более одного независимого процессора [50]. Однако с появлением
многопроцессорных комплексов это определение перестало
отвечать требованиям жизни. В то же время можно ли считать
сетью распределенную систему, объединение нескольких
компьютеров в единую рабочую среду, полностью прозрачную для
пользователя, доступные ресурсы которой равны сумме ресурсов
составляющих систему подсистем. Мы для простоты будем понимать
под сетью объединение логически и физически независимых систем
(т.е. каждая может выполнять самостоятельную работу) в единую
среду, в которой для передачи информации от системы к системе
та проходит цепь определенных преобразований. При этом
составляющие сеть независимые системы будем называть узлами.
О том, что это за преобразования, какие у них задачи и
свойства, а также как обеспечить их безопасность, как
безопасность этих преобразований влияет на безопасность
отдельных систем и сети в целом, и пойдет речь в данной главе.
1.7.1. Модель взаимодействия открытых систем OSI/ISO
Международной организацией по стандартизации
(International Standards Organization; ISO) разработана модель
взаимодействия компьютерных систем с помощью сетей, которая
затем была признана эталонной. Эта модель называется моделью
взаимодействия открытых систем (Open System Interconnection;
OSI).
В основу эталонной модели положена идея декомпозиции
процесса функционирования открытых систем на уровни. В этой
модели разбиение на уровни производится таким образом, чтобы
сгруппировать в рамках одного из них функционально наиболее
близкие компоненты. Кроме того требуется, чтобы взаимодействие
между смежными уровнями было минимальным, число уровней
сравнительно небольшим, а изменения, производимые в рамках
одного уровня, не требовали бы перестройки смежных. Отдельный
уровень, таким образом, представляет собой логически и
функционально замкнутую подсистему, сообщающуюся с другими
уровнями посредством специально определенного интерфейса. В
рамках модели OSI/ISO каждый конкретный уровень может
взаимодействовать только с соседними. Совокупность правил
(процедур) взаимодействия объектов одноименных уровней
называются протоколом (protocol).
Эталонная модель содержит семь уровней (снизу вверх):
1. Физический (physical);
2. Канальный (или передачи данных) (data link);
3. Сетевой (network);
4. Транспортный (transport);
5. Сеансовый (session);
6. Представительный (presentation);
7. Прикладной (application).
Каждый уровень передающей станции в этой иерархической
структуре взаимодействует с соответствующим уровнем
принимающей станции посредством нижележащих уровней. При этом
каждая пара уровней с помощью служебной информации в
сообщениях устанавливает между собой логическое соединение,
обеспечивая тем самым логический канал связи соответствующего
уровня. С помощью такого логического канала каждая пара
верхних уровней может обеспечивать между собой взаимодействие,
абстрагируясь от особенностей нижних. Другими словами, каждый
уровень реализует строго определенный набор функций, который
может использоваться верхними уровнями независимо от деталей
реализации этих функций (см. рис. 8).
отправитель получатель
Ъ———————ї Ъ———————ї
уровень 7: і і прикладной протокол і іприкладная
прикладной і * Г- — — — — — — — — — >і * іпрограмма
Г———v———ґ ( Г———Е———ґ
уровень 6: і і і представит. протоколі ^ ісистемные
представи- і і Г- — — — — — — — — — >і і Г-\утилиты
тельный Г———v———ґ Г———Е———ґ і
уровень 5: і і і сеансовый протокол і ^ і і
сеансовый і і Г- - - - - - - - - - >і і і іпрограм-
Г———v———ґ Г———Е———ґ імное обе-
уровень 4: і і ітранспортный протоколі ^ і іспечение
транспорт- і і Г- — — — — — — — — — >і і і і
ный Г———v———ґ Г———Е———ґ і
уровень 3: і і і сетевой протокол і ^ і і
сетевой і і Г- — — — — — — — — — >і і Г-<
Г———v———ґ Г———Е———ґ і
уровень 2: і і і канальный протокол і ^ і іаппарат-
канальный і і Г- — — — — — — — — — >і і і іное обе-
Г———v———ґ Г———Е———ґ іспечение
уровень 1: і і іфизическое соединениеі і і і
физический і А———Е=====================Е———Щ Г /
А———————Щ А———————Щ
— — — попарное взаимодействие (логический канал);
———>— путь передачи логических сообщений;
===== физическая среда передачи.
Рис. 8.
Значение эталонной модели взаимодействия открытых систем
заключается в том, что она вводит единый перечень понятий и
общепринятый способ разделения функций сети на уровни. Однако
эта модель не является стандартом для всех уровней. Она только
дает рекомендации по разработке таких стандартов, но сами по
себе они не попадают в сферу самой модели.
Рассмотрим подробнее функциональное назначение каждого
уровня.
Физический уровень
Физический уровень обеспечивает электрические,
функциональные и процедурные средства установления,
поддержания и разъединения физического соединения. Реально он
представлен аппаратурой генерации и управления электрическими
сигналами и каналом передачи данных. На данном уровне данные
представляются в виде последовательности битов или аналогового
электрического сигнала. Задачей физического уровня является
передача последовательности битов из буфера отправителя в
буфер получателя.
Канальный уровень
Протоколы канального уровня (или протоколы управления
звеном передачи данных) занимают особое место в иерархии
уровней: они служат связующим звеном между реальным каналом,
вносящим ошибки в передаваемые данные, и протоколами более
высоких уровней, обеспечивая безошибочную передачу данных.
Этот уровень используется для организации связи между двумя
станциями с помощью имеющегося в наличии (обычно ненадежного)
канала связи. При этом станции могут быть связаны несколькими
каналами.
Протокол канального уровня должен обеспечивать :
независимость протоколов высших уровней от используемой среды
передачи данных, кодонезависимость передаваемых данных, выбор
качества обслуживания при передаче данных. Это означает, что
более высокие уровни освобождаются от всех забот, связанных с
конкретным каналом связи (тип, уровень шумов, используемый
код, параметры помехоустойчивости и т.д.).
На данном уровне данные представляются кадром (frame),
который содержит информационное поле, а также заголовок и
концевик (трейлер), присваиваемые протоколом. Заголовок
содержит служебную информацию, используемую протоколом
канального уровня принимающей станции и служащей для
идентификации сообщения, правильного приема кадров,
восстановления и повторной передачи в случае ошибок и т.д.
Концевик содержит проверочное поле, служащее для коррекции и
исправления ошибок (при помехоустойчивом кодировании),
внесенных каналом. Задача протокола канального уровня -
составление кадров, правильная передача и прием
последовательности кадров, контроль последовательности кадров,
обнаружение и исправление ошибок в информационном поле (если
это необходимо).
Сетевой уровень
Сетевой уровень предоставляет вышестоящему транспортному
уровню набор услуг, главными из которых являются сквозная
передача блоков данных между передающей и приемной станциями
(то есть выполнение функций маршрутизации и ретрансляции) и
глобальное адресование пользователей. Другими словами,
нахождение получателя по указанному адресу, выбор оптимального
(в условиях данной сети) маршрута и доставка блока сообщения
по указанному адресу.
Таким образом, на границе сетевого и транспортного
уровней обеспечивается независимость процесса передачи данных
от используемых сред за исключением качества обслуживания. Под
качеством обслуживания понимается набор параметров,
обеспечивающих функционирование сетевой службы, отражающий
рабочие (транзитная задержка, коэффициент необнаруженных
ошибок и др.) и другие характеристики (защита от НСД,
стоимость, приоритет и др.). Система адресов, используемая на
сетевом уровне, должна иметь иерархическую структуру и
обеспечивать следующие свойства : глобальную однозначность,
маршрутную независимость и независимость от уровня услуг [17].
На сетевом уровне данные представляются в виде пакета
(packet), который содержит информационное поле и заголовок,
присваиваемый протоколом. Заголовок пакета содержит
управляющую информацию, указывающую адрес, отправителя,
возможно маршрут и параметры передачи пакета (приоритет, номер
пакета в сообщении, параметры безопасности, максимум
ретрансляций и др.). Различают следующие виды сетевого
взаимодействия:
1. С установлением соединения - между отправителем и
получателем сначала с помощью служебных пакетов организуется
логический канал (отправитель - отправляет пакет, получатель -
ждет получения пакета, плюс взаимное уведомление об ошибках),
который разъединяется после окончания сообщения или в случае
неисправимой ошибки. Такой способ используется протоколом
X.25.
2. Без установления соединения (дейтаграммный режим) -
обмен информацией осуществляется с помощью дейтаграмм
(разновидность пакетов), независимых друг от друга, которые
принимаются также независимо друг от друга и собираются в
сообщение на приемной станции. Такой способ используется в
архитектуре протоколов DARPA.
Ввиду того, что набор функций, выполняемый протоколом
сетевого уровня, достаточно велик (особенно в условиях
территориальной сети, содержащей подсети различной организации
и конфигурации), он обычно представляется в виде набора
протоколов. При этом каждый из них выполняет определенные
функции при передаче информации по цепочке "оконечный терминал
1 - подсеть 1 - шлюз (шлюзы) - подсеть 2 - оконечный терминал
2". При этом в каждой подсети могут встречаться точки
ретрансляции и маршрутизации. Различают следующие виды
протоколов (см. рис. 7):
Ъ———————ї Ъ———————ї
і7 * і і * 7і
Г———v———ґ Г———^———ґ
і6 і і і і 6і
Г———v———ґ Г———^———ґ
і5 і і і і 5і
Г———v———ґ Г———^———ґ
і4 і і Ъ———————ї і і 4і
Г———v———ґ і і Г———^———ґ
і3 і і<-----------П3---------->і<--П4->і<-------П3------->і і 3і
і і і<-----------П2---------->і і<-------П2------->і ^ і
і і і Ъ— — — — — — — —ї і Ъ———ї і Ъ————————ї і і і
і v і Ъ———————ї і і і і і і і
і і і<--П1-->і Ъ———ї і<--П1-->і і і і<П1>і і<П1>і і і
Г———v———ґ і Г—^———v—ґ і Г—^———v—ґ Г———^———ґ
і2 і і і і і і і і і і і і і і 2і
Г———v———ґ і Г—^———v—ґ і Г—^———v—ґ Г———^———ґ
і1 А->—ШННННННН>Г—Щ А—ЕННННННН>Г—Щ А—ЖННННШННННННННШННН>Е—>—Щ 1і
А———————Щ А———————Щ А———————Щ А———————Щ
А— — — — — — — —Щ А — — — —Щ
оконечный подсеть 1 (с шлюз подсеть 2 оконечный
узел ретранслятором) узел
->->->- логический путь передачи информации;
<-----> взаимодействие одноименных протоколов;
======> физическая среда передачи.
Рис. 7.
- протокол доступа к подсети - обеспечивает передачу
информации от оконечного терминала в подсеть (П1);
- протокол согласования, зависящий от подсети - управляет
передачей информации в рамках подсети с учетом ее конкретных
особенностей (П2);
- протокол согласования, не зависящий от подсети
управляет передачей информации в рамках подсети без учета ее
конкретных особенностей (П3);
- межшлюзовой протокол - управляет передачей информации
между различными подсетями (П4).
По функциональному назначению протоколы разделяются на:
- протоколы обработки пакетов, которые определяют форматы
пакетов и процедуры их обработки в оконечных системах;
- протоколы управления потоками, которые определяют
взаимодействие оконечных систем в части принятия решений о
выборе маршрутов и управлении потоком;
- протоколы передачи служебной информации, которые
определяют форматы служебных пакетов и процедуры их обработки.
Эффективность функционирования сети ЭВМ в значительной
мере определяется используемыми алгоритмами маршрутизации и
управления потоками сообщений. Целью маршрутизации является
обеспечение оптимальной (в смысле некоторого выбранного
критерия) совокупности маршрутов между отправителем и
получателем при заданной топологии и параметрах сети. Наиболее
часто используются критерии наименьшего времени или стоимости
(в относительных единицах) доставки пакета.
При ретрансляции пакет принимается промежуточным узлом
(ретранслятором), обрабатывается протоколами физического,
канального и сетевого уровней и отправляется дальше - адресату
или другому ретранслятору. При этом направление и параметры
последующей передачи определяются протоколом сетевого уровня в
соответствии с алгоритмом и принципами маршрутизации самим
ретранслятором, считываются из заголовка пакета или считаются
определенными по умолчанию (см. выше, рис. 8).
Алгоритм маршрутизации должен быть :
- корректно (без ошибок) реализован;
- максимально простым, для минимизации затрат ресурсов;
- адаптивным к изменениям трафика и топологии сети,
приспособленным к изменяющимся условиям функционирования;
- устойчивым к различным воздействиям;
- справедливым, то есть должен обеспечить равноправные
условия для всех пользователей;
- оптимальным в условиях выбранного критерия.
Различают следующие виды алгоритмов маршрутизации:
1. По характеру используемой служебной информации:
- изолированные - маршрут рассчитывается на основе
информации локального узла;
- глобальные - маршрут рассчитывается на основе
информации о сети в целом;
- смешанные.
2. По месту выполнения маршрутных вычислений:
- централизованные - вычисления производятся на одном
узле для всей сети;
- децентрализованные - каждый узел самостоятельно
производит вычисления для своей зоны ответственности в сети;
- смешанные.
3. По степени реагирования на изменение определенных
условий (топологии, трафика, внешней загрузки):
- адаптивные;
- статические.
4. По числу выбранных возможных маршрутов передачи:
- однопутевые;
- многопутевые.
Целью процедур управления потоком сообщений является
предотвращение падения пропускной способности сети в целом или
ее отдельных участков, которое может привести к полной
блокировке работы сети.
Сетевой уровень - один из самых сложных и важных в модели
OSI/ISO, именно он выполняет все те функции, которые мы
привыкли именовать "сетевыми": доступ к сети, маршрутизация,
управление потоками сообщений, ретрансляция и т.д. Наиболее
известными протоколами сетевого уровня являются X.25 (сетевой
протокол коммутации пакетов), X.75 (межсетевой протокол,
сопряженный с протоколом X.25) и протокол IP (межсетевой
протокол в архитектуре сетей DARPA, известен как часть
протокола TCP/IP).
Транспортный уровень
Транспортный уровень предназначен для сквозной передачи
данных через сеть между оконечными пользователями - абонентами
сети. Протоколы транспортного уровня функционируют только
между оконечными системами.
Основными функциями протоколов транспортного уровня
являются разбиение сообщений или фрагментов сообщений на
пакеты, передача пакетов через сеть и сборка пакетов. Они
также выполняют следующие функции: отображение транспортного
адреса в сетевой, мультиплексирование и расщепление
транспортных соединений, межконцевое управление потоком и
исправление ошибок. Набор процедур протокола транспортного
уровня зависит как от требований протоколов верхнего уровня,
так и от характеристик сетевого уровня.
Наиболее известным протоколом транспортного уровня
является TCP (Transmission Control Protocol), используемый в
архитектуре протоколов DARPA и принятый в качестве стандарта
министерством обороны США. Он используется в качестве
высоконадежного протокола взаимодействия между ЭВМ в сети с
коммутацией пакетов. Основным условием функционирования
протокола TCP является предоставление сетевым уровнем простого
и, возможно, недостоверного дейтаграммного сервиса [17].
Для надежной связи пары процессов протокол TCP
обеспечивает:
- передачу данных - между оконечными пользователями в
виде сегментов;
- надежность - восстановление искаженных, дублированных,
утерянных или беспорядочно доставленных данных путем
проверочного суммирования;
- управление потоком сообщений;
- мультиплексирование - способность поддерживать связь
нескольких процессов с помощью одного транспортного
соединения;
- соединение - образование информации состояния на каждой
взаимодействующей стороне, что упрощает передачу информации;
- приоритет и безопасность - возможность указания
параметров в сегменте сообщения, которые будут
интерпретированы процедурами на приемном узле.
Протоколы верхних уровней
К протоколам верхних уровней относятся протоколы
сеансового, представительного и прикладного уровней. Они
совместно выполняют одну задачу - обеспечение сеанса обмена
информацией между двумя прикладными процессами, причем
информация должна быть представлена в том виде, который
понятен обоим процессам. Поэтому обычно эти три уровня
рассматривают совместно. Под прикладным процессом понимается
элемент оконечной системы, который принимает участие в
выполнении одного или нескольких заданий по обработке
информации. Связь между ними осуществляется с помощью
прикладных объектов - элементов прикладных процессов,
участвующих в обмене информацией. При этом протоколы верхних
уровней не учитывают особенности конфигурации сети, каналов и
средств передачи информации.
Протоколы сеансового уровня обеспечивают средства
организации и синхронизации обмена данными между прикладными
объектами. Для структуризации обмена и уменьшения вероятности
ошибки пользователи могут вводить главные точки синхронизации,
разбивающие процесс обмена данными на единицы диалога, которые
не зависят друг от друга, а точки синхронизации должны четко
подтверждаться.
Протоколы представительного уровня предоставляют услуги
по согласованию синтаксиса передачи (правил, задающих
представление данных при передаче данных) и конкретным
представлением данных в прикладной системе. Другими словами,
на представительном уровне осуществляется синтаксическое
преобразование данных от вида, используемого на прикладном
уровне, к виду, используемому на остальных уровнях (и
наоборот).
Прикладной уровень, будучи самым верхним в эталонной
модели, обеспечивает доступ прикладных процессов в среду
взаимодействия открытых систем. Основной задачей протоколов
прикладного уровня является интерпретация данных, полученных с
нижних уровней, и выполнение соответствующих действий в
оконечной системе в рамках прикладного процесса. В частности,
эти действия могут заключаться в передаче управления
определенным службам ОС вместе с соответствующими параметрами.
Кроме того, протоколы прикладного уровня могут предоставлять
услуги по идентификации и аутентификации партнеров,
установлению полномочий для передачи данных, проверке
параметров безопасности, управлению диалогом и др.
По выполняемым функциям протоколы прикладного уровня
делятся на следующие классы:
1. Протокол передачи, доступа и управления файлами
обеспечивает доступ к подсистеме ввода-вывода обоих
взаимодействующих систем и передачу файла (файлов) между двумя
файлохранилищами. При этом осуществляется контроль доступа к
обоим файлохранилищам, учет количества переданной информации
(для последующей оплаты), управление параллельностью (при
чтении - передаче - записи отдельных записей).
2. Протокол виртуального терминала - обеспечивает
взаимодействие в интерактивном режиме между пользователем
удаленного терминала и системой. Наличие такого протокола
позволяет пользователю удаленного терминала (или другой
системы) работать как пользователю данной системы. Это
наиболее сложный протокол, так как приходится эмулировать
виртуальный терминал с графическим представлением данных и
обеспечивать связь между виртуальным терминалом и реальным
удаленным терминалом (который может быть как текстовым, так и
графическим).
3. Протокол передачи и обработки заданий - обеспечивает
распределенную обработку заданий в среде взаимодействия
открытых систем. Данный протокол позволяет осуществлять запуск
задач с удаленного узла (терминала), управлять выполнением
задачи и получать результаты на удаленном узле (терминале).
Это особенно удобно при выполнении ресурсоемких заданий на
более мощных узлах сети. Также достаточно сложный протокол,
особенно если приходится организовывать управление выполнением
с помощью специальных сообщений прерывания.
4. Протокол удаленных операций - позволяет выполнять с
удаленного узла (терминала) различные операции на данном узле
в интерактивном или неинтерактивном режиме. Выделяют
синхронные (следующая операция может быть выполнена после
завершения предыдущей) и асинхронные (следующая операция может
быть выполнена без ожидания ответа о завершении предыдущей)
операции.
5. Протоколы обработки сообщений - предоставляют
пользователям возможность межперсонального обмена сообщениями
с промежуточным накоплением, при этом сообщения должны
удовлетворять строго определенным требованиям. Протоколы этого
класса известны как протоколы передачи электронной почты.
Количество классов протоколов прикладного уровня,
реализованных в конкретной сетевой архитектуре, является
характеристикой предоставляемого сетью сервиса.
Таковы основные характеристики базовых протоколов
эталонной модели взаимодействия открытых систем. Помимо них в
каждой конкретной сетевой архитектуре выделяют вспомогательные
(управляющие) протоколы. Они могут быть как сквозными
(реализовывать внешний интерфейс нескольких уровней эталонной
модели), так и частью внешнего интерфейса протокола
определенного уровня.
Основными задачами управления сетью являются:
- управление при отказах (сбоях) оборудования;
- управление учетом;
- управление конфигурацией сети и именами объектов сети;
- управление эффективностью функционирования сети;
- управление безопасностью сети.
Управляющие протоколы служат для обеспечения оптимальной
настройки параметров сети (то есть всех составляющих
протоколов) на конкретные условия функционирования.
Таким образом, сеть теперь можно определить как
взаимодействие логически и физически обособленных систем с
помощью набора протоколов всех уровней (включая управляющие),
связанных в единую сетевую архитектуру. В настоящее время
известно множество разработанных сетевых архитектур самого
разнообразного назначения. В качестве примера отметим
целостные сетевые архитектуры (т.е. представляющие весь
комплекс протоколов) (более подробно см. в [17])
* DARPA - архитектура протоколов управления
перспективными исследованиями МО США; на их основе разработана
сеть передачи данных МО США DDN (Defence Data Network).
Использует протоколы TCP/IP и протоколы высокого уровня FTP,
SMTP, TELNET.
* SNA (System Network Architecture) - разработана фирмой
IBM для доступа удаленных терминалов к большим ЭВМ фирмы IBM;
* DNA (DIGITAL Network Architecture) - разработана фирмой
DIGITAL и представляет собой основные концепции, согласно
которым разнородные ЭВМ фирмы DIGITAL (прежде всего VAX) могут
быть соединены в территориально - распределенные сети.
Известна также под названием DECnet.
Большинство из сетевых архитектур придерживается
эталонной модели, однако бывают и исключения - переименование
уровней, изменение или слияние функций отдельных уровней и
т.д. Тем не менее сохраняется иерархическая декомпозиция
сетевой архитектуры по классам выполняемых функций. Этому же
способствует и необходимость стандартизации для объединения
разнородных сетей. Обычно это делается на базе какого-либо
протокола нижнего уровня, являющегося общим по отношению ко
всем взаимодействующим системам.
1.7.2. Особенности работы в сетях. Классификация сетей
Сети компьютеров имеют множество преимуществ перед
совокупностью отдельных систем, в их числе следующие:
* Разделение ресурсов.
Пользователи сети могут иметь доступ к определенным
ресурсам всех узлов сети. В их числе, например, наборы данных,
свободная память на удаленных узлах, вычислительная мощность
удаленных процессоров и т.д. Это позволяет экономить
значительные средства за счет оптимизации использования
ресурсов и их динамического перераспределения в процессе
работы.
* Повышение надежности функционирования системы.
Поскольку сеть состоит из совокупности отдельных узлов,
то в случае сбоя на одном или нескольких узлах другие узлы
смогут взять на себя их функции. При этом пользователи могут
даже и не заметить этого - перераспределение задач возьмет на
себя программное обеспечение сети.
* Распределение загрузки.
В сетях с переменным уровнем загруженности имеется
возможность перераспределять задачи с одних узлов сети (с
повышенной нагрузкой) на другие, где имеются свободные
ресурсы. Такое перераспределение может производиться
динамически в процессе работы, более того, пользователи могут
даже и не знать об особенностях планирования задач в сети эти
функции может брать на себя программное обеспечение сети.
* Расширяемость.
Сеть может быть легко расширена за счет добавления новых
узлов. При этом архитектура практически всех сетей позволяет
легко адаптировать сетевое программное обеспечение к
изменениям конфигурации. Более того, это может производиться
автоматически.
Однако с точки зрения безопасности эти достоинства
превращаются в уязвимые места, порождая серьезные проблемы.
Рассмотрению возникающих проблем посвящен раздел 1.7.3.
Особенности работы в сети определяются ее двойственным
характером: с одной стороны, сеть следует рассматривать как
единую систему, а с другой, - как совокупность независимых
систем, каждая из которых выполняет свои функции, имеет своих
пользователей. Эта же двойственность проявляется в логическом
и физическом восприятии сети: на физическом уровне
взаимодействие отдельных узлов осуществляется с помощью
сообщений различного вида и формата, которые интерпретируются
протоколами. На логическом уровне (т.е. с точки зрения
протоколов верхних уровней) сеть представляется как
совокупность функций, распределенных по различным узлам, но
связанных в единый комплекс.
Эти особенности по-разному проявляются в сетях с
различной организацией. Упрощенная классификация способов
организации сетей приводится ниже.
В этом разделе под системой мы будем понимать как
составляющие сеть отдельные узлы (если они рассматриваются
отдельно друг от друга), так и всю сеть в целом (если она
рассматривается как единый комплекс) - в зависимости от
контекста.
По топологии сети (классификация на физическом уровне
представления):
* Общая шина.
Все узлы соединены с общей высокоскоростной шиной
передачи данных. Они одновременно настроены на прием
сообщения, но каждый узел может принять только то сообщение,
которое предназначено ему. Адрес идентифицируется контроллером
сети, при этом в сети может быть только один узел с заданным
адресом.
Если два узла одновременно заняты передачей сообщения
(столкновение пакетов), то один из них или они оба ее
прекращают, ожидают случайный интервал времени, затем
возобновляют попытку передачи (метод разрешения конфликтов).
Возможен другой случай - в момент передачи каким-либо узлом
сообщения по сети, другие узлы начать передачу не могут (метод
предотвращения конфликтов).
Такая топология сети является очень удобной: все узлы
являются равноправными, логическое расстояние между любыми
двумя узлами равно 1, скорость передачи сообщений велика.
Впервые организация сети "общая шина" и соответствующие
протоколы нижних уровней были разработаны совместно компаниями
DIGITAL и Rank Xerox, она получила название Ethernet.
* Кольцо.
Сеть построена в виде замкнутого контура однонаправленных
каналов между станциями. Каждая станция принимает сообщения по
входному каналу, в начале сообщения содержится адресная и
управляющая информация. На основании ее станция принимает
решение сделать копию сообщения и убрать его из кольца либо
передать по выходному каналу на соседний узел. Если в
настоящий момент не передается никакого сообщения, станция
сама может передать сообщение.
В кольцевых сетях используется несколько различных
способов управления [17]:
- гирляндная - управляющая информация передается по
отдельным совокупностям (цепям) компьютеров кольца;
- управляющий маркер - управляющая информация оформляется
в виде определенного битового шаблона, циркулирующего по
кольцу; только при получении маркера станция может выдать
сообщение в сеть (наиболее известный способ, получивший
название token ring);
- сегментная - по кольцу циркулирует последовательность
сегментов. Обнаружив пустой, станция может поместить в него
сообщение и передать в сеть;
- вставка регистров - сообщение загружается в регистр
сдвига и передается в сеть когда кольцо свободно.
* Звезда.
Сеть состоит из одного узла-концентратора и нескольких
соединенных с ним терминальных узлов, непосредственно между
собой не связанных. Один или несколько терминальных узлов
могут являться концентраторами другой сети, в этом случае сеть
приобретает древовидную топологию.
Управление сетью полностью осуществляется концентратором;
терминальные узлы могут связываться между собой только через
него. Обычно на терминальных узлах выполняется лишь локальная
обработка данных. Обработка данных, имеющих отношение ко всей
сети, осуществляется на концентраторе. Она носит название
централизованной. Управление сетью обычно осуществляется с
помощью процедуры опроса: концентратор через определенные
промежутки времени опрашивает по очереди терминальные станции
- есть ли для него сообщение. Если есть - терминальная станция
передает сообщение на концентратор, если нет - осуществляется
опрос следующей станции. Концентратор может передать сообщение
одному или нескольким терминальным станциям в любой момент
времени.
По размерам сети:
* Локальные (Local Area Network; LAN).
Сеть передачи данных, связывающая ряд узлов в одной
локальной зоне (комната, организация); обычно узлы сети
комплектуются однотипным аппаратным и программным обеспечением
(хотя это и не обязательно). Локальные сети обеспечивают
высокие скорости передачи информации (100 К - 100 Мбайт/сек).
Локальные сети характеризуются короткими (не более нескольких
километров) линиями связи, контролируемой рабочей средой,
низкой вероятностью ошибок, упрощенными протоколами. Для связи
локальных сетей с территориальными используются шлюзы (gateway).
* Территориальные (Wide Area Network; WAN).
Отличаются от локальных большей протяженностью линий
связи (город, область, страна, группа стран), которые могут
обеспечиваться телекоммуникационными компаниями.
Территориальная сеть может связывать несколько локальных
сетей, отдельные удаленные терминалы и ЭВМ и может быть
соединена с другими территориальными сетями.
Территориальные сети редко используют какие-либо типовые
топологические конструкции, так как они предназначены для
выполнения других, обычно специфических задач. Поэтому они как
правило строятся в соответствии с произвольной топологией,
управление осуществляется с помощью специфических протоколов.
По организации обработки информации (классификация на
логическом уровне представления; здесь под системой понимается
вся сеть как единый комплекс):
* Централизованная.
Системы такой организации наиболее широко распространены
и привычны. Они состоят из центрального узла, реализующего
весь комплекс выполняемых системой функций, и терминалов, роль
которых сводится к частичному вводу и выводу информации. В
основном периферийные устройства играют роль терминалов, с
которых осуществляется управление процессом обработки
информации. Роль терминалов могут выполнять дисплейные станции
или персональные компьютеры, как локальные, так и удаленные.
Любая обработка (в том числе связь с другими сетями)
выполняется через центральный узел.
Особенностью таких систем является высокая нагрузка на
центральный узел, в силу чего там должен быть высоконадежный и
высокопроизводительный компьютер. Центральный узел является
наиболее уязвимой частью системы: выход его из строя выводит
из строя всю сеть. В то же время задачи обеспечения
безопасности в централизованных системах решаются наиболее
просто и фактически сводятся к защите центрального узла.
Другой особенностью таких систем является неэффективное
использование ресурсов центрального узла, а также
неспособность гибкой перестройки характера работы (центральный
компьютер должен работать все время, а значит какую-то его
часть он может работать вхолостую). В настоящее время доля
систем с централизованным управлением постепенно падает.
* Распределенная.
Практически все узлы этой системы могут выполнять сходные
функции, причем каждый отдельный узел может использовать
оборудование и программное обеспечение других узлов. Основной
частью такой системы является распределенная ОС (РОС; или
Distributed OS; DOS), которая распределяет объекты системы:
файлы, процессы (или задачи), сегменты памяти, другие ресурсы.
Но при этом РОС может распределять не все ресурсы или задачи,
а только часть их, например, файлы и свободную память на
диске. В этом случае система все равно считается
распределенной, количество ее объектов (функций, которые могут
быть распределены по отдельным узлам) называется степенью
распределенности. Такие системы могут быть как локальными, так
и территориальными.
Говоря математическим языком, основной функцией
распределенной системы является отображение отдельных задач во
множество узлов, на которых происходит их выполнение.
Распределенная система должна обладать следующими
свойствами:
1. Прозрачностью , то есть система должна обеспечить
обработку информации вне зависимости от ее местонахождения.
2. Механизмом распределения ресурсов, который должен
выполнять следующие функции: обеспечивать взаимодействие
процессов и удаленный вызов задач, поддерживать виртуальные
каналы, распределенные транзакции и службу имен.
3. Службой имен, единой для всей системы, включая
поддержку единой службы директорий.
4. Реализацией служб гомогенных и гетерогенных сетей.
5. Контролем функционирования параллельных процессов.
6. Безопасностью. В распределенных системах проблема
безопасности переходит на качественно новый уровень, поскольку
приходится контролировать ресурсы и процессы всей системы в
целом, а также передачу информации между элементами системы.
Основные составляющие защиты остаются теми же - контроль
доступа и информационных потоков, контроль трафика сети,
аутентификация, операторский контроль и управление защитой.
Однако контроль в этом случае усложняется.
Распределенная система обладает рядом преимуществ, не
присущих никакой другой организации обработки информации:
оптимальностью использования ресурсов, устойчивостью к отказам
(выход из строя одного узла не приводит к фатальным
последствиям - его легко можно заменить) и т.д. Однако при
этом возникают новые проблемы: методика распределения
ресурсов, обеспечение безопасности, прозрачности и др. В
настоящее время все возможности распределенных систем
реализованы далеко не полностью.
Примером распределенной системы могут служить системы на
базе сетевой архитектуры DECnet-VAX/VMS; концепции
распределенных систем придерживаются также такие компании, как
Tandem и Group Bull, специализирующиеся на производстве
банковских систем.
В последнее время все большее признание получает
концепция обработки информации - клиент-сервер. Данная
концепция является переходной от централизованной к
распределенной и одновременно объединяющей обе последних.
Однако клиент-сервер - это не столько способ организации сети,
сколько способ логического представления и обработки
информации.
Клиент-сервер - это такая организация обработки
информации, при которой все выполняемые функции делятся на два
класса: внешние (front-end) и внутренние (back-end). Внешние
функции состоят из поддержки интерфейса пользователя и функций
представления информации на уровне пользователя. Внутренние
касаются выполнения различных запросов, процесса обработки
информации, сортировки и др.
Сущность концепции клиент-сервер заключается в том, что в
системе выделяются элементы двух уровней: серверы, выполняющие
обработку данных (внутренние функции), и рабочие станции,
выполняющие функции формирования запросов и отображения
результатов их обработки (внешние функции). От рабочих станций
к серверу идет поток запросов, в обратном направлении -
результаты их обработки. Серверов в системе может быть
несколько и они могут выполнять различные наборы функций
нижнего уровня (серверы печати, файловые и сетевые серверы).
Основной объем информации обрабатывается на серверах, которые
в этом случае играют роль локальных центров; информация
вводится и выводится с помощью рабочих станций.
Отличительные особенности систем, построенных по принципу
клиент-сервер, следующие:
- наиболее оптимальное использование ресурсов;
- частичное распределение процесса обработки информации в
сети;
- прозрачный доступ к удаленным ресурсам;
- упрощенное управление;
- пониженный трафик;
- возможность более надежной и простой защиты;
- большая гибкость в использовании системы в целом, а
также разнородного оборудования и программного обеспечения;
- централизованный доступ к определенным ресурсам.
Отдельные части одной системы могут строится по различным
принципам и объединяться с использованием соответствующих
согласующих модулей. Каждый класс сетей имеет свои
специфические особенности как в плане организации, так и в
плане защиты. Ниже мы более подробно остановимся на общих и
специфических принципах защиты сетей.
1.7.3. Особенности защиты информации в сетях ЭВМ
Как уже отмечалось выше, несомненные преимущества
обработки информации в сетях ЭВМ оборачиваются немалыми
сложностями при организации их защиты. Отметим следующие
основные проблемы:
* Разделение совместно используемых ресурсов.
В силу совместного использования большого количества
ресурсов различными пользователями сети, возможно находящимися
на большом расстоянии друг от друга, сильно повышается риск
НСД - в сети его можно осуществить проще и незаметнее.
* Расширение зоны контроля.
Администратор или оператор отдельной системы или подсети
должен контролировать деятельность пользователей, находящихся
вне пределов его досягаемости, возможно, в другой стране. При
этом он должен поддерживать рабочий контакт со своими
коллегами в других организациях.
* Комбинация различных программно-аппаратных средств.
Соединение нескольких систем, пусть даже однородных по
характеристикам, в сеть увеличивает уязвимость всей системы в
целом. Система настроена на выполнение своих специфических
требований безопасности, которые могут оказаться несовместимы
с требованиями на других системах. В случае соединения
разнородных систем риск повышается.
* Неизвестный периметр.
Легкая расширяемость сетей ведет к тому, что определить
границы сети подчас бывает сложно; один и тот же узел может
быть доступен для пользователей различных сетей.
Более того, для многих из них не всегда можно точно
определить сколько пользователей имеют доступ к определенному
узлу и кто они.
* Множество точек атаки.
В сетях один и тот же набор данных или сообщение могут
передаваться через несколько промежуточных узлов, каждый из
которых является потенциальным источником угрозы. Естественно,
это не может способствовать повышению защищенности сети. Кроме
того, ко многим современным сетям можно получить доступ с
помощью коммутируемых линий связи и модема, что во много раз
увеличивает количество возможных точек атаки. Такой способ
прост, легко осуществим и трудно контролируем; поэтому он
считается одним из наиболее опасных. В списке уязвимых мест
сети также фигурируют линии связи и различные виды
коммуникационного оборудования: усилители сигнала,
ретрансляторы, модемы и т.д.
* Сложность управления и контроля доступа к системе.
Многие атаки на сеть могут осуществляться без получения
физического доступа к определенному узлу - с помощью сети из
удаленных точек. В этом случае идентификация нарушителя может
оказаться очень сложной, если не невозможной. Кроме того,
время атаки может оказаться слишком мало для принятия
адекватных мер.
По своей сути проблемы защиты сетей обусловлены
двойственным характером последних: об этом мы говорили выше. С
одной стороны, сеть есть единая система с едиными правилами
обработки информации, а с другой, - совокупность обособленных
систем, каждая из которых имеет свои собственные правила
обработки информации. В частности, эта двойственность
относится и к проблемам защиты. Атака на сеть может
осуществляться с двух уровней (возможна их комбинация):
1. Верхнего - злоумышленник использует свойства сети для
проникновения на другой узел и выполнения определенных
несанкционированных действий. Таким действием может быть любое
из описанных в 1.3.1. Предпринимаемые меры защиты определяются
потенциальными возможностями злоумышленника и надежностью
средств защиты отдельных узлов.
2. Нижнего - злоумышленник использует свойства сетевых
протоколов для нарушения конфиденциальности или целостности
отдельных сообщений или потока в целом. Нарушение потока
сообщений может привести к утечке информации и даже потере
контроля за сетью. Используемые протоколы должны обеспечивать
защиту сообщений и их потока в целом.
Защита сетей, как и защита отдельных систем, преследует
три цели: поддержание конфиденциальности передаваемой и
обрабатываемой в сети информации, целостности и доступности
ресурсов (компонентов) сети . Эти цели определяют действия по
организации защиты от нападений с верхнего уровня. Конкретные
задачи, встающие при организации защиты сети, обуславливаются
возможностями протоколов высокого уровня: чем шире эти
возможности, тем больше задач приходится решать.
Действительно, если возможности сети ограничиваются пересылкой
наборов данных, то основная проблема защиты заключается в
предотвращении НСД к наборам данных, доступным для пересылки.
Если же возможности сети позволяют организовать удаленный
запуск программ, работу в режиме виртуального терминала, то
необходимо реализовывать полный комплекс защитных мер,
описанный в 1.4. и 1.5.
Как и для АСОИ, защита сети должна планироваться как
единый комплекс мер, охватывающий все особенности обработки
информации. В этом смысле организация защиты сети, разработка
политики безопасности, ее реализация и управление защитой
подчиняются общим правилам, которые были подробно рассмотрены
выше. Однако необходимо учитывать, что каждый узел сети должен
иметь индивидуальную защиту в зависимости от выполняемых
функций и от возможностей сети. При этом защита отдельного
узла должна являться частью общей защиты. На каждом отдельном
узле необходимо организовать:
- контроль доступа ко всем файлам и другим наборам
данных, доступным из локальной сети и других сетей;
- контроль процессов, активизированных с удаленных узлов;
- контроль сетевого трафика;
- эффективную идентификацию и аутентификацию
пользователей, получающих доступ к данному узлу из сети;
- контроль доступа к ресурсам локального узла, доступным
для использования пользователями сети;
- контроль за распространением информации в пределах
локальной сети и связанных с нею других сетей.
Однако сеть имеет сложную структуру: для передачи
информации с одного узла на другой последняя проходит
несколько стадий преобразований, о которых мы говорили в
1.7.1. Естественно, все эти преобразования должны вносить свой
вклад в защиту передаваемой информации, в противном случае
нападения с нижнего уровня могут поставить под угрозу защиту
сети. Таким образом, защита сети как единой системы
складывается из мер защиты каждого отдельного узла и функций
защиты протоколов данной сети. Выше мы рассмотрели принципы
защиты отдельных узлов.
Необходимость функций защиты протоколов опять же
обуславливается двойственным характером сети: она представляет
собой совокупность обособленных систем, обменивающихся между
собой информацией с помощью сообщений. На пути от одной
системы к другой эти сообщения преобразуются протоколами всех
уровней. А поскольку они являются наиболее уязвимым элементом
сети, протоколы должны предусматривать обеспечение их
безопасности для поддержки конфиденциальности, целостности и
доступности информации, передаваемой в сети.
Сетевое программное обеспечение должно входить в состав
ДВБ узла, в противном случае возможно нарушение работы сети и
ее защиты путем изменения программ или данных. Тогда защита
информации в сети будет осуществляться сетевой ДВБ (СДВБ;
Network TCB; NTCB), которая состоит из ДВБ отдельных узлов,
связанных защищенными протоколами. При этом протоколы должны
реализовывать требования по обеспечению безопасности
передаваемой информации, которые являются частью общей
политики безопасности. Ниже приводится классификация угроз,
специфических для сетей (угрозы нижнего уровня):
1. Пассивные угрозы (нарушение конфиденциальности данных,
циркулирующих в сети) просмотр и/или запись данных,
передаваемых по линиям связи:
- просмотр сообщения - злоумышленник может просматривать
содержание сообщения, передаваемого по сети;
- анализ трафика - злоумышленник может просматривать
заголовки пакетов, циркулирующих в сети и на основе
содержащейся в них служебной информации делать заключения об
отправителях и получателях пакета и условиях передачи (время
отправления, класс сообщения, категория безопасности и т.д.);
кроме того, он может выяснить длину сообщения и объем трафика.
2. Активные угрозы (нарушение целостности или доступности
ресурсов (компонентов) сети) - несанкционированное
использование устройств, имеющих доступ к сети для изменения
отдельных сообщений или потока сообщений:
- отказ служб передачи сообщений - злоумышленник может
уничтожать или задерживать отдельные сообщения или весь поток
сообщений;
- "маскарад" - злоумышленник может присвоить своему узлу
или ретранслятору чужой идентификатор и получать или
отправлять сообщения от чужого имени;
- внедрение сетевых вирусов - передача по сети тела
вируса с его последующей активизацией пользователем удаленного
или локального узла;
- модификация потока сообщений - злоумышленник может
выборочно уничтожать, модифицировать, задерживать,
переупорядочивать и дублировать сообщения, а также вставлять
поддельные сообщения.
Совершенно очевидно, что любые описанные выше манипуляции
с отдельными сообщениями и потоком в целом, могут привести к
нарушениям работы сети или утечке конфиденциальной информации.
Особенно это касается служебных сообщений, несущих информацию
о состоянии сети или отдельных узлов, о происходящих на
отдельных узлах событиях (удаленном запуске программ,
например) - активные атаки на такие сообщения могут привести к
потере контроля за сетью. Поэтому протоколы, формирующие
сообщения и ставящие их в поток, должны предпринимать меры для
их защиты и неискаженной доставки получателю. Ниже мы
рассмотрим, какие функции должны выполнять протоколы и какими
механизмами обеспечивается их выполнение.
1.7.4. Методы и механизмы защиты сетей
Решаемые протоколами задачи аналогичны задачам, решаемым
при защите локальных систем: обеспечение конфиденциальности
обрабатываемой и передаваемой в сети информации, целостности и
доступности ресурсов (компонентов) сети. Реализация этих
функций осуществляется с помощью специальных механизмов. К их
числу следует отнести :
* Механизмы шифрования, которые обеспечивают
конфиденциальность передаваемых данных и/или информации о
потоках данных.
Используемый в данном механизме алгоритм шифрования может
использовать секретный или открытый ключ (см. пп 1.5.3). В
первом случае предполагается наличие механизмов управления и
распределения ключей. Различают два способа шифрования :
канальное (link encryption), реализуемое с помощью протокола
канального уровня, и оконечное (абонентское, end-to-end
encryption), реализуемое с помощью протокола прикладного или,
в некоторых случаях, представительного уровня.
В случае канального шифрования защищается вся
передаваемая по каналу связи информация, включая служебную.
Этот способ имеет следующие особенности:
- вскрытие ключа шифрования для одного канала не приводит
к компрометации информации в других каналах;
- вся передаваемая информация, включая служебные
сообщения, служебные поля сообщений с данными надежно
защищена;
- вся информация оказывается открытой на промежуточных
узлах - ретрансляторах, шлюзах и т.д.;
- пользователь не принимает участия в выполняемых
операциях;
- для каждой пары узлов требуется свой ключ;
- алгоритм шифрования должен быть достаточно стоек и
обеспечивать скорость шифрования на уровне пропускной
способности канала (иначе возникнет задержка сообщений,
которая может привести к блокировке системы или существенному
снижению ее производительности);
- предыдущая особенность приводит к необходимости
реализации алгоритма шифрования аппаратными средствами, что
увеличивает расходы на создание и обслуживание системы.
Оконечное (абонентское) шифрование позволяет обеспечивать
конфиденциальность данных, передаваемых между двумя
прикладными объектами. Другими словами, отправитель
зашифровывает данные, получатель - расшифровывает. Такой
способ имеет следующие особенности (сравните с канальным
шифрованием):
- защищенным оказывается только содержание сообщения: вся
служебная информация остается открытой;
- никто кроме отправителя и получателя восстановить
информацию не может (если используемый алгоритм шифрования
достаточно стоек);
- маршрут передачи несущественен - в любом канале
информация останется защищенной;
- для каждой пары пользователей требуется уникальный
ключ;
- пользователь должен знать процедуры шифрования и
распределения ключей.
Выбор того или иного способа шифрования или их комбинации
зависит от результатов анализа риска. Вопрос стоит следующим
образом: что более уязвимо - непосредственно отдельный канал
связи или содержание сообщения, передаваемое по различным
каналам. Канальное шифрование быстрее (применяются другие,
более быстрые, алгоритмы), прозрачно для пользователя, требует
меньше ключей. Оконечное шифрование более гибко, может
использоваться выборочно, однако требует участия пользователя.
В каждом конкретном случае вопрос должен решаться
индивидуально.
* Механизмы цифровой подписи, которые включают процедуры
закрытия блоков данных и проверки закрытого блока данных.
Первый процесс использует секретную ключевую информацию,
второй - открытую, не позволяющую восстановить секретные
данные. С помощью секретной информации отправитель формирует
служебный блок данных (например, на основе односторонней
функции), получатель на основе общедоступной информации
проверяет принятый блок и определяет подлинность отправителя.
Сформировать подлинный блок может только пользователь, имеющий
соответствующий ключ.
* Механизмы контроля доступа.
Осуществляют проверку полномочий сетевого объекта на
доступ к ресурсам. Проверка полномочий производится в
соответствии с правилами разработанной политики безопасности
(избирательной, полномочной или любой другой) и реализующих ее
механизмов (см. 1.4.).
* Механизмы обеспечения целостности передаваемых данных.
Эти механизмы обеспечивают как целостность отдельного
блока или поля данных, так и потока данных. Целостность блока
данных обеспечивается передающим и принимающим объектами.
Передающий объект добавляет к блоку данных признак, значение
которого является функцией от самих данных. Принимающий объект
также вычисляет эту функцию и сравнивает ее с полученной. В
случае несовпадения выносится решение о нарушении целостности.
Обнаружение изменений может повлечь за собой действия по
восстановлению данных.
В случае умышленного нарушения целостности может быть
соответствующим образом изменено и значение контрольного
признака (если алгоритм его формирования известен), в этом
случае получатель не сможет установить нарушение целостности.
Тогда необходимо использовать алгоритм формирования
контрольного признака как функцию данных и секретного ключа. В
этом случае правильное изменение контрольного признака без
знания ключа будет невозможно и получатель сможет установить,
подвергались ли данные модификации.
Защита целостности потоков данных (от переупорядочивания,
добавления, повторов или удаления сообщений) осуществляется с
использованием дополнительных формы нумерации (контроль
номеров сообщений в потоке), меток времени и т.д.
* Механизмы аутентификации объектов сети.
Для обеспечения аутентификации используются пароли,
проверка характеристик объекта, криптографические методы
(аналогичные цифровой подписи). Эти механизмы обычно
применяются для аутентификации одноуровневых сетевых объектов.
Используемые методы могут совмещаться с процедурой
"троекратного рукопожатия" (троекратный обмен сообщениями
между отправителем и получателем с параметрами аутентификации
и подтверждениями).
* Механизмы заполнения текста.
Используются для обеспечения защиты от анализа трафика. В
качестве такого механизма может использоваться, например,
генерация фиктивных сообщений; в этом случае трафик имеет
постоянную интенсивность во времени.
* Механизмы управления маршрутом
Маршруты могут выбираться динамически или быть заранее
заданы с тем, чтобы использовать физически безопасные подсети,
ретрансляторы, каналы. Оконечные системы при установлении
попыток навязывания могут потребовать установления соединения
по другому маршруту. Кроме того, может использоваться
выборочная маршрутизация (то есть часть маршрута задается
отправителем явно - в обход опасных участков).
* Механизмы освидетельствования.
Характеристики данных, передаваемые между двумя и более
объектами (целостность, источник, время, получатель) могут
подтверждаться с помощью механизма освидетельствования.
Подтверждение обеспечивается третьей стороной (арбитром),
которой доверяют все заинтересованные стороны и которая
обладает необходимой информацией.
Помимо перечисленных выше механизмов защиты, реализуемых
протоколами различных уровней, существует еще два, не
относящихся к определенному уровню. Они по своему назначению
аналогичны механизмам контроля в локальных системах:
* Обнаружение и обработка событий (аналог средств
контроля опасных событий).
Предназначены для обнаружения событий, которые приводят
или могут привести к нарушению политики безопасности сети.
Список этих событий соответствует списку для отдельных систем.
Кроме того, в него могут быть включены события,
свидетельствующие о нарушениях в работе перечисленных выше
механизмов защиты. Предпринимаемые в этой ситуации действия
могут включать различные процедуры восстановления, регистрацию
событий, одностороннее разъединение, местный или периферийный
отчет о событии (запись в журнал) и т.д.
* Отчет о проверке безопасности (аналог проверки с
использованием системного журнала).
Проверка безопасности представляет собой независимую
проверку системных записей и деятельности на соответствие
заданной политике безопасности.
Функции защиты протоколов каждого уровня определяются их
назначением:
1. Физический уровень - контроль электромагнитных
излучений линий связи и устройств, поддержка коммуникационного
оборудования в рабочем состоянии. Защита на данном уровне
обеспечивается с помощью экранирующих устройств, генераторов
помех, средств физической защиты передающей среды.
2. Канальный уровень - увеличение надежности защиты (при
необходимости) с помощью шифрования передаваемых по каналу
данных. В этом случае шифруются все передаваемые данные,
включая служебную информации.
3. Сетевой уровень - наиболее уязвимый уровень с точки
зрения защиты. На нем формируется вся маршрутизирующая
информация, отправитель и получатель фигурируют явно,
осуществляется управление потоком. Кроме того, протоколами
сетевого уровня пакеты обрабатываются на всех маршрутизаторах,
шлюзах и др. промежуточных узлах. Почти все специфические
сетевые нарушения осуществляются с использованием протоколов
данного уровня (чтение, модификация, уничтожение,
дублирование, переориентация отдельных сообщений или потока в
целом, маскировка под другой узел и др.).
Защита от всех подобных угроз осуществляется протоколами
сетевого и транспортного уровней (см. ниже) и с помощью
средств криптозащиты. На данном уровне может быть реализована,
например, выборочная маршрутизация.
4. Транспортный уровень - осуществляет контроль за
функциями сетевого уровня на приемном и передающем узлах (на
промежуточных узлах протокол транспортного уровня не
функционирует). Механизмы транспортного уровня проверяют
целостность отдельных пакетов данных, последовательности
пакетов, пройденный маршрут, время отправления и доставки,
идентификацию и аутентификацию отправителя и получателя и др.
функции. Все активные угрозы становятся видимыми на данном
уровне.
Гарантом целостности передаваемых данных является
криптозащита данных и служебной информации. Никто кроме
имеющих секретный ключ получателя и/или отправителя не может
прочитать или изменить информацию таким образом, чтобы
изменение осталось незамеченным.
Анализ трафика предотвращается передачей сообщений, не
содержащих информацию, которые, однако, выглядят как
настоящие. Регулируя интенсивность этих сообщений в
зависимости от объема передаваемой информации можно постоянно
добиваться равномерного трафика. Однако все эти меры не могут
предотвратить угрозу уничтожения, переориентации или задержки
сообщения. Единственной защитой от таких нарушений может быть
параллельная доставка дубликатов сообщения по другим путям.
5. Протоколы верхних уровней обеспечивают контроль
взаимодействия принятой или переданной информации с локальной
системой. Протоколы сеансового и представительного уровня
функций защиты не выполняют. В функции защиты протокола
прикладного уровня входит управление доступом к определенным
наборам данных, идентификация и аутентификация определенных
пользователей, а также другие функции, определяемые конкретным
протоколом. Более сложными эти функции являются в случае
реализации полномочной политики безопасности в сети.
Соответствие механизмов защиты уровням эталонной модели
OSi/ISO, на которых они реализованы, представлено в табл. 6.
Таблица 6
ХНННННННННННННННННННННННННННННННННННННННСНННННННННННННННННННННННННННё
і і Уровень і
і Механизм защиты Г———В———В———В———В———В———В———ґ
і і 1 і 2 і 3 і 4 і 5 і 6 і 7 і
ЖНННННННННННННННННННННННННННННННННННННННШНННШНННШНННШНННШНННШНННШНННµ
і Аутентификация одноуровневых объектов і і і + і + і і і + і
і Аутентификация источника данных і і і + і + і і і + і
і Цифровая подпись і і і і і і і + і
і Контроль доступа і і і + і + і і і + і
і Конфиденциальность сообщения і і і + і + і і і + і
і Конфиденциальность потока данных і + і + і + і і і і і
і Конфиденциальность отдельных полей і і і і і і і + і
і Целостность с восстановлением і і і і + і і і + і
і Целостность без восстановления і і і + і + і і і + і
і Целостность отдельных полей і і і і і і і + і
і Защита от отказов і і і і і і і + і
ФНННННННННННННННННННННННННННННННННННННННПНННПНННПНННПНННПНННПНННПНННѕ
"+" означает, что данный механизм может быть реализован
в протоколе данного уровня.
1.7.5. Особенности защиты различных классов сетей
Выше мы рассмотрели общие методы и механизмы защиты
сетей. Однако каждая сеть, как и каждая система, должна иметь
индивидуально разработанную защиту, учитывающую ее
особенности. Прежде всего необходимо учитывать класс сети
(локальная или территориальная, централизованная или
распределенная и т.д.) и используемое программное и аппаратное
обеспечение, а также набор протоколов (вообще говоря протоколы
должны выбираться с учетом требований безопасности). К числу
таких особенностей можно отнести также состав и количество
пользователей, протяженность линий связи, особенности
топологии, режим работы и т.д.
Естественно предположить, что требования к защите будут
определяться назначением и функциями сети. Поэтому защита
локальной и территориальной, централизованной и распределенной
сетей, сетей с различной топологией будет различаться. Ниже мы
рассмотрим особенности организации защиты некоторых классов
сетей.
Важнейшей особенностью защиты сетей является единство
характера сети и механизмов защиты. Другими словами, защита
должна соответствовать принципам организации сети: если сеть
централизованная, то и защита должна быть централизованной;
если сеть распределенная, то и защита должна быть
распределенной. Ниже (табл.7) приводятся некоторые различия
между сетями централизованной и распределенной организации и
вытекающие из этих различий способы защиты (некоторые аспекты
защиты сетей различной организации мы уже рассматривали в
разделе 1.7.2.).
Таблица 7
Ъ——————————————В————————————————————————————В—————————————————————————————ї
і і Централизованная і Распределенная і
Г——————————————Е————————————————————————————Е—————————————————————————————ґ
іРабочая і Обычно замкнутая для опре- і Потенциально открытая для і
ісреда і деленной группы пользова- і взаимодействия с другими і
і і телей, работающих с огра- і системами и сетями. і
і і ниченным кругом задач. і Механизмы защиты должны і
і і Механизмы защиты обычно і учитывать возможность ра- і
і і реализуют соответствие і боты с различными группами і
і і "пользователь - задача" і пользователей: локальными, і
і і или "пользователь - набор і удаленными, "своими", "чу- і
і і данных. і жими" и др. і
і і і і
іИнформационнаяі Определена и контролиру- і Неопределена, контроль за- і
і база і ется. і висит от пользователей. і
і і Механизмы защиты ориен- і Механизмы защиты распреде- і
і і тированы на защиту цен- і лены по узлам сети в зави- і
і і трального узла. і симости от выполняемых фун- і
і і і кций плюс отдельные механи- і
і і і змы защиты сетевой среды. і
і і і і
іПотоки і Точка-точка. і Неупорядочены. і
іинформации і Защита выполняет минима- і Механизмы защиты должны і
і і льные функции. і упорядочивать потоки инфор- і
і і і мации в соответствии с і
і і і политикой безопасности. і
і і і і
іФизический і Критичен для централь- і Минимален. і
іконтроль і ного узла. і і
ідоступа і Механизмы защиты сосре- і і
і і доточены на центральном і і
і і узле. і і
і і і і
іЛогический і Защита наборов данных и і Защита наборов данных и і
іконтроль і среды выполнения, аутен- і целостности сети, аутен- і
ідоступа і тификация периферийных і тификация на каждом узле. і
і і пользователей. і і
А——————————————Б————————————————————————————Б—————————————————————————————Щ
Подобные различия характерны и для сетей различной
топологии. Однако между моделью организации обработки и
топологией существует некоторая связь. Так например, для
централизованной обработки больше всего подходит топология
"звезда", для распределенной -"общая шина", характеризующаяся
высокой скоростью передачи данных и сравнительно быстрым
доступом к узлу. Ниже приводятся некоторые особенности защиты
для сетей различных топологий (см.табл.8)
Таблица 8
Ъ——————————В————————————————————В——————————————————В—————————————————————ї
іТопология і Достоинства і Недостатки і Комментарий і
Г——————————Е————————————————————Е——————————————————Е—————————————————————ґ
і"Звезда" іЛегкость подключенияі В случае сбоя на і Основная информация і
і іновых устройств без і центральном узле і содержится на цент- і
і іреконфигурации сети.і вся сеть выходит і ральном узле, пери- і
і і Центральный узел і из строя. і ферийные узлы играюті
і іможет осуществлять і Центральный узелі роль терминалов. і
і ікоммутацию каналов, і требует жесткой і і
і ісообщений и пакетов.і физической и ло- і і
і і і гической защиты. і і
і і і Установленное і і
і і і соответствие "то-і і
і і і чка-точка", широ-і і
і і і вещательные пере-і і
і і і дачи невозможны. і і
і і і і і
і"Кольцо" іНет центрального і Разрыв кольца вы-і Каждый узел должен і
і(узлы се- іузла, с которым і водит систему из і быть достаточно і
іти равно- іассоциируются про- і строя. і производительным. і
іправны) іблемы безопасности. і При добавлении і Передача сообщения і
і і Каждый узел имеет і нового узла тре- і через промежуточный і
і іравноправные возмо- і буется реконфи- і узел позволяет про- і
і іжности для передачи і гурация сети. і изводить с ним любыеі
і ісообщения. і Передача сообще-і манипуляции, крипто-і
і і і ния через другие і защита приведет к і
і і і узлы снижает бе- і тере производитель- і
і і і зопасность сети. і ности. і
і і і і і
і"Общая іНет центрального і Пропускная спосо-і Наиболее удобная і
ішина" іузла. і бность может сни-і и производительная і
і і Разрыв шины, изо- і жаться при повышеі организация, однако і
і іляция одного устро- і нии нагрузки. і требует более жест- і
і ійства не влияют на і Возможность про-і ких мер защиты, і
і іработу остальных. і слушивания сообщеі особенно на уровне і
і і Легкость расшире- і ний, предназначені протоколов низких і
і іния. і ных другим узлам.і уровней. і
і і і Необходимы болееі і
і і і жесткие средства і і
і і і аутентификации. і і
А——————————Б————————————————————Б——————————————————Б—————————————————————Щ
Способы и методы защиты сети также зависят от назначения
сети. Ниже приводятся некоторые особенности защиты локальных и
территориальных сетей (см. табл.9)
Таблица 9
Ъ—————————————В————————————————————————————————————————————————————————————ї
і і Локальные сети Территориальные сети і
Г—————————————Е————————————————————————————————————————————————————————————ґ
іХарактерные іБолее или менее определенный Неопределенный круг пользо- і
іособенности ікруг пользователей. вателей. і
і і Малая протяженность линий Большая протяженность линий і
і ісвязи. связи. і
і і Высокая скорость передачи Неопределенный (иногда) і
і іданных. маршрут передачи сообщений. і
і і Широкие возможности протоко- Более низкая скорость пере- і
і ілов, в т.ч. для организации дачи данных. і
і іраспределенной обработки. Могут связывать отдельные і
і і терминалы, локальные сети, і
і і другие территориальные сети. і
і і і
іУязвимые іОтдельный узел, злоумы- Оконечные устройства, кана- і
іместа ішленник - обычно пользо- лы связи, промежуточные і
і іватель. устройства (ретрансляторы, і
і і шлюзы, модемы и т.д.). і
і і і
іХарактерные іНесанкционированный Все нарушения, характерные і
інарушения ідоступ на другой узел для локальных сетей, осо- і
і і(для доступа к набору бенно проникновение. і
і іданных, использования Манипулирование сообщени- і
і іресурсов, запуска про- ями (подделка, удаление, і
і іграммы) - любой вид ата- переупорядочивание и т.д.) і
і іки с верхнего уровня. и потоками - любой вид ата- і
і і "Маскарад". ки с нижнего уровня. і
і і Редко - манипулиро- і
і івание отдельными сооб- і
і іщениями. і
і і і
іМеры защиты іКонтроль доступа в со- Контроль доступа, аутенти- і
і іответствии с принятой фикация, цифровая подпись, і
і іполитикой безопасности. контроль целостности (в і
і і Аутентификация. т.ч. с помощью служебных со- і
і і Контроль целостности общений), управление сооб- і
і ісети с помощью служеб- щениями и потоками, запол- і
і іных сообщений. нение текста, шифрование і
і і Редко - оконечное ши- (оконечное и канальное) и і
і іфрование и контроль др. і
і іцелостности. і
і і і
іКомментарий іКриптозащита, заполнение Защита от нападений с вер- і
і ітекста, контроль целост- хнего уровня зависит от і
і іности требуют много ресур- возможностей соответству- і
і ісов и ведут к снижению ющих протоколов. Наиболее і
і іскорости передачи данных. опасным является проник- і
і і новение. і
і і і
і і Контроль целостности с помощью служебных сообщений: і
і іузлы сети периодически посылают идентификационные і
і ісообщения, содержащие информацию об идентификаторе и і
і істатусе узла. Узел, не пославший вовремя такое і
і ісообщение, считается вышедшим из строя. Благодаря этим і
і ісообщениям такие события как наличие узлов с одинаковыми і
і іидентификаторами, отсутствие узла, узел с некорректным і
і іидентификатором будут быстро локализованы. Естественно, і
і іпротоколы сети должны быть составлены с учетом этих і
і івозможностей. і
А—————————————Б————————————————————————————————————————————————————————————Щ
Существует однако один вид нарушений, который одинаково
опасен и для локальных, и для территориальных сетей - доступ с
помощью коммутируемых линий связи (например, телефонных). Их
опасность заключается в том, что любой, знающий адрес сети и
имеющий соответствующее оборудование (компьютер и модем),
может получить доступ к сети. При этом идентифицировать этого
пользователя очень сложно - можно зафиксировать только номер
абонента, и то далеко не всегда. Доступ к сети с помощью
коммутируемых линий связи считается потенциально наиболее
опасным.
Для поддержания безопасности сети на должном уровне любой
вход через коммутируемые линии связи, будь то удаленный
терминал или другая сеть, необходимо аутентифицировать. В
качестве механизма аутентификации может использоваться
парольная защита, проверка по списку разрешенных номеров и
т.д. Можно также использовать устройства автоматического
повторного вызова (automatic call-back), если вызывающий
абонент имеет несколько номеров. При запросе доступа
вызываемый узел разрывает связь, осуществляет аутентификацию,
а затем в зависимости от результата проверки либо производит
повторное соединение (возможно, с другим номером), либо
прекращает сеанс. Однако при использовании таких устройств
необходимо внимательно следить за списком доступных номеров.
1.8. ЗАКЛЮЧЕНИЕ
В этой части книги мы показали тот тернистый путь,
который необходимо пройти администрации (или владельцам) АСОИ
от момента осознания необходимости ее защиты до создания
функционирующей системы защиты АСОИ.
При прохождении этого пути вам понадобятся прежде всего
поддержка специалистов и здравый смысл.
Дело в том, что на сегодняшний день защита АСОИ - это
самостоятельное направление исследований. Поэтому легче и
дешевле использовать для выполнения работ по защите
специалистов, чем дважды учить своих людей (сначала их будут
учить преподаватели, а потом они будут учиться на своих
ошибках).
Главное при защите АСОИ специалистами (естественно после
уверенности в их компетенции в данном вопросе) - наличие
здравого смысла у администрации системы. Обычно, профессионалы
склонны преувеличивать реальность угроз безопасности АСОИ и не
обращать внимания на такие "несущественные детали" как
удобство ее эксплуатации, гибкость управления системой защиты
и т.д., без чего применение системы защиты становится трудным
делом. Построение системы защиты это процесс поиска
компромисса между уровнем защищенности АСОИ и сохранением
возможности работы в ней. Здравый смысл позволит преодолеть
большинство препятствий на этом пути.
Методология построения защищенных АСОИ, изложенная в этой
части книги, безусловно, применим не ко всем АСОИ. Критерием
ее применимости может служить экономическая целесообразность.
Имеет смысл применять эту методологию в том случае, если
затраты на нее меньше, чем стоимость информации, которая может
быть потеряна в результате как умышленных, так и неумышленных
воздействий на АСОИ. Поэтому наиболее реальным объектом
применения методологии являются крупные АСОИ, или АСОИ,
обрабатывающие дорогостоящую информацию или решающие
ответственные задачи.
Перед тем, как выбирать различные средства защиты
необходимо четко представлять какие компоненты АСОИ, от каких
посягательств и насколько надежно вы хотите защитить.
Безусловно, основой системы защиты АСОИ должны быть
организационные (административные) мероприятия, стержнем
которых является разработка и реализация плана защиты. Но
организационные меры без повсеместной поддержки их физическими
и техническими (программными и аппаратными) средствами будут
слабы. Поэтому при выборе средств защиты обращайте внимание не
только на их надежность, но и на то, как они будут
поддерживать разработанные вами организационные мероприятия.
Не увлекайтесь сертификацией средств защиты. Если хотите
получить гарантии защищенности - договоритесь с независимыми
экспертами о проверке всей системы защиты, а не отдельных
средств.
Для обеспечения непрерывной защиты информации в АСОИ
целесообразно создать из специалистов группу информационной
безопасности. На эту группу возлагаются обязанности по
спровождению системы защиты, ведения рекивизитов защиты,
обнаружения и расследования нарушений политки безопасности и
т.д.
Один из самых важных прикладных аспектов теории защиты -
защита сети. При этом, с одной стороны, сеть должна
восприниматься как единая система и, следовательно, ее защита
также должна строиться по единому плану. С другой стороны,
каждый узел сети должен быть защищен индивидуально.
Защита конкретной сети должна строиться с учетом
конкретных особенностей: назначения, топологии, особенностей
конфигурации, потоков информации, количества пользователей,
режима работы и т.д.
Кроме того, существуют специфические особенности защиты
информации на микрокомпьютерах, в базах данных. Нельзя также
упускать из виду такие аспекты, как физическая защита
компьютеров, периферийных устройств, дисплейных и машинных
залов. Иногда бывает необходим и "экзотический" вид защиты -
от электромагнитного излучения или защита каналов связи.
2. ЭЛЕКТРОННЫЕ ПЛАТЕЖИ: ОРГАНИЗАЦИЯ И ЗАЩИТА
2.1. ВЛИЯНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА РАЗВИТИЕ
БАНКОВСКОЙ ИНДУСТРИИ В 90-х ГОДАХ
Приводимые в настоящей главе данные взяты из
аналитического обзора "Europe Towards 2000" (см. [37]). Он
охватывает розничный (retail), инвестиционный (investment) и
международный (international) секторы банковской индустрии и
освещает как общие экономические проблемы, так и проблемы,
специфические для банков. Целью этого обзора является
определение внешних и внутренних факторов, оказывающих влияние
на развитие банковской индустрии, степень их влияния, а также
направления совершенствования деятельности банков.
2.1.1. Проблемы банковской индустрии
Европейская банковская индустрия испытывает необходимость
перемен. Законодательные акты Общего рынка и появление новых
информационных технологий начинают оказывать влияние на
выработку политики банка.
Нынешние изменения в банковской индустрии связаны с
влиянием ряда факторов, в числе которых образование Общего
рынка, международная тенденция глобализации рынка банковских
услуг, изменение законодательства, а также развитие
информационных технологий. Все это заставляет банки изменять
способы обслуживания клиента. Реализация Программы Общего
рынка (Single Market Programme) вместе с Базельским
соглашением о достаточности капиталов закладывают правовую
основу распределения финансовых услуг в рамках Европейского
Сообщества. Все это безусловно оказывает влияние и на
банковскую индустрию. Новые законы и правила требуют изменений
организации и деятельности банков. Однако новое
законодательство оказывает более глубокое воздействие,
приводя, например, к появлению новых конкурентов или к
изменению слагаемых успеха.
Для того, чтобы остаться конкурентоспособными к 2000 году
банки должны оценивать внешние факторы и адекватно реагировать
на них.
К тому же на деятельность банков влияют и внутренние
факторы, такие как изменение запросов клиентов, необходимость
уменьшения времени обслуживания, расширение использования
высоких технологий.
Все это вынуждает банки искать свое место на рынке и
разрабатывать свою стратегию действий с учетом новых
реальностей. Выбор может быть между оказанием клиентам новых
видов услуг более высокого качества или улучшением
существующих видов обслуживания. Эффективное и экономное
использование каналов распределения товаров и услуг - ключевой
момент обслуживания клиентов. Банки должны отказаться от тех
услуг, которые должным образом не окупаются.
В жестких условиях современного рынка банки должны дать
четкий ответ на следующие вопросы:
1. Что оказывает давление на мой бизнес?
2. Что оказывает давление на бизнес моих клиентов?
3. Как я буду конкурировать на Европейском рынке?
4. Как я могу увеличить количество моих клиентов?
5. Смогу ли я увеличить поступления с помощью
расширенного набора услуг?
6. На каких рынках мне следует быть?
7. Где и как возникают наибольшие затраты и как я могу их
уменьшить?
8. Как я могу увеличить количество моих акционеров?
В этой главе будут рассмотрены основные факторы, которые
могут в самом ближайшем будущем воздействовать на деятельность
банков, возможная реакция банков на эти воздействия, а также
роль новых информационных технологий при выработке стратегии
деятельности банка.
2.1.2. Внешние и внутренние факторы
На деятельность банков оказывают влияние ряд факторов,
которые могут быть как внешними, так и внутренними
относительно самого банка. Внешними будем называть те факторы,
которые оказывают влияние на формирование среды
функционирования банка. (изменения политической и
экономической ситуации, развитие технологий). Внутренние же
факторы относятся к сфере влияния самого банка.
Рассматриваемые здесь вопросы влияют на всю банковскую
индустрию в целом.
Внешние факторы
К основным внешним факторам, влияющих на банковскую
индустрию в целом, специалисты фирмы DEC [37] относят
следующие:
* Общий рынок.
Европейское Сообщество приняло решение о создании Общего
Европейского рынка товаров и услуг. Также как и некоторые
положения Программы Общего рынка, некоторые директивы,
вытекающие из этого решения окажут воздействие на деятельность
банков.
* Вторая банковская директива.
Наиболее значительным актом, оказывающим воздействие на
деятельность банков, является Вторая координационная
банковская директива [Second Co-ordination Directive
(Banking)], которая должна быть принята к исполнению всеми
членами Сообщества с 1 января 1993 г. Основным содержанием
этой директивы являются принципы внутригосударственного
управления и всеобщего одобрения членами Сообщества стандартов
контроля и регулирования деятельности банков. Это позволяет
банкам Сообщества, имеющим лицензии на деятельность в своей
стране, выполнять операции в рамках всего Сообщества без
получения дополнительных лицензий. Более того, эти лицензии
позволяют некоторым банкам, не являющимся членами Сообщества,
выполнять операции так, как если бы они получили лицензию в
качестве его членов.
Единая лицензия безусловно усилит конкуренцию между
банками, поскольку в этом случае границы деятельности
отдельного банка будут расширены до границ Сообщества. Банки,
ранее функционировавшие в пределах одной страны, должны будут
пересмотреть свою политику чтобы остаться конкурентоспособными
с зарубежными банками, которые постараются проникнуть на их
рынок.
Воздействие на общий рынок будет менее значительным в
сфере торговых операций и рынка капиталов. Тем не менее
требования к своевременной информации о достаточности капитала
и состоянии рынка окажут влияние на положение дел в этой
области.
Воздействие Второй банковской директивы может быть в
некоторой степени ослаблено культурными и коммерческими
барьерами. Однако в процессе развития Общего рынка эти барьеры
будут постепенно исчезать.
* Глобализация рынка услуг.
С развитием новых технологий исчезают ограничения,
связанные с национальными барьерами, и рынок услуг становится
доступным 24 часа в сутки. Это обстоятельство привело к
появлению на Европейском рынке американских и японских фирм,
что усилило и без того острую конкуренцию.
* Общий рынок, Европейское экономическое пространство,
единая денежная политика.
Европейское Экономическое Сообщество в перспективе
является самым важным торговым блоком в мире. Банки будут
играть не последнюю роль в становлении и развитии единой
инфраструктуры, а также способствовать появлению новых рынков
сбыта продукции. Эти изменения окажут наибольшее воздействие
на банки, традиционно работающие на международном рынке.
Движение к единой валюте окажет воздействие на банки по
двум направлениям: с одной стороны, уменьшит риск некоторых
валютных операций, а с другой, - сузит валютный рынок.
На стирание барьеров в Европе банки должны реагировать
путем предоставления услуг на всем Европейском рынке. В рамках
Европы клиенты будут требовать тот уровень сервиса, к которому
они привыкли у себя дома; в результате они вместе с банками
должны будут входить в международные системы обмена
электронными данными.
* Восточная и Центральная Европа.
Воссоединение Германии, перемены в Восточной и
Центральной Европе, события в бывшем Советском Союзе не только
открывают широкие возможности развития, но и являются
источником новых угроз большинству областей современной
экономики. Для инвестиционных и международных банков это новые
инвестиции, участие в слияниях и приобретениях, приватизации.
Европейские банки в силу своего географического положения
имеют лучшие возможности для усиления влияния на этом рынке.
Однако напряженная экономическая ситуация, сложившаяся здесь,
потребует разработки жесткой кредитной политики и мер контроля
до вхождения в новый рынок. Совместные предприятия и взаимные
соглашения между местными банками и европейскими партнерами -
один из вариантов стратегии вхождения в рынок. Создание в
будущем единой конвертируемой валюты и добавление ее к
существующей на европейском рынке увеличит риск валютных
операций международных банков.
* Изменения в законодательстве (deregulation).
Изменения в законодательстве поощряют небанковские
организации оказывать финансовые услуги в прямом соперничестве
с банками. Многие из таких организаций созданы недавно, их
деятельность не регулируется так, как банковская, и они не
нуждаются в дорогостоящей инфраструктуре для этой цели. Они
используют существующие сети распределения и продаж для
оказания услуг, стоимость которых оказывается меньше, чем у
банков. Более того, они не наследуют традиционную банковскую
инфраструктуру: многие банки считают слишком обременительным
для себя ее переориентировать. Небанковские организации
используют расширяющуюся сеть клиентов и увеличение продаж в
тех областях, которые были исключительной вотчиной банков. Так
например, английская фирма Marks & Spencer успешно внедрилась
на финансовый рынок с помощью создания собственного
инвестиционного фонда и карточек для обслуживания в магазинах.
Изменение законодательства дает также небанковским
организациям возможность прямого доступа на финансовый рынок,
минуя традиционные банковские взаимоотношения и различных
посредников. Банки должны пересмотреть свою роль в этом
процессе и выступать в основном в качестве консультантов или,
в некоторых случаях, гарантов.
* Достаточность капиталов.
Этот фактор ложится тяжким бременем на различные
финансовые институты, в том числе банки. Базельское соглашение
(о достаточности капиталов) определяет минимальный уровень
собственных капиталов банка. Требования к минимуму капитала
влияют на решение о выборе сферы деятельности: гнаться ли за
капиталоемким бизнесом, назначать ли свою цену на продукцию и
т.д. Это сильно влияет на методы конкуренции и, более того, в
некоторых случаях на возможность самой конкуренции.
Законодательство Общего Европейского рынка идет дальше
Базельского соглашения и рекомендует увеличить требования к
ликвидности и депозитным резервам банков.
* Увеличение требовательности клиентов.
Информированность клиентов о доступности услуг банков и
их стоимости приводит к увеличению требований к качеству и
стоимости предлагаемых услуг. Особенно это касается крупнейших
универсальных банков, которые становятся все менее
привлекательны для клиентов, объединенных каким-либо одним
общим интересом или проживающих в одном регионе. Одним из
основных направлений развития розничных банков является
"мультибанк" - банк,создаваемый специально для оказания
специфических услуг.
Корпоративные клиенты образуют квалифицированные
финансовые группы, имеющие больший кредит доверия, чем банки.
Это усиливает тенденцию, при которой такие клиенты оказывают
услуги, ранее бывшие традиционными для банков причем без
посредников, что снижает стоимость услуги и делает ее более
привлекательной в глазах клиента.
Клиенты также прекрасно осведомлены о риске, связанном с
банковской деятельностью, и становятся более осторожными при
вкладывании денег в ненадежные банки. Увеличивающаяся
требовательность клиентов заставляет банки изменять свою
политику, чтобы проницательный покупатель выбрал именно их
продукцию.
Кроме того, демографические перспективы таковы, что
средний возраст потенциальных клиентов в Европе будет
постоянно увеличиваться, так же как и их средства. Как
отдельные, так и корпоративные клиенты станут более мобильны,
потребуют управления риском и отказа от рискованных вложений.
Эти факторы станут определять выбор и возможности розничных
банков в будущем.
* Технологии.
За последнее десятилетие развитие технологий, средств
обработки и передачи информации помогли увеличить
производительность и уменьшить стоимость банковских операций.
Современные технологии позволяют практически моментально
получать и использовать информацию о клиентах, продуктах и
рисках, что, несомненно, оказывает влияние на
конкурентоспособность банков. Однако пока очень немногие банки
в полной мере используют эти возможности.
Средства телекоммуникаций вместе с новыми информационными
технологиями становятся инструментом при разработке новых
продуктов и механизмов их распространения, что расширяет сферу
деятельности банков. Электронные платежи и средства расчета в
точке продажи - примеры использования новых технологий,
коренным образом меняющих банковскую индустрию.
Тем не менее, информационные технологии и поддерживающие
их организационные структуры могут стать барьером на пути
развития. Вложив большие средства в определенную технологию,
очень сложно переориентироваться на какую-либо другую. Этого
недостатка лишены новые конкуренты, которые будут сразу
приобретать перспективные технологии.
Внутренние факторы
В дополнение к рассмотренным на деятельность банков
оказывают влияние внутренние факторы, относящиеся к сфере
деятельности самого банка.
* Акционерный капитал.
Увеличение оборота традиционно требует увеличения
акционерного капитала для защиты капиталов банка. Изменения в
банковском законодательстве Европы могут поставить банки в
затруднительное положение, вследствие чего они могут побудить
акционеров инвестировать дополнительные средства при падении
доходов. Для поддержки источника акционерного капитала банки
будут вынуждены продемонстрировать свою прибыльность и
конкурентоспособность в других секторах экономики. Таким
образом, у них не остается другого выхода, как брать курс на
поддержку прибыльности. Те банки, которые не сделают этого,
могут лишиться поддержки акционеров.
* Расходы на управление.
Забота о прибыли приводит к необходимости обратить
внимание на расходы по содержанию банка. Содержание служащих -
традиционно самая большая статья расходов (около 55%, хотя эта
цифра различна для разных стран), и она в первую очередь
нуждается в пересмотре. Расходы на поддержку информационных
технологий сейчас сократились, хотя они занимают второе место
- около 30%. Также необходимо принимать во внимание расходы на
содержание центрального офиса и филиалов. Анализ этих наиболее
значительных статей расходов ставит вопрос о наиболее
эффективном методе управления.
* Изменения в управлении.
Перемены в экономике оказывают влияние на банковское
дело, его организацию и способы использования технологий.
Обычно банки чутко реагируют на изменения, адаптируя свою
организационную структуру и используемые технологии для более
быстрого решения собственных задач. Содержание и масштабы этих
изменений, также как и скорость их появления, сделали эту
традицию устаревшей. Сейчас необходимо использовать новейшие
гибкие технологии, перестроить свою структуру в соответствии с
современными требованиями так, чтобы она могла реагировать на
все перемены. Кроме того, изменения в деловых отношениях между
банками, их клиентами и третьими лицами требуют интеграции
операционных возможностей банка, его клиентов и третьих лиц.
* Долги развивающихся стран.
Кризис задолженностей развивающихся стран остается
неразрешимой проблемой, которая может оказать большое влияние
на будущее многих банков. В то время как политическое решение
этой проблемы большей частью находится в руках политиков, она
остается ключевым фактором, оказывающим воздействие на высшее
руководство банка.
2.1.3. Банковская индустрия: цепь приоритетов
Изменения в банковской индустрии породили новые проблемы
и новые возможности. Возникла необходимость пересмотра
стратегии деятельности банков с целью поиска новых и анализа
существующих источников получения прибыли при жестком контроле
за расходами. Однако прежде чем формулировать положения новой
стратегии следует рассмотреть элементы процесса
жизнедеятельности банка.
Концепция "цепи приоритетов" (value chain) определяет и
характеризует для банков различные области экономической
деятельности. Банковская цепь приоритетов есть система
взаимосвязанных, но тем не менее различающихся направлений
деятельности банка. Важность каждого направления деятельности
может быть определена количеством клиентов, согласных платить
за соответствующие данному направлению товары и/или услуги.
Банк может быть прибыльным только в том случае, если он
получает прибыль на каждом из выбранных направлений
деятельности
Различные типы банков (розничные, инвестиционные,
международные) имеют разный состав цепи приоритетов. Однако
все банки включают в свою деятельность пять основных
направлений:
1. Использование привлеченных вложений.
2. Разработка продукции для удовлетворения запросов
клиентов.
3. Управление риском.
4. Обработка транзакций.
5. Распределение товаров и услуг.
В попытках найти свою нишу на финансовом рынке и
поддержать свою конкурентоспособность банки используют
различные способы, которые в конечном счете сводятся к
изменению приоритетов деятельности.
Использование привлеченных вложений
Привлечение дешевых капиталов с помощью доступа к
оптовому и розничному рынкам - одна из общих черт сегодняшней
банковской индустрии. На оптовом рынке многие промышленные
компании имеют рейтинг более высокий, чем у банков, и могут
увеличить свои капиталы более легким и дешевым способом (в
связи с отсутствием посредников). Глобализация оптового рынка
дает банкам и другим организациям возможность более быстрого
доступа к капиталам, причем с низкими затратами с помощью
использования современных технологий.
В 80-е годы стало традицией вымывание основных источников
поступлений розничных банков (дешевых беспроцентных текущих
счетов) и появление привилегированных текущих счетов. В
Великобритании банки, затратившие значительные суммы на
развитие инфраструктуры в надежде привлечь депозиты,
обнаружили, что уровень затрат "небанковских" конкурентов
ниже, чем их собственный. Все это в совокупности с неудачным
управлением активами и возрастающей конкуренцией усиливает
давление на процентные ставки и минимальные резервы. Такая
ситуация заставляет банки искать альтернативные источники
капиталовложений и способы уменьшения стоимости депозитов.
Многие банки убедили своих акционеров увеличить капитал.
Однако акционерный капитал не всегда является дешевым
источником вложений, поэтому банки используют альтернативные
пути, такие как залог (продажа части собственных активов и
периодические займы). Кроме того, банки выходят на рынок
облигаций, в том числе со свободным курсом (Floating Rate
Note; FRN) для получения других источников капитала; в
некоторых случаях такие облигации могут квалифицироваться как
капитал.
Однако для привлечения депозитов банки все больше уделяют
внимание разработке новой продукции.
Разработка продукции
Это одно из основных направлений деятельности банка.
Жизненный цикл продуктов сокращается, поскольку использование
современных технологий уменьшает время разработки аналогичного
продукта конкурентами. Продукты обычно разрабатываются для
определенного сегмента рынка.
Банки, потерпевшие неудачу при разработке новых продуктов
или оставшиеся в одиночестве со своей ценой, вряд ли могут
остаться конкурентоспособными. В силу этих причин они
попытаются отличиться, увеличив число клиентов с помощью
улучшения своей продукции, качества и удобства предоставляемых
услуг.
Ожидается, что розничные банки разделятся на те, которые
будут предлагать все виды услуг (универсальные) и те, которые
станут предлагать специфичные услуги (например, ипотечные).
Универсальные банки будут стремится стать как можно ближе к
клиенту и все больше предлагать такие виды услуг как
страхование жизни, общее страхование, консультации, в том
числе финансовые, как организациям, так и частным лицам. Все
это ранее находилось за пределами традиционной сферы
деятельности банков. Специализированные банки будут
предоставлять ограниченный набор продуктов и могут выступать в
качестве представителей других организаций при продаже этих
продуктов. Специализированные банки могут быть и крупными. В
Европе есть множество банков, которые предпочли быть
специализированными, а не универсальными. В их числе Credit
Lyonnaise во Франции, Cariplo в Италии, Algemene Bank в
Голландии и др.
Управление активами и пассивами
Правильное управление активами и пассивами позволяет
банкам защитить свои активы, получать прибыль и минимизировать
риски. Отметим следующие виды рисков:
* Кредитный риск - объединяет все виды, связанные с
невозвратом кредитов, включая государственный (политический)
риск, промышленный риск и некоторые другие. Управление
кредитным риском особенно важно в период экономического спада,
так как задолженности напрямую уменьшают капитал банка, что
может негативно сказаться при оценке достаточности капитала.
* Риск процентной ставки - целью управления им является
защита банка и его клиентов от потерь, связанных с колебанием
процентной ставки.
* Риск валютных операций - целью управления им является
защита банка от потерь, связанных с колебанием курсов валют. В
рамках Европейского Сообщества этот вид риска неуклонно
уменьшается по пути движения к единой европейской валюте, тем
не менее он еще остается значительным в связи с распадом
Восточного блока.
Современные условия требуют комплексного управления всеми
видами риска в связи с нарастающей тенденцией либерализации
рынка капиталов.
Успешное управление риском улучшает положение банка и его
клиентов, увеличивает количество последних и защищает их от
потерь. Поэтому банки разрабатывают специальные стратегии
управления риском. В их числе свап, ФРА (Forward Rate
Agreement; FRA) и другие стратегии, учитывающие процентные и
валютные ставки. Однако успешное управление риском зависит от
доступности банкам достоверной и своевременной информации о
состоянии финансового рынка, которая может быть предоставлена
их клиентам вместе с оценкой риска.
Современные технологии позволяют решить все эти проблемы,
обеспечивая быстрый доступ к требуемой информации и построение
специальных баз данных, предназначенных для помощи в
управлении риском.
Обработка транзакций
Обработка транзакций остается наиболее трудоемким
элементом цепи приоритетов банка; она должна быть безошибочной
и обеспечивать точную и своевременную информацию для
использования банком и его клиентами. Однако клиенты не желают
оплачивать "невидимые" услуги и поэтому не считают обработку
транзакций прибыльным элементом. Банки не в состоянии
оказывать высококачественные услуги без значительных затрат в
этой области. Но они стараются компенсировать их с помощью
прогрессивно возрастающих тарифов. Конкуренты стремятся
использовать более дешевые технологии, которые дают
преимущество в конкурентной борьбе.
Выход из этого тупика - разработка эффективных способов
обработки данных. В идеале следует заставить клиентов
расплачиваться за улучшение параметров обслуживания (например,
скорости). Так, скажем, операции передачи денег традиционно
имеют большой объем и все больше зависят от применяемых
технологий для сокращения расходов. Выполнение этих операций
для большого числа клиентов может дать банкам существенную
прибыль. Объемы же операций, связанных с обработкой чеков и
других бумажных документов будут уменьшаться пропорционально
распространению электронных банковских карт.
Распределение товаров и услуг
Важным элементом цепи приоритетов являются способы
распределения товаров и услуг.
Обычно такое распределение производилось через сеть
филиалов или офисы корпораций. Бурное развитие
телекоммуникаций, компьютерных технологий, мобильности
клиентов вместе с переменами в Общем рынке заставляют банки
пересматривать свои стратегии распределения товаров и услуг.
Все большее значение приобретает удаленное банковское
обслуживание с помощью автоматических кассовых аппаратов,
систем электронных платежей, расчета в точке продажи,
осуществляемых с помощью интеллектуальных и других электронных
банковских карт, клиентских терминалов и телефонного
обслуживания. Все эти достижения способствуют сокращению
расходов, улучшают качество обслуживания в некоторых элементах
цепи приоритетов.
Современные технологии предлагают альтернативы
традиционным банковским продуктам и услугам. Изменения,
которые привели к уменьшению объема локальных операций,
оказываются в центре внимания. Филиалы все более
сосредотачиваются на продажах и поддержке клиентов, что
открывает новые возможности для расширения объема продаж и
привлечения новых клиентов.
Deutsche Bank в 1990 г. объявил об убытках, связанных с
обслуживанием частных лиц, в сумме DM 200 млн. Тем не менее он
выполняет программу расширения сети самообслуживания путем
эмитирования миллиона электронных карт.
Использование современных технологий создало новый рынок,
где технологии становятся товаром в таких областях как обмен
электронными данными, системы электронных платежей в точке
продажи и т.д.
Рассмотрению проблем, связанных с использованием
современных технологий в банковской сфере, посвящена следующая
часть книги.
2.1.4. Стратегия развития банковской индустрии
Проведенный анализ внешних и внутренних факторов,
банковской цепи приоритетов позволяет сделать некоторые общие
выводы. Здесь прежде всего свяжем вместе принципиальные
результаты воздействия внешних и внутренних факторов на
банковскую индустрию, а затем рассмотрим стратегию и
направления бизнеса.
Принципиальные результаты
* Клиенты.
Клиенты, становясь более искушенными, требовательными и
экономными, будут интересоваться:
- усилением специализации предлагаемой продукции;
- продукцией только высокого качества;
- продукцией, имеющей приемлемую цену.
Продукция и каналы ее распределения должны выбираться
так, чтобы эффективно обслуживать клиентов в соответствии с их
требованиями.
* Конкуренция.
Возрастающая конкуренция, как ожидается, будет основным
результатом воздействия различных факторов на банковскую
индустрию.
Ранее было показано как конкурентная борьба содействует
проникновению на финансовый рынок новых структур. Также этому
будет способствовать изменение законодательства. Банки
Сообщества будут искать пути выхода на рынки других членов
Сообщества через организацию совместных предприятий или
создание сети собственных филиалов в других странах
Сообщества.
Кроме того, Европейский рынок становится все более
привлекательным для банков, не являющихся членами Сообщества,
в особенности это относится к банкам Японии, Кореи и США. Так
например, Citibank вышел на Европейский рынок с предложением
специфических услуг (хранение ценностей (safe custody)), с
помощью которых намеревается получить возможность оказания
традиционных банковских услуг.
* Инвестиции.
Внешние и внутренние факторы, воздействующие на
банковскую индустрию, требуют радикальной переоценки
существующей ныне практики и приоритетов инвестирования.
Усиливающееся давление ставит банки перед лицом необходимости
вкладывать деньги в разработку новой продукции (чтобы остаться
конкурентоспособными и для оказания услуг клиентам). Изменения
на рынке, с одной стороны, открывают новые возможности для
инвестирования, но, с другой, ведут к росту затрат, например
на содержание инфраструктуры.
Изменение требований к обслуживающему персоналу банков
заставляет идти на увеличение заработной платы и затраты на
обучение программистов и аналитиков. Это может стать особенно
важным, если предсказание об уменьшении количества
квалифицированных служащих в Европе сбудется.
Стратегические направления деятельности
Высшее руководство банков будет все больше использовать
детальный анализ факторов и их значений и следующие из этого
анализа выводы для выработки политики банка. Это наиболее
важный этап перед разработкой стратегических направлений
деятельности, определяющих реакцию на внешние и внутренние
факторы.
* Новые услуги и ключевые аспекты управления.
Банки должны будут пересмотреть направления своей
деятельности для того, чтобы удержаться на рынке и остаться
прибыльными в 90-х годах. Прежде всего это касается улучшения
обслуживания клиентов и оказания более специфических услуг.
Идя навстречу требованиям клиентов, и в соответствии с
другими факторами конкурентной борьбы, банки должны будут
выбрать один из следующих путей развития:
1. Оказывать все виды услуг в большинстве своих
отделений, включая, возможно, и небанковские услуги -
универсальный банк;
2. Предоставлять узкому кругу клиентов небольшой, но
специфичный перечень услуг в определенном регионе -
специализированный банк.
Существующий круг клиентов - это ключевой ресурс банка,
который необходимо сохранить и попытаться увеличить. С этой
целью многие банки приспосабливают свои технологии для продажи
новой продукции. Более того, они переопределяют назначение
традиционных механизмов распределения (единые филиальные и
корпоративные банковские сети) и вводят в эксплуатацию новые
(телекоммуникационные средства связи с другими банками и
корпоративными клиентами).
* Новая продукция.
Конкуренция укорачивает жизненный цикл продукта. Для
получения преимуществ в конкурентной борьбе и завоевания рынка
новые продукты должны разрабатываться в приемлемые сроки, а
также планироваться выпуск в будущем новых их версий с
улучшенными параметрами и по более низким ценам. Способы
доставки и распределения продукции и услуг должны
планироваться как часть их свойств.
Внешнее управление номенклатурой продукции необходимо
осуществлять в соответствии с существующими приоритетами на
рынке. Таким образом, номенклатура и качество продукции,
предоставляемой банками, становится их ключевым отличием друг
от друга.
* Структурные изменения.
Существует несколько различных путей, по которым идут и
пойдут в течение 90-х годов структурные изменения в банковской
индустрии:
1. Слияния и приобретения;
2. Создание совместных предприятий и взаимные соглашения
(особенно между приватизируемыми банками Восточного блока и
существующими Европейскими банками);
3. Рационализация;
4. Дезинтеграция.
Существует несколько причин, по которым большинство
выбранных стратегических направлений концентрируется вокруг
структурных изменений:
1. Возможно повышение конкурентоспособности участвующих
банков за счет доступа к клиентам и каналам распределения друг
друга.
2. Усиление защиты интересов существующих клиентов за
счет расширения сетей распределения продукции и услуг.
3. Страховые компании и другие небанковские организации
рассматривают розничные банки как потенциальные объекты
приобретения с целью доступа к существующим каналам
распределения продукции и услуг.
4. В результате выработки общего мнения о том, что
Европейский рынок в целом переполнен.
5. С целью создания сетей распределения и торговли по
низким ценам.
6. Понимание выгод от оптимизации размера
(продемонстрированное недавним слиянием Chemical Bank и
Manhattan Bank в США), включая доступ к дешевым капиталам.
7. Возможность удовлетворения нужд клиентов с помощью
более дешевых вспомогательных административных служб, ранее
традиционно считавшихся частью основной деятельности банка
(например, компания Skipton Building Society, которая
управляет и обрабатывает ипотеки нескольких банков
Великобритании).
Структурные изменения в течение последних двух лет идут
особенно интенсивно на скандинавском финансовом рынке. Однако
слияния, приобретения, выход на новые рынки, конечно,
характерны не только для этих стран.
Направления развития бизнеса
Стратегические направления должны быть преобразованы в
реалистичные и детальные бизнес-планы. Ниже мы рассмотрим
некоторые ключевые направления бизнеса.
* Разработка продукции.
В этой области, а также в области оказании новых видов
услуг, банки ведут работу по следующим направлениям:
1. Расширение портфеля продукции, специфичного для
данного банка, изменяющего его статус;
2. Разработка новой высокорентабельной продукции по
долгосрочным программам с использованием современных
технологий, а также оказание платных консультационных услуг.
* Изменение процесса выполнения операций.
Определенные преимущества в конкурентной борьбе могут
быть достигнуты за счет переоценки операций и изменений
процесса их выполнения. При этом недостаточно ограничиться
оптимизацией существующих операций, необходимо создавать
новые, отличные от выполняемых другими организациями. Ключевую
роль в этом процессе играют современные технологии:
1. Растет необходимость жесткого контроля за расходами,
особенно в условиях увеличения затрат на регулирование
деятельности и появления на рынке новых дешевых товаров и
услуг, производимых и оказываемых небанковскими организациями.
Такой контроль может быть осуществлен с помощью
централизованной обработки информации и совершенствования
управлением. Эти меры, безусловно, окажут воздействие на штат
банка.
2. Оптимизация стоимости продукции и каналов
распределения особенно важны для сокращения перекрестного
финансирования и назначения реальной цены на товары и услуги.
Во многих случаях цена не отвечает экономическим
характеристикам продукции и способам ее распределения,
особенно с точки зрения выгоды клиентов. Часто одна продукция,
предлагаемая клиентам, влечет за собой потери с их стороны, в
то время как другая, обещающая им некоторую прибыль, требует
больших расходов со стороны банка. Это и означает перекрестное
финансирование как продукции, так и клиентов.
3. Возрастает необходимость обработки постоянно растущего
потока информации о состоянии рынка для более точного
определения места специфической продукции на расширяющемся
Европейском рынке. Эта проблема должна решаться самим банком.
4. Взаимоотношения между банками и их клиентами и
партнерами изменяются с внедрением систем обмена электронными
данными.
5. Банки должны пересмотреть существующую и разработать
новую систему взаимоотношений по вертикали со своими
подчиненными организациями и партнерами.
* Управление людскими ресурсами.
Роль персонала банка меняется, набор требуемых
специальностей тоже. Традиционных функций обработки становится
меньше, некоторые исчезают вообще, а роль таких функций как
маркетинг и продажа услуг, производство новой продукции,
управление отношениями с клиентом, внедрение новых систем
постоянно возрастает. Специалисты новых профессий могут быть
"приобретены" одновременно с началом продажи новых товаров и
услуг, или же банк может вкладывать деньги в переобучение
специалистов и обучение новых. Некоторые банки включили в
процесс переобучения весь штат программистов.
Банки некоторых стран Общего рынка обучают персонал
иностранным языкам для работы на Европейском рынке.
* Стратегия распределения.
Возможность доступа клиента к банку с помощью
существующих филиальных сетей теперь уже не является ключевым
фактором успеха. Изменение требований клиентов, новые
технологии и фиксированно высокая стоимость содержания таких
сетей заставляют искать альтернативные стратегии. Предлагаются
следующие подходы:
- мобильные пункты продажи товаров и услуг;
- механизмы прямой продажи товаров и услуг;
- технологии расчета в точке продажи;
- электронное и телефонное банковское обслуживание и др.
* Возрастающая роль технологий.
Применение новых технологий оказывает влияние на
стратегические направления и направления бизнеса в
деятельности банка. О роли и способах использования новых
технологий смотри ниже.
2.1.5. Роль информационных технологий в деятельности банка
Банки издавна внедряют и используют самые современные
достижения науки и техники для облегчения ручного труда и
ускорения выполняемых операций. Однако сейчас этого уже
недостаточно и победителями в 90-х годах будут те, кто
полностью перестроит свою деятельность в соответствии с
современными технологиями.
Стратегии применения информационных технологий и
перестройка деятельности
Развитие современных информационных технологий может
осуществляться под воздействием бизнеса и для бизнеса.
Особенно важным в этом процессе является то, что
информационные технологии развиваются в тесном взаимодействии
с экономикой. Информационные технологии влияют на размер
получаемых доходов и на то, как они складываются и
распределяются.
Как мы уже показали, информационные технологии
пронизывают каждый элемент цепи приоритетов, наполняя их новым
содержанием и воздействуя на связь элементов между собой.
Кроме того, технологии влияют на конкурентоспособность банков,
изменяя жизненный цикл продукции, предлагаемой клиентам.
Стратегии применения информационных технологий определяют
методы, с помощью которых они изменяют современный бизнес и
пути управления этими переменами.
Разработка архитектуры компьютерной системы банка
Под архитектурой системы понимается совокупность ее
функциональных компонентов и их взаимодействие друг с другом.
Целью разработки архитектуры компьютерной системы банка
является создание внутренне логичной и гибкой системы, которая
будет следовать за изменениями стратегии деятельности банка с
минимальным разрушающим воздействием на нее. Любая архитектура
должна сочетаться с стратегией компании и упрощать проведение
ее в жизнь.
Появление каждой новой технологии обязательно влечет за
собой отказ от существующих систем обработки данных.
Естественно, это является барьером на пути внедрения новых
разработок. Неуклонно возрастает в связи с этим интерес к
стандартизованным и открытым системам, в которых программы и
представления данные совместимы и их работа не зависит от
поставщика оборудования и программ.
Это направление особенно важно при выработке взаимных
соглашений и между организациями и их слиянии. Например,
недавние слияния Dutch Postbank и Naturale Nederlanden,
английских Lloyds и Abbey Life, германских - Deutsche Bank и
Deutsch Lebensversicherung - привели к возникновению проблем,
связанных с информационными технологиями. Задача заключается в
том, чтобы разработать такую архитектуру, которая свяжет
вместе критичную деятельность клиентов и каналы распределения
товаров и услуг банка, не нарушая при этом порядка работы
организации.
Системы управления информацией
Во многом прибыльность банка зависит от обеспечения
высшего руководства нужной, своевременной и точной
информацией. Системы управления информацией должны быть
действительными помощниками в деятельности банка, обеспечивая,
например, информацию о положении на рынке, прибыльности
банковской продукции, состоянии клиентов и т.д. Получаемая с их
помощью информация может использоваться банком для улучшения
обслуживания клиентов или для представления им с целью
использования в собственных интересах.
Системы управления риском
Банкам необходима постоянная информация о степени риска
их деятельности. Оценка риска - это процесс, который коренным
образом может быть изменен с помощью современных технологий. В
него могут быть вовлечены более "интеллектуальные" системы,
которые способны оценивать процентные ставки, курсы валют,
кредитоспособность клиента и т.д., выдавая при этом
рекомендации относительно возможных действий и их результатов.
Системы доставки информации и платежей
Современные технологии дают банкам огромные преимущества
в организации систем доставки товаров и услуг. Использование
электронных средств связи позволяет реализовать:
- электронные платежи и расчеты в точке продажи;
- клиентские терминалы, осуществляющие прямую связь с
банком;
- домашнее банковское обслуживание с помощью
персонального компьютера или телефона;
- обмен электронными данными и сети с расширенным набором
услуг (VAN);
- технологии электронных банковских карт, включая
магнитные пластиковые и интеллектуальные карты.
Реализация этих и других методов банковского обслуживания
в конкретных системах требует разработки жестких мер защиты
для предотвращения случайных и умышленных нарушений их
функционирования. Способы организации и защиты таких систем
будут рассмотрены далее.
2.1.6. Выводы
Итак, мы рассмотрели некоторые факторы, оказывающие
воздействие на развитие банковской индустрии в Европе в 90-х
годах. Их влияние приведет к росту конкуренции и радикальным
переменам. Реакция банков будет заключаться в более
эффективном обслуживании клиентов, как с помощью узкой
специализации банковских услуг, так и универсального
банковского обслуживания, уменьшении риска и расходов на
выполнение операций. Современные технологии будут играть
ключевую роль в этих переменах.
Одна из основных проблем банков сегодня - это управление
инвестициями в электронные банковские системы с тем, чтобы
последние полностью отражали перемены в банковской индустрии и
современное представление о банковской деятельности. Успех на
стратегических направлениях бизнеса целиком зависит от
реализации новых систем. Это утверждение подтверждается
многими свежими фактами. Лидерами среди европейских банков к
2000 году будут те, кто сможет успешно решить эту проблему.
2.2. АВТОМАТИЗАЦИЯ БАНКОВСКИХ ОПЕРАЦИЙ И ИХ ЗАЩИТА
Со времени своего появления банки неизменно притягивали к
себе преступников. В наши дни они превратились в оборудованные
по последнему слову техники бастионы, скрывающие в своих
недрах миллиарды. Однако прогресс в технике преступлений шел
не менее быстрыми темпами, чем развитие банковских технологий.
В настоящее время значительная доля всех преступлений связана
с использованием АСОИ банка. Следовательно, при создании АСОИ
банкам надо уделять пристальное внимание обеспечению их
безопасности.
2.2.1. Необходимость защиты банковских систем: тенденции
и факты
Услуги, предоставляемые банками сегодня, в немалой
степени основаны на использовании средств электронного
взаимодействия банков между собой, банков и их клиентов и
торговых партнеров. В настоящее время доступ к услугам банков
стал возможен из различных удаленных точек, включая домашние
терминалы и служебные компьютеры. Этот факт заставляет отойти
от концепции "запертых дверей", которая была характерна для
банков 60-х годов, когда компьютеры использовались в
большинстве случаев в пакетном режиме как вспомогательное
средство и не имели связи с внешним миром.
Компьютерные системы, без которых не может обойтись ни
один современный банк,- источник совершенно новых, ранее
неизвестных угроз. Большинство из них обусловлено
использованием в банковском деле новых информационных
технологий и характерны не только для банков. При этом следует
помнить, что во многих странах, несмотря на все
увеличивающуюся роль электронных систем обработки, объем
операций с бумажными документами в 3-4 раза выше, чем с их
электронными аналогами.
Отечественные банки также не смогут избежать участи
тотальной автоматизации. Основная причина - усиление
конкуренции между банками, в том числе и с иностранными.
Уровень оснащенности средствами автоматизации играет
немаловажную роль в деятельности банка и, следовательно,
напрямую отражается на его положении и доходах (см. главу
2.1.). Усиление конкуренции между банками приводит к
необходимости сокращения времени на производство расчетов,
увеличения номенклатуры и повышения качества предоставляемых
услуг.
Чем меньше времени будут занимать расчеты между банком и
клиентами, тем выше станет оборот банка и, следовательно,
прибыль. Кроме того, банк более оперативно сможет реагировать
на изменение финансовой ситуации. Разнообразие услуг банка (в
первую очередь это относится к возможности безналичных
расчетов между банком и его клиентами с использованием
пластиковых карт) может существенно увеличить число его
клиентов и, как следствие, повысить прибыль.
В то же время, АСОИ банка становится одним из наиболее
уязвимых мест во всей организации, притягивающей
злоумышленников, как извне, так и из числа сотрудников самого
банка. Для подтверждения этого тезиса приведем несколько
фактов (по данным Datapro Research Group и Datapro Information
Services Group, 1991,92 гг.)[31]:
* Потери банков и других финансовых организаций от
воздействий на их системы обработки информации составляют от
$143 млн. до $41 млрд. в год. Такой разброс обусловлен
различными методиками оценки. Наиболее часто называется сумма
в $3 млрд. в год.
* Объем потерь, связанных с использованием пластиковых
карточек оценивается в $2 млрд. в год, что составляет 0.5-10%
от общего объема платежей в зависимости от используемой
системы. Средняя величина потерь - между 3% и 4% (для
сравнения, потери при платежах по чекам составляют около 2% от
общего объема платежей).
* Средняя величина ущерба от банковской кражи с
применением электронных средств составляет около $9.000.
* Один из самых громких скандалов связан с попыткой
семерых человек украсть $700 млн. в Первом национальном банке
Чикаго. Она была предотвращена ФБР.
* Менее значительные попытки грабежа (все относятся к
1988 г.):
- PS (английский фунт стерлингов) 27 млн. были украдены
из Лондонского отделения Union Bank of Switzerland ;
- DM 5 млн. - Chase Bank (Франкфурт), служащий перевел
деньги в банк Гонконга; они были взяты с большого количества
счетов (атака "салями"), кража оказалась успешной;
- $3 млн. - банк Стокгольма, кража была совершена с
использованием привилегированного положения нескольких
служащих в информационной системе банка и также оказалась
успешной;
- 80 млн. швейцарских франков - из Лондонского отделения
Schweizerische Bankgesellschaft. Деньги пытались перевести в
сберегательный банк в районе Женевы в виде кредита.
Подробности этого преступления остались неизвестны, однако
четверо человек были арестованы: двое в Англии и двое в
Швейцарии;
Чтобы обезопасить себя и своих клиентов, большинство
банков предпринимают необходимые меры защиты, в числе которых
защита АСОИ занимает не последнее место. Защита АСОИ банка -
дорогостоящее и сложное мероприятие. Так, например,
Barclays Bank тратит на защиту своей автоматизированной
системы около PS 20 млн. ежегодно.
2.2.2. Угрозы безопасности автоматизированных банковских
систем
В первой половине 1992 г. Datapro Information Services
Group провела почтовый опрос среди случайно выбранных
менеджеров информационных систем. Целью опроса явилось
выяснение состояния дел в области защиты. Было получено 1.153
анкеты, на основе которых получены приводимые ниже результаты.
229 (19%) анкет были присланы из банков и других финансовых
организаций, 329 (28%) - из государственных организаций)
[31,32].
Статистика по основным проблемам, с которыми столкнулись
менеджеры информационных систем, приведена в табл. 10.
Таблица 10
Ъ———————————————————————————————————В———————————————В————————————————ї
і Описание угрозы і 1991 і 1992 і
Г———————————————————————————————————Е———————————————Е————————————————ґ
і Потеря связи: і і і
і * стихийные бедствия і 14 % і 8 % і
і * другие причины *) і 42 % і 36 % і
і - небрежность пользователей і - і 15 % і
і - неисправности в учереж- і - і 21 % і
і денческих АТС і і і
і - неисправности в сетях і - і 46 % і
і передачи данных і і і
і - ошибки программных средстві - і 39 % і
Г———————————————————————————————————Е———————————————Е————————————————ґ
і Преступления, связанные с і і і
і компьютерами: і і і
і - при помощи программ і 22 % і 44 % і
і (включая вирусы) і і і
і - раскрытие пароля і 28 % і 30 % і
і - изнутри системы і 4 % і 5 % і
і - извне системы і 2 % і 2 % і
і - возгорание компьютеров і 2 % і 1 % і
і - утечка информации і 9 % і 11 % і
Г———————————————————————————————————Е———————————————Е————————————————ґ
і Потеря питания: і і і
і * стихийные бедствия і 29 % і 22 % і
і * другие причины **) і 53 % і 50 % і
і - неисправность оборудованияі - і 28 % і
і - отключение электричества і - і 71 % і
і - небрежность персонала і - і 10 % і
і - выход из генератора из і і і
і строя і - і 15 % і
Г———————————————————————————————————Е———————————————Е————————————————ґ
і Несанкционированный доступ і 19 % і 22 % і
і к информации і і і
Г———————————————————————————————————Е———————————————Е————————————————ґ
і Вода: і і і
і - стихийные бедствия і 3 % і 3 % і
і - другие причины і і і
Г———————————————————————————————————Е———————————————Е————————————————ґ
і Участвовало в опросе і 1.102 і 1.153 і
А———————————————————————————————————Б———————————————Б————————————————Щ
*) В 1991 году детальный опрос не проводился, а в 1992
году на "другие причины" ответили 410 человек (35%)
**) В 1991 году детальный опрос не проводился, а в 1992
году на "другие причины" ответили 578 человек (50%)
Анализ таблицы позволяет сделать следующие выводы :
* за последний (1992) год произошел резкий (в два раза)
рост мошенничества с использованием программных средств.
* наибольшие неприятности менеджерам систем доставляет
раскрытие пароля и несанкционированный доступ к информации;
* устойчивость взаимодействия организаций зависит не
только от надежности используемых аппаратных средств, но и от
надежности программных средств;
По сравнению с 1991 годом специалисты Datapro Information
Services Group отмечают значительное увеличение вирусных угроз
(о них объявили 44% опрошенных; по важности в аналогичном
опросе 1991 года вирусы занимали пятое место - 22%) и числа
попыток несанкционированного доступа к информации, совместно
используемой в сети ЭВМ.
Согласно результатам, приведенным в других отчетах
Datapro Information Services Group и отражающих статистику
нарушений [31,32]:
* около 25% всех нарушений составляют стихийные бедствия
(вода - 10%, огонь - 15%);
* За 1991 год около половины систем испытывали внезапные
перерывы электропитания или связи, причины которых носили
искусственный характер;
* около 3% - внешние нарушения (проникновение на
территорию организации);
* 70-75% - внутренние нарушения, из них:
- 10% -совершены обиженными и недовольными служащими-
пользователями АСОИ банка;
- 10% - совершены из корыстных побуждений персоналом
системы;
- 50-55% - результат неумышленных ошибок персонала и/или
пользователей системы в результате небрежности, халатности или
некомпетентности.
Результаты опроса свидетельствуют о том, что чаще всего
происходят не такие нарушения, как нападения хакеров или кража
компьютеров с ценной информацией, а самые обыкновенные,
проистекающие из повседневной деятельности. Чаще всего (около
70-80% потерь в денежном выражении) они бывают вызваны отнюдь
не корыстными соображениями, а обычной беспечностью или
некомпетентностью персонала.
Особенности преступлений в финансовой сфере
* Многие преступления, совершенные в финансовой сфере
остаются неизвестными для широкой публики в связи с тем, что
руководители банков не хотят тревожит своих акционеров, боятся
подвергнуть свою организацию новым атакам и, как следствие,
потерять клиентов.
* Как правило, злоумышленники обычно используют свои
собственные счета, на который переводятся похищенные суммы.
Большинство преступников не знают, как "отмыть" украденные
деньги. Умение совершить преступление и умение получить деньги
- это не одно и то же.
* Большинство компьютерных преступлений - мелкие. Ущерб
от них лежит в интервале от $10,000 до $50,000.
* Компьютерные преступления, как правило, требуют
большого количества банковских операций (до нескольких сотен).
Однако крупные суммы могут пересылаться и всего за несколько
транзакций.
* Большинство злоумышленников - клерки. Хотя высший
персонал банка также может совершать преступления и нанести
банку гораздо больший ущерб - такого рода случаи случаются
намного реже. Компьютерные преступления не всегда
высокотехнологичны. Достаточно подделки данных, изменения
параметров среды и т.д., а эти действия доступны и
обслуживающему персоналу.
* Многие злоумышленники объясняют свои действия тем, что
они всего лишь берут в долг у банка с последующим возвратом.
Как правило, этого не происходит.
2.2.3. Особенности защиты информации в электронных
банковских системах
При дальнейшем изложении наравне с термином АСОИ будем
использовать термин "электронные банковские системы" (ЭБС,
electronic banking system). Специфика защиты ЭБС обусловлена
особенностями решаемых ими задач:
* Как правило ЭБС обрабатывают большой поток постоянно
поступающих запросов в реальном масштабе времени, каждый из
которых не требует для обработки многочисленных ресурсов, но
все вместе они могут быть обработаны только
высокопроизводительной системой.
* В ЭБС хранится и обрабатывается конфиденциальная
информация, не предназначенная для широкой публики. Подделка
ее или даже утечка могут привести к серьезным (для банка или
его клиентов) последствиям. Поэтому ЭБС обречены оставаться
относительно закрытыми, работать под управлением
специфического программного обеспечения и уделять большое
внимание обеспечению своей безопасности.
* Другой особенностью ЭБС являются повышенные требования
к надежности аппаратного и программного обеспечения. В силу
этого многие современные ЭБС тяготеют к так называемой
отказоустойчивой архитектуре ("fault-tolerant") компьютеров,
позволяющей осуществлять непрерывную обработку информации даже
в условиях различных сбоев и отказов.
Можно выделить два типа задач, решаемых ЭБС:
1. Аналитические.
К этому типу относятся задачи планирования, анализа
счетов и т.д. Они не являются оперативными и могут требовать
для решения длительного времени, а их результаты могут оказать
влияние на политику банка в отношении конкретного клиента или
проекта. Поэтому подсистема, с помощью которой решаются
аналитические задачи, должна быть надежно изолирована от
основной системы обработки информации.
Для решения такого рода задач обычно не требуется мощных
вычислительных ресурсов, обычно достаточно 10-20% мощности
всей системы. Однако ввиду возможной ценности результатов их
защита должна быть постоянной.
2. Повседневные.
К этому типу относятся задачи, решаемые в повседневной
деятельности, в первую очередь выполнение платежей и
корректировка счетов. Именно они и определяют размер и
мощность основной системы банка; для их решения обычно
требуется гораздо больше ресурсов, чем для аналитических
задач.
В то же время ценность информации, обрабатываемой при
решении таких задач, имеет временный характер. Постепенно
ценность информации, например, о выполнении какого-либо
платежа, становиться не актуальной. Естественно, это зависит
от многих факторов, как-то: суммы и времени платежа, номера
счета, дополнительных характеристик и т.д. Поэтому, обычно
бывает достаточным обеспечить защиту платежа именно в момент
его осуществления. При этом защита самого процесса обработки и
конечных результатов должна быть постоянной.
Каким же мерам защиты систем обработки информации отдают
предпочтение зарубежные специалисты ?
На этот вопрос можно ответить, используя результаты
опроса, проведенного Datapro Information Group в 1992 году.
Некоторые из них приведены на рис.10-13 [31,32]:
(сюда рис. 10-13)
* Политику безопасности имеют 82 % опрошенных. По
сравнению с 1991 годом процент организаций, имеющих политику
безопасности, увеличился на 13%. Это означает, что различные
организации уделяют все больше внимания защите хранимой и
обрабатываемой информации (Рис.10).
Еще 12% опрошенных планируют разработать политику
безопасности. Четко выражена следующая тенденция :
организации с большим числом персонала предпочитают иметь
разработанную политику безопасности в большей степени, чем
организации с небольшим количеством персонала. Например, по
данным этого опроса, всего лишь 66% организаций с числом
сотрудников менее 100 человек имеют политику безопасности,
тогда как для организаций с числом сотрудников более 5000
человек доля таких организаций составляет 94%.
* В 88 % организаций, имеющих политику безопасности,
существует специальное подразделение, которое отвечает за ее
реализацию (Рис.11.). В тех организациях, которые не содержат
такое подразделение, эти функции, в основном, возложены на
администратора системы (29%), на менеджера информационной
системы (27%) или на других лиц (25%) (Рис.12.). Это означает,
что существует тенденция выделения сотрудников, отвечающих за
компьютерную безопасность, в специальное подразделение.
* В политике безопасности особое внимание уделяется
(Рис.13.) защите больших ЭВМ (82%), восстановлению информации
после аварий и катастроф (73%), защите от компьютерных вирусов
(72%), защите персональных ЭВМ (69%).
Из анализа данных, представленных на рис. 14-17 можно
сделать следующие выводы об особенностях защиты информации в
финансовых и государственных системах :
(сюда рис.14-17)
* Главное в защите финансовых организаций - оперативное и
по возможности полное восстановление информации после аварий и
катастроф. Около 60 % опрошенных финансовых организаций имеют
план ОНРВ, который ежегодно пересматривается в более чем 80 %
из них. В основном, защита информации от разрушения
достигается созданием резервных копий и их внешним хранением,
использованием средств бесперебойного электропитания и
организацией горячего резерва аппаратных средств.
В государственных организациях проблеме восстановления
системы обработки информации после аварий и катастроф
уделяется значительно меньше внимания (см. рис.14.). Основным
способом восстановления процесса обработки информации после
аварий или катастроф в государственных организациях является
создание и содержание резервной системы обработки информации;
* Следующая по важности для финансовых организаций
проблема - это управление доступом пользователей к хранимой и
обрабатываемой информации. Здесь широко используются различные
программные системы управления доступом, которые иногда могут
заменять и антивирусные программные средства. В основном
используются приобретенные программные средства управления
доступом. Причем в финансовых организациях особое внимание
уделяют такому управлению пользователей именно в сети. Однако
сертифицированные средства управления доступом встречаются
крайне редко (3%). Это можно объяснить тем, что с
сертифицированными NCSC программными средствами трудно
работать.
В государственных организациях гораздо шире применяются
сертифицированные NCSC программные средства. Это объясняется
существующими требованиями к обработке информации. Для защиты
от компьютерных вирусов широко применяются специализированные
антивирусные пакеты. Средства разграничения доступа
используются намного реже.
* К отличиям организации защиты сетей ЭВМ в финансовых
организациях можно отнести широкое использование коммерческого
программного обеспечения для управления доступом к сети (82%,
в госсекторе - 71%), защита точек подключения к системе через
коммутируемые линии связи (dial-up port protection; 69%, в
госсекторе - 51%). Скорее всего это связано с большей
распространенностью средств телекоммуникаций в финансовых
сферах и желание защититься от вмешательства извне. Другие
способы защиты, такие как применение антивирусных средств,
оконечное и канальное шифрование передаваемых данных,
аутентификация сообщений применяются примерно одинаково и, в
основном (за исключением антивирусных средств), менее чем в
50% опрошенных организаций.
* Большое внимание как в финансовых, так и в
государственных организациях уделяется физической защите
помещений, в которых расположены компьютеры (около 40%). Это
означает, что защита ЭВМ от доступа посторонних лиц решается
не только с помощью программных средств, но и
организационно-технических (охрана, кодовые замки и т.д.).
* Шифрование локальной информации применяют чуть более
20% финансовых организаций. Причинами этого, на наш взгляд,
являются сложность распространения ключей, жесткие требования
к быстродействию системы, а также необходимость оперативного
восстановления информации при сбоях и отказах оборудования.
* Значительно меньшее внимание в финансовых организациях
уделяется защите телефонных линий связи (4%) и использованию
ЭВМ, разработанных с учетом требования стандарта Tempest
(защита от утечки информации по каналам электромагнитных
излучений и наводок). В государственных организациях решению
проблемы противодействия получению информации с использованием
электромагнитных излучений и наводок уделяют гораздо большее
внимание.
Анализ статистики, приведенной на рис. 14-17, позволяет
сделать важный вывод : защита финансовых организаций (в том
числе и банков) строится несколько иначе, чем государственных
(в том числе и военных) организаций. Следовательно для защиты
ЭБС нельзя применять те же самые технические и организационные
решения, которые были разработаны для государственного
сектора.
Защита ЭБС должна разрабатываться для каждой системы
индивидуально в соответствии с общими правилами. Они были
достаточно подробно описаны в первой части книги:
- анализ риска, заканчивающийся разработкой проекта
системы и планов защиты, непрерывной работы и восстановления;
- реализация системы защиты на основе результатов анализа
риска;
- постоянный контроль за работой системы защиты и АСОИ в
целом (программный, системный и административный).
На каждом этапе реализуются определенные требования к
защите; их точное соблюдение приводит к созданию безопасной
системы.
Каждую систему обработки информации защиты следует
разрабатывать индивидуально учитывая следующие особенности:
- организационную структуру банка;
- объем и характер информационных потоков (внутри банка в
целом, внутри отделов, между отделами, внешних);
- количество и характер выполняемых операций:
аналитических и повседневных (один из ключевых показателей
активности банка - число банковских операций в день, является
основой для определения параметров системы);
- количество и функциональные обязанности персонала;
- количество и характер клиентов;
- график суточной нагрузки;
- другие.
Нельзя бездумно копировать чужие системы - они
разрабатывались для иных условий. Одним из способов построения
системы обработки информации является использование так
называемого внешнего ресурса.
2.2.4. Внешний ресурс
Известно, что банковский бизнес относится к числу
наиболее рискованных. Конкуренция между отдельными банками,
риск при финансировании проектов, непредсказуемая порой
политическая и экономическая ситуация заставляют многие банки
прибегать к любым мерам, способствующим экономии средств.
Одной из таких мер, относящихся к проектированию
информационной системы, является использование внешнего
ресурса.
Внешний ресурс (outsourcing) - это использование банком
для решения своих задач ресурсов другой организации
(поставщика). Различают два вида внешнего ресурса:
1.Сервис-бюро (service bureau).
Банк заключает контракт с поставщиком (возможно, другим
банком) на предоставление вычислительных ресурсов (машинного
времени, магнитных накопителей) для обработки информации в
центре поставщика. При этом используются техническое и
программное обеспечение последнего.
2.Услуги по управлению (facilities management).
Поставщик управляет работой центра обработки банка,
используя при этом оборудование самого банка. В этом случае
служащие информационного отдела банка являются работниками
поставщика ресурса.
Очень часто многие средние и крупные банки идут на
использование внешнего ресурса, получая в результате
существенную, но краткосрочную (на время контракта с
поставщиком) экономию средств, которые могли бы быть затрачены
на организацию собственной системы взамен частичной потери
контроля за процессом обработки информации. Тем не менее в
условиях непредсказуемого будущего такая мера часто
оказывается оправданной по следующим соображениям:
С одной стороны, банки неохотно вкладывают деньги в новые
информационные технологии, расширение или модернизацию
существующих систем. С другой стороны, чтобы остаться
конкурентоспособными они должны предоставлять своим клиентам
самый современный сервис со всеми возможными гарантиями
надежности. Внешний ресурс является компромиссом в этой
ситуации. Это не потому, что банки не могут позволить себе
выполнение определенных операций в собственных системах,
просто использование чужих систем может быть выгоднее.
Традиционно клиентами поставщика ресурса являлись мелкие
предприятия, в том числе мелкие банки и их объединения. Они
считали, что лучше платить за использование чужих систем, чем
организовывать свои. Со средними и крупными предприятиями
ситуация несколько иная. Поскольку они не желают терять
контроль за выполнением операций, многие поставщики предлагают
компромиссное решение. В этом случае банки выбирают набор
прикладных задач, наименее сложных или второстепенных, которые
и будут решаться поставщиком ресурса. К числу таких задач
могут быть отнесена, например, обработка изображений и др.
В случае использования внешнего ресурса банки получают
следующие преимущества:
- уменьшается нагрузка на ЭБС банка (в количестве
операций в секунду);
- уменьшается номенклатура задач, решаемых с помощью
единого интегрированного программного обеспечения;
- обеспечивается доступ к новым технологиям и прикладным
задачам;
- привлекается новый персонал с новыми знаниями и опытом;
- банк получает новые продукты и услуги, повышающие его
конкурентоспособность.
Правильно выбранная политика использования внешнего
ресурса помогает сэкономить значительные суммы денег. При этом
необходимо очень тщательно подходить к выбору поставщика
ресурса - он должен обладать опытом соответствующей работы,
прочной репутацией, гарантирующей конфиденциальность услуг, и
использовать современную технологию.
По оценкам западных специалистов оптимальный срок
контракта банка с поставщиком на предоставление внешнего
ресурса находится в пределах 5-10 лет. Кроме того, поставщик
ресурса может сыграть определенную положительную роль при
взаимодействии банков, поскольку, как отмечают специалисты,
банковское дело сегодня в гораздо большей степени зависит от
партнерства, чем ранее.
Внешний ресурс может сэкономить банкам от 10% до 50%
средств по сравнению с обработкой в собственной системе.
Реальное значение экономии изменяется от случая к случаю.
Опрос, проведенный в 1991 г. Американской ассоциацией банкиров
(American Bankers Association; ABA), показал, что 26%
опрошенных считают внешний ресурс "наиболее важной проблемой
для профессионалов" (31% считает, что "наиболее важная
проблема" - обработка изображений). Однако используют внешний
ресурс в своей работе только 35% опрошенных.
Скептики считают внешний ресурс источником финансовых
проблем для банков, особенно крупных. Однако согласно мнению
ABA Banking Journal (июнь 1991 г.) "внешний ресурс имеет
огромное значение для банков. Он может сплотить тысячи мелких
центров обработки в менее чем 100 банков и 5-10 поставщиков
ресурса." По всей вероятности, банки будут использовать
внешний ресурс по принципу "задача за задачей", выбирая при
этом третьестепенные проблемы, чтобы оставить контроль по
основным операциям за собой.
2.3. ЭЛЕКТРОННЫЕ ПЛАТЕЖИ
В предыдущей главе мы рассмотрели особенности подхода к
защите электронных банковских систем. Специфической чертой
этих систем является специальная форма обмена электронными
данными - электронных платежей, без которых ни один
современный банк не может существовать. Эта глава расскажет о
электронных платежах, принципах их организации и защиты.
2.3.1. Обмен электронными данными и электронные платежи.
Обмен электронными данными (ОЭД, Electronic Data
Interchange; EDI) - это межкомпьютерный обмен деловыми,
коммерческими, финансовыми электронными документами. Например,
заказами, платежными инструкциями, контрактными предложениями,
накладными, квитанциями и т.п. [21]
ОЭД обеспечивает оперативное взаимодействие торговых
партнеров (клиентов, поставщиков,торговых посредников и др.)
на всех этапах подготовки торговой сделки, заключения
контракта и реализации поставки. На этапе оплаты контракта и
перевода денежных средств ОЭД может приводить к электронному
обмену финансовыми документами. При этом создается эффективная
среда для торгово-платежных операций :
* Возможно ознакомление торговых партнеров с
предложениями товаров и услуг, выбор необходимого
товара/услуги, уточнение коммерческих условий (стоимости и
сроков поставки, торговых скидок, гарантийных и сервисных
обязательств) в реальном масштабе времени ;
* Заказ товара/услуг или запрос контрактного предложения
в реальном масштабе времени;
* Оперативный контроль поставки товара, получение по
электронной почте сопроводительных документов (накладных,
фактур, комплектующих ведомостей и т.д.);
* Подтверждение завершения поставки товара/услуги,
выставление и оплата счетов;
* Выполнение банковских кредитных и платежных операций.
К достоинствам ОЭД следует отнести [21]:
* Уменьшение стоимости операций за счет перехода на
безбумажную технологию. Эксперты оценивают стоимость обработки
и ведения бумажной документации в 3.5-7% от общей стоимости
коммерческих операций и доставки товаров. Выигрыш от
применения ОЭД оценивается, например, в автомобильной
промышленности США более чем в $200 на один изготовленный
автомобиль;
* Повышение скорости расчета и оборота денег;
* Повышение удобства расчетов.
Существует две ключевые стратегии развития ОЭД:
1. ОЭД используется как преимущество в конкурентной
борьбе, позволяющее осуществлять более тесное взаимодействие с
партнерами. Такая стратегия принята в крупных организациях и
получила название "Подхода Расширенного Предприятия" (Extended
Enterprise).
2. ОЭД используется в некоторых специфических
индустриальных проектах или в инициативах объединений
коммерческих и других организаций для повышения эффективности
их взаимодействия.
Банки в США и Западной Европе уже осознали свою ключевую
роль в распространении ОЭД и поняли те значительные
преимущества, которые дает более тесное взаимодействие с
деловыми и личными партнерами. ОЭД помогает банкам в
предоставлении услуг клиентам, особенно мелким, тем, которые
ранее не могли позволить себе ими воспользоваться из-за их
высокой стоимости.
Основным препятствием широкому распространению ОЭД
является многообразие представлений документов при обмене ими
по каналам связи. Для преодоления этого препятствия различными
организациями были разработаны стандарты представления
документов в системах ОЭД для различных отраслей деятельности :
GDTI - General Trade Interchange (Европа, международная
торговля);
NACHA - National Automated Clearing House Association
(США, Национальная ассоциация автоматизированных расчетных
палат);
TDCC - Transportation Data Coordinating Committee
(Координационный комитет по данным перевозок);
VICS - Voluntary Interindustry Communication Standart
(США, Добровольный межотраслевой коммуникационный стандарт);
WINS - Warehouse Information Netwoark Standarts
(Стандарты информационной сети товарных складов).
В октябре 1988 года международная группа UN/ECE
опубликовала первую версию стандарта EDIFACT. Разработанный
набор синтаксических правил и коммерческих элементов данных
был оформлен в виде двух стандартов ISO [21]:
ISO 7372 - Trade Data Element Directory (Справочник
коммерческих элементов данных);
ISO 9735 - EDIFACT - Application level syntax rules
(Синтаксические правила прикладного уровня).
Частным случаем ОЭД являются электронные платежи
(EFT-Electronic Funds Transfer) - обмен финансовыми
документами между клиентами и банками, между банками и другими
финансовыми и коммерческими организациями.
Суть концепции электронных платежей заключается в том,
что пересылаемые по линиям связи сообщения, должным образом
оформленные и переданные, являются основанием для выполнения
одной или нескольких банковских операций. Никаких бумажных
документов для выполнения в принципе не требуется (хотя они
могут быть выданы). Другими словами, пересылаемое по линиям
связи сообщение представляет "живые деньги". На его основании
можно переслать или получить деньги, открыть кредит, оплатить
покупку или услугу и выполнить любую другую банковскую
операцию. Такие сообщения называются электронными деньгами, а
выполнение банковских операций на основании посылки или
получения таких сообщений - электронными платежами.
Естественно, весь процесс осуществления электронных платежей
нуждается в надежной защите. Иначе банк и его клиентов ожидают
серьезные неприятности.
Электронные платежи применяются при межбанковских,
торговых и наличных (персональных) расчетах ( см. рис.18).
Ъ—————————ї Ъ——————————ї
ЪБ————————їі ЪБ—————————їі
іАвтома- іі іУстройствоіі
ітический іі ірасчета в іі
ікассовый іі і точке іі
іаппарат ГЩ і продажи ГЩ
А———В—————Щ А————В—————Щ
А—————————————В————————————Щ
Персональные і расчеты
Ъ————————————————————ї ЙНННПНННН» Ъ————————————————————ї
ЪБ———————————————————їі є є ЪБ———————————————————їі
іТорговая организацияГБ———¶ БАНК З————ґТорговая организацияГЩ
А————————————————————Щ ^ є є ^ А————————————————————Щ
і ИНННСННННј і
А——————Е——————Б———————————————— Торговые расчеты
Ъ———————————————Б——В——————————————ї
і Межбанковские і расчеты і
Ъ—————Е———————ї і Ъ————————Е—————————ї
ЪБ—————Б——————їі і ЪБ————————Б————————їі
і Филиал ГЩ і іБанк-корреспондентГЩ
А—————————————Щ і А——————————————————Щ
і Ъ——————————————————ї
А——————>іКлиринговая палатаі
А——————————————————Щ
Рис.18
Межбанковские и торговые расчеты производятся между
организациями (юридическими лицами), поэтому их иногда
называют корпоративными. Наличные расчеты, как правило,
производятся с участием физических лиц-клиентов. Поэтому они
получили название персональных. Последние будут рассмотрены в
главе 2.4.
Об объемах электронных платежей только между членами
Национальной Ассоциации автоматизированных клиринговых палат
США (National Automated Clearing House Association; NACHA),
говорят следующие цифры:
* Ассоциация объединяет 42 сети автоматизированных
клиринговых палат (Automated Clearing House; ACH);
* ежегодно совершаются около 1.7 млрд. операций;
* операции совершаются примерно с 15.500 финансовыми
институтами, 100.000 корпораций и миллионами клиентов;
* общая сумма платежей составляет около $7.3 триллиона в
год.
Как только банк решает ввести систему электронных
платежей, его трудности сразу возрастают на несколько
порядков. Большинство крупных хищений в банковских системах
прямо или косвенно связано именно с системами электронных
платежей (см. главу 2.2.). Поэтому если банк решил
организовать такую систему, это должно быть сделано со всей
тщательностью.
На пути создания систем электронных платежей, особенно
глобальных, охватывающих большое число финансовых институтов и
их клиентов в различных странах, встречается множество
препятствий. Основными из них являются:
1. Отсутствие единых стандартов на операции и услуги, что
существенно затрудняет создание объединенных банковских
систем. Каждый крупный банк стремится создать свою сеть ОЭД,
что увеличивает расходы на ее эксплуатацию и содержание.
Дублирующие друг друга системы затрудняют пользование ими,
создавая взаимные помехи и ограничивая возможности клиентов.
2. Возрастание мобильности денежных масс, что ведет к
увеличению возможности финансовых спекуляций, расширяет потоки
"блуждающих капиталов". Эти деньги способны за короткое время
менять ситуацию на рынке, дестабилизировать ее.
3. Сбои и отказы технических и ошибки программных средств
при осуществлении финансовых расчетов, что может привести к
серьезным осложнениям для дальнейших расчетов и потере доверия
к банку со стороны клиентов, особенно в силу тесного
переплетения банковских связей (своего рода "размножение
ошибки"). При этом существенно возрастает роль и
ответственность операторов и администрации системы, которые
непосредственно управляют обработкой информации.
Любая организация, которая хочет стать клиентом
какой-либо системы электронных платежей, либо организовать
собственную систему, должна отдавать себе в этом отчет.
Для надежной работы система электронных платежей должна
быть надежно защищена.
2.3.2. Торговые расчеты
Торговые расчеты производятся между различными торговыми
организациями. Банки в этих расчетах участвуют как посредники
при перечислении денег со счета организации-плательщика на
счет организации-получателя.
Торговые расчеты чрезвычайно важны для общего успеха
программы электронных платежей. Объем финансовых операций
различных компаний обычно составляет значительную часть общего
объема операций банка.
Виды торговых расчетов сильно различаются для разных
организаций, но всегда при их осуществлении обрабатывается два
типа информации: платежных сообщений и вспомогательная
(статистика, сводки, уведомления). Для финансовых организаций
наибольший интерес представляет, конечно, информация платежных
сообщений - номера счетов, суммы, баланс и т.д. Для торговых
организаций оба вида сведений одинаково важны - первый дает
ключ к финансовому состоянию, второй - помогает при принятии
решений и выработке политики.
Чаще всего распространены торговые расчеты следующих двух
видов:
* Прямой депозит (direct deposit).
Смысл этого вида расчетов заключается в том, что
организация поручает банку осуществлять некоторые виды
платежей своих служащих или клиентов автоматически, с помощью
заранее подготовленных магнитных носителей или специальных
сообщений. Условия осуществления таких расчетов оговариваются
заранее (источник финансирования, сумма и т.д.). Они
используются в основном для регулярных платежей (выплаты
различного рода страховок, погашение кредитов, зарплата и
т.д.). В организационном плане прямой депозит более удобен,
чем, например, платежи с помощью чеков.
Наиболее известным сторонником таких расчетов является
NACHA. Начиная с 1989 г. она и ряд других организаций
развернули широкомасштабную кампанию по внедрению прямого
депозита среди коммерческих организаций и их служащих. С 1989
г. число служащих, использующих прямой депозит, удвоилось и
составило 25% от общего количества. Более 7 млн. американцев
получают сегодня заработную плату в виде прямого депозита.
Банкам прямой депозит сулит следующие выгоды:
- уменьшение объема задач, связанных с обработкой
бумажных документов и, как следствие, экономия значительных
сумм (до 1/3);
- увеличение числа депозитов, так как 100% объема
платежей должны быть внесены на депозит.
Кроме банков в выигрыше остаются и хозяева, и работники;
повышаются удобства и уменьшаются затраты.
* Расчеты при помощи ОЭД.
В качестве данных здесь выступают накладные, фактуры,
комплектующие ведомости и т.д. Особенности такого обмена
данными и связанные с ним преимущества были рассмотрены ранее
в 2.3.1.
Для осуществления ОЭД необходима реализация следующего
набора основных услуг :
- электронная почта по стандарту X.400 ;
- передача файлов;
- связь "точка-точка";
- доступ к базам данных в режиме on-line;
- почтовый ящик;
- преобразование стандартов представления информации.
В настоящее время существуют следующие системы торговых
расчетов с использованием ОЭД :
- National Bank и Royal Bank (Канада) связаны со своими
клиентами и партнерами с помощью IBM Information Network;
- Bank of Scotland Transcontinental Automated Payment
Service (TAPS), основанная в 1986 г. связывает Bank of
Scotland с клиентами и партнерами в 15 странах с помощью
корреспондентских банков и автоматизированных клиринговых
палат.
2.3.3. Межбанковские расчеты
Электронные межбанковские (interbank) расчеты бывают в
основном двух видов:
* Клиринговые расчеты с использованием мощной
вычислительной системы банка-посредника (клирингового банка) и
корреспондентских счетов банков-участников расчетов в этом
банке. Система основана на зачете взаимных денежных требований
и обязательств юридических лиц с последующим переводом сальдо.
Клиринг также широко используется на фондовых и товарных
биржах, где зачет взаимных требований участников сделок
проводится через клиринговую палату или особую электронную
клиринговую систему (более подробно см. описание клиринга и
конкретных клиринговых банковских и биржевых систем в [1]).
Межбанковские клиринговые расчеты осуществляются через
специальные клиринговые палаты, коммерческие банки, между
отделениями и филиалами одного банка - через головную контору.
В ряде стран функции клиринговых палат выполняют центральные
банки.
Автоматизированные клиринговые палаты (АКП, или
Automating Clearing House; ACH) предоставляют услуги по обмену
средствами между финансовыми учреждениями. Платежные операции
в основном сводятся либо к дебетованию, либо к кредитованию.
Членами системы АКП являются финансовые учреждения, которые
состоят в ассоциации АКП. Ассоциация образуется для того,
чтобы разрабатывать правила, процедуры и стандарты выполнения
электронных платежей в пределах географического региона.
Необходимо отметить, что АКП не что иное, как механизм для
перемещения денежных средств и сопроводительной информации.
Сами по себе они не выполняют платежных услуг.
АКП были созданы в дополнение к системам обработки
бумажных финансовых документов. Первая АКП появилась в
Калифорнии в 1972 г., в настоящее время в США функционируют 42
АКП. В 1978 г. была создана Национальная Ассоциация АКП
(National Automated Clearing House Association; NACHA),
объединяющая все 42 сети АКП на кооперативных началах. Выше мы
уже приводили некоторые цифры, иллюстрирующие объем
выполняемых под эгидой NACHA операций. В дополнение можно
сказать:
- с 1990 г. объем платежных операций вырос на 20%;
- объем коммерческих операций вырос на 16% и составил
1.71 млрд. операций в год;
- объем кредитных операций вырос на 22% и составил 582
млн. операций в год;
- объем дебетовых операций вырос на 10% и составил 611
млн. операций в год.
Объем и характер операций постоянно расширяются. АКП
начинают выполнять деловые расчеты и операции обмена
электронными данными. После трехлетних усилий различных банков
и компаний была создана система CTP (Corporate Trade Payment),
предназначенная для автоматизированной обработки кредитов и
дебетов. По мнению специалистов в ближайшее время тенденция
расширения функций АКП будет сохраняться.
* Прямые расчеты, при которых два банка осуществляют
связь непосредственно между собой, возможно, при участии
третьего лица, играющего организационную или вспомогательную
роль. Естественно, объем взаимных операций должен быть
достаточно велик для оправдания затрат на организацию такой
системы расчетов. Обычно такая система объединяет несколько
банков, при этом каждая пара может связываться непосредственно
между собой, минуя посредников. Однако в этом случае возникает
необходимость управляющего центра, занимающегося защитой
взаимодействующих банков (рассылкой ключей, управлением,
контролем функционирования и регистрацией событий).
В мире существует достаточно много таких систем - от
небольших, связывающих несколько банков или филиалов, до
гигантских международных, связывающих тысячи участников.
Наиболее известной системой этого класса является SWIFT,
которая более подробно будет рассмотрена ниже, либо в [1,
19].
В последнее время появился третий вид электронных
платежей - обработка электронных чеков (electronic check
truncation), суть которого состоит в прекращении пути
пересылки бумажного чека в финансовой организации, в которой
он был предъявлен. В случае необходимости дальше
"путешествует" его электронный аналог в виде специального
сообщения. Пересылка и погашение электронного чека
осуществляются с помощью АКП.
Функционирующих систем такого рода пока нет, они
находятся в стадии разработки и испытания, в 1990 г. NACHA
анонсировала первый этап тестирования национальной
экспериментальной программы "Electronic Check Truncation". Ее
целью является сокращение расходов на обработку огромного
количества бумажных чеков.
Пересылка денег с помощью системы электронных платежей
включает следующие этапы (в зависимости от конкретных условий
и самой системы порядок может меняться):
1. Определенный счет в системе первого банка уменьшается
на требуемую сумму.
2. От первого банка второму посылается сообщение,
содержащее информацию о выполняемых действиях (идентификаторы
счетов, сумма, дата, условия и т.д.); при этом пересылаемое
сообщение должно быть соответствующим образом защищено от
подделки: зашифровано, снабжено цифровой подписью и
контрольными полями и т.д.
3. Определенный счет во втором банке увеличивается на
требуемую сумму.
4. Второй банк посылает первому уведомление о
произведенных корректировках счета; это сообщение также должно
быть защищено от подделки способом, аналогичным защите
платежного сообщения.
5. Протокол обмена фиксируется у обоих абонентов и,
возможно, у третьего лица (в центре управления сетью) для
предотвращения конфликтов.
Это примерная схема действий. На пути передачи сообщений
могут быть посредники - клиринговые центры, банки-посредники в
передаче информации и т.п. Основная сложность таких расчетов -
уверенность в своем партнере, то есть каждый из абонентов
должен быть уверен, что его корреспондент выполнит все
необходимые действия.
Для расширения применения электронных платежей проводится
стандартизация электронного представления финансовых
документов. Она была начата в 70-х годах в рамках двух
организаций [21]:
1) ANSI (American National Standart Institute)
опубликовал документ ANSI X9.2-1980, Interchange Message
Specification for Debit and Credit Card Message Exchange Among
Financial Institute ( Спецификация обменных сообщений для
дебетных и кредитных карточек обмена между финансовыми
организациями). В 1988 аналогичный стандарт был принят ISO и
получил название ISO 8583 (Bank Card Originated Messages
Interchange Message Specifications - Content for Financial
Transactions) ;
2) SWIFT (Society for Worldwide Interbank Financial
Telecommunications) разработало серию стандартов межбанковских
сообщений.
В соответствии со стандартом ISO 8583 финансовый документ
содержит ряд элементов данных (реквизитов), расположенных в
определенных полях сообщения или электронного документа
(электронной кредитной карточки, сообщения в формате X.400 или
документа в синтаксисе EDIFACT). Каждому элементу данных (ЭД)
назначается свой уникальный номер. Элемент данных может быть
как обязательным (то есть входить в каждое сообщение данного
вида), так и необязательным (в некоторых сообщениях может
отсутствовать). Общая структура сообщения приведена на рис.19.
Ъ———————————————В———————————————ї
і Тип сообщения і Битовая шкала і
А———————————————Б—В—————————————Щ
Ъ——————————Б————————————ї
Ъ——————Б——————————ї Ъ————————Б————————ї
і Элемент данных і і Элемент данных і
А—————————————————Щ А—————————————————Щ
Рис.19.
Битовая шкала определяет состав сообщения (те ЭД, которые
в нем присутствуют). Если некоторый разряд битовой шкалы
установлен в единицу, это означает, что соответствующий ЭД
присутствует в сообщении. Благодаря такому методу кодирования
сообщений уменьшается общая длина сообщения, достигается
гибкость в представлении сообщений со многими ЭД,
обеспечивается возможность включения новых ЭД и типов
сообщений в электронный документ стандартной структуры.
Элементы данных, которые могут присутствовать в сообщении
определяются стандартом ISO 7982-1 от 1987 года.
2.3.4. Основные способы межбанковских платежей
Существует несколько способов электронных межбанковских
платежей [3]. Мы рассмотрим два из них : оплата
чеком (оплата после услуги) и оплата аккредитивом (оплата
ожидаемой услуги). Другие способы, как например оплата с
помощью платежных требований или платежных поручений, имеют
сходную организацию.
Оплата чеком основана на бумажном или другом документе,
содержащим идентификацию подателя. Этот документ является
основанием для перевода определенной в чеке суммы со счета
владельца на счет подателя . Платеж чеком включают следующие
этапы (см. рис. 20):
- получение чека;
- представление чека в банк;
- запрос о переводе со счета владельца чека на счет
подателя;
- перевод денег;
- уведомление о платеже.
Расчет
Ъ — — — — — — — — — — — — — — — — — —ї
Ъ————Б————ї ——> Ъ—————Б———ї
і і і і
і Банк A і і Банк B і
і і Клиринговая палата і і
і дебет і Ъ————ї і кредит і
і Ъ—————ї і і і і Ъ—————ї і
і і _ Г—і— — — — —Е— — Г— — — — — і—і + і і
і А—————Щ і <—— А————Щ < —— і А—————Щ і
А————В————Щ Передача дебета А————В————Щ
і і
і Уведомление Предоставление і
Ъ—Б—ї чека Ъ—Б—ї
А———Щ ---------------------------- А———Щ
Клиент 1 ————> Оплата чеком ————> Клиент 2
Рис. 20.
Основными недостатками таких платежей являются
необходимость существования вспомогательного документа (чека),
который легко подделать, а также значительные затраты времени
на выполнения платежа (до нескольких дней).
Поэтому в последнее время более распространен такой вид
платежей , как оплата аккредитивом. Он включает следующие
этапы (см. рис. 21):
- уведомление банка клиентом о предоставлении кредита ;
- уведомление банка получателя о предоставлении кредита и
перевод денег;
- уведомление получателя о получении кредита.
Расчет
Ъ — — — — — — — — — — — — — — — — — —ї
Ъ————Б————ї ——> Ъ—————Б———ї
і і і і
і Банк A і і Банк B і
і і Клиринговая палата і і
і дебет і Ъ————ї і кредит і
і Ъ—————ї і і і і Ъ—————ї і
і і _ Г—і— — — — —Е— — Г— — — — — і—і + і і
і А—————Щ і ——> А————Щ ——> і А—————Щ і
А————В————Щ Передача кредита А————В————Щ
і і
і Заявление Уведомление і
Ъ—Б—ї Ъ—Б—ї
А———Щ А———Щ
Клиент 1 Клиент 2
Рис. 21.
Такая система позволяет осуществлять платежи в очень
короткие сроки. Уведомление о предоставлении кредита можно
направлять по (электронной) почте, на дискетах, магнитных
лентах.
Каждый из рассмотренных выше видов платежей имеет свои
преимущества и свои недостатки. Чеки наиболее удобны при
оплате незначительных сумм, а также при нерегулярных платежах.
В этих случаях задержка платежа не очень существенна, а
использование кредита нецелесообразно. Расчеты с помощью
аккредитива обычно используются при регулярной оплате и для
значительных сумм. В этих случаях отсутствие клиринговой
задержки позволяет сэкономить много времени и средств за счет
уменьшения периода оборота денег. Общим недостатком этих двух
способов является необходимость затрат на организацию надежной
системы электронных платежей.
2.3.5. Общие проблемы безопасности ОЭД
Для определения общих проблем защиты систем ОЭД
рассмотрим в прохождение документа при ОЭД. Можно выделить три
основных этапа (Рис.22):
- подготовка документа к отправке ;
- передача документа по каналу связи;
- прием документа и его обратное преобразование.
Ъ————————————ї Ъ————————————ї
іОтправитель і іПолучатель і
і документа і ідокумента і
ЖННННННННННННµ ЖННННННННННННµ
і Подготовка і іПреобразова-і
і документа ЖНННН НННННННН ННННННН НННµние докумен-і
і к отправке і Передача документа іта і
А————————————Щ по каналу связи А————————————Щ
Рис.22.
С точки зрения защиты в системах ОЭД существуют следующие
уязвимые места:
1. Пересылка платежных и других сообщений между банками
или между банком и клиентом;
2. Обработка информации внутри организаций Отправителя
и Получателя;
3. Доступ клиента к средствам, аккумулированным на счете.
Способы доступа клиента к своим счетам рассматриваются в
2.4. Проблемам защиты отдельных систем, в том числе
банковских, была посвящена первая часть книги. Одно из
наиболее уязвимых мест в системе ОЭД - пересылка платежных и
других сообщений между банками, или между банком и банкоматом,
или между банком и клиентом. При пересылке платежных и других
сообщений возникают следующие проблемы:
* Внутренние системы организаций Получателя и Отправителя
должны быть приспособлены к получению/отправке электронных
документов и обеспечивать необходимую защиту при их обработке
внутри организации (защита оконечных систем);
* Взаимодействие Получателя и Отправителя документа
осуществляется опосредованно - через канал связи. Это
порождает три типа проблем:
- взаимного опознавания абонентов (проблема установления
аутентификации при установлении соединения);
- защиты документов, передаваемых по каналам связи
(обеспечение целостности и конфиденциальности документов);
- защиты самого процесса обмена документами (проблема
доказательства отправления/доставки документа);
* В общем случае Отправитель и Получатель документа
принадлежат к различным организациям и друг от друга
независимы. Этот факт порождает проблему недоверия - будут ли
предприняты необходимые меры по данному документу
(обеспечение исполнения документа).
С технической точки зрения эти проблемы решаются с
помощью нескольких механизмов, отвечающих за обеспечение
адекватной безопасности электронных банковских систем. Работа
большинства этих механизмов обеспечивается службами сети с
расширенным набором услуг (Value-Added Network, VAN). Службы,
реализующие ОЭД, должны выполнять следующие функции:
- обеспечить защиту от случайных и умышленных ошибок;
- обеспечить адаптацию к частым изменениям количества
пользователей, типов оборудования, способов доступа, объемов
трафика, топологии.
- поддерживать различные типы аппаратного и программного
обеспечения, поставляемого различными производителями;
- осуществлять управление и поддержку сети для
обеспечения непрерывности работы и быстрой диагностики
нарушений;
- реализовывать полный спектр прикладных задач ОЭД,
включая электронную почту;
- реализовывать максимально возможное число требований
партнеров;
- включать службы резервного копирования и восстановления
после аварий.
Все эти пункты есть часть "цепи характеристик" (value
chain) поставщика сетевых служб, который выполняет роль
передатчика информации и обеспечивает реализацию и защиту ОЭД.
В таблице 11 представлена цепь характеристик банковских
прикладных задач (ПЗ).
Таблица 11
НННННННННННННННННННННННННННСНННННННННННННННННННННННННННСНННННННННННННННН
Услуга і Содержание услуги іПоставщик услуги
НННННННННННННННННННННННННННШНННННННННННННННННННННННННННШНННННННННННННННН
Корпоративные ПЗ (corporateі Заказы (ordering); і Ъ———————————ї
application): і Регистрационная книга і і і
і продаж (sales ledger); і і і
і Регистрационная книга і і і
і покупок (bought ledger); і і і
і Общая регистрационная і і і
і книга (general ledger). і і і
і і і Банк і
ПЗ банковского ОЭД (bankingі Извещение о платеже/ і і і
applications): і переводе (payment/ і і і
і remittance advice); і і і
і Управление наличностью і і і
і (cash management); і і і
і Факторинг (factoring); і і і
і Оконечная безопасность і і\ і
і (end-to-end security); і і \ і
і Управление ключами (key і і \ і
і management). і і \ і
і і і \ і
ПЗ ОЭД (EDI applications): і Интерфейс ПЗ (application і і \ і
і interfaces); і і \ і
і Трансляция (translation); і і \ і
і Проверка и восстановление і і \ і
і (audit & recovery); і і \ і
і Процедуры интерфейса і і \і
і (interface routines). і і і
і і і і
Службы электронной торговлиі Электронная почта і і Сеть с і
(electronic trading і (electronic mail); і ірасширеннымі
services) і ОЭД (EDI); і і набором і
і Интерактивные службы і і услуг і
і (interaktive services). і і (Value і
і і і Added і
Расширенные транспортные і Преобразование протоколов і і Network) і
службы (enhanced transport і (protocol conversation) і і і
servies) і Мониторинг (monitoring); і і і
і Исправление ошибок (error і і і
і correction). і і і
———————————————————————————Б———————————————————————————Б—Б———————————Б
———————————————————————————В—————————————————————————————————————————
Транспортные службы і Выделенные каналы (leased і Ъ——————————ї
(transport services) і circuits); і і і
і Коммутируемые сети і і P T T і
і (switched networks); і і і
і ISDN. і А——————————Щ
НННННННННННННННННННННННННННПНННННННННННННННННННННННННННПННННННННННННН
ПЗ - прикладные задачи
PTT - международная почтовая, телефонная и телекоммуни-
кационная администрация
Тем не менее службы сети представляют собой только один
элемент, обеспечивающий работу и безопасность ОЭД. Помимо
перечисленных выше в системах ОЭД должны быть реализованы
следующие механизмы, обеспечивающие реализацию функций защиты
на отдельных узлах системы ОЭД и на уровне протоколов высокого
уровня:
- равноправная аутентификацию абонентов;
- невозможность отказа от авторства сообщения/приема
сообщения;
- контроль целостности сообщения;
- обеспечение конфиденциальности сообщения;
- управление доступом на оконечных системах;
- гарантии доставки сообщения;
- невозможность отказа от принятия мер по сообщению;
- регистрация последовательности сообщений;
- контроль целостности последовательности сообщений;
- обеспечение конфиденциальности потока сообщений.
Полнота решения рассмотренных выше проблем сильно зависит
от правильного выбора системы шифрования. Система шифрования
(или криптосистема) представляет собой совокупность алгоритмов
шифрования и методов распространения ключей. Правильный выбор
системы шифрования помогает:
- скрыть содержание документа от посторонних лиц
(обеспечение конфиденциальности документа) путем шифрование
его содержимого;
- обеспечить совместное использование документа группой
пользователей системы ОЭД путем криптографического разеления
информации и соответствующего протоклоа распределения ключей.
При этом для лиц, не входящих в группу, документ недоступен;
- своевременно обнаружить искажение, подделку документа
(обеспечение целостности документа) путем введения
криптографического контрольного признка;
- удостовериться в том, что абонент, с которым происходит
взаимодействие в сети является именно тем, за кого он себя
выдает (аутентификация абонента/источника данных).
Наиболее известные алгоритмы шифрования были рассмотрены
в 1.5.3. Следует отметить, что при защите систем ОЭД (и для
электронных платежей в частности) большую роль играет не
столько шифрование документа, сколько обеспечение его
целостности и аутентификация абонентов (источника данных) при
проведении сеанса связи. Поэтому механизмы шифрования в таких
системах играют обычно вспомогательную роль.
Надежность всей криптосистемы в целом во многом зависит
от механизмов рассылки (распределения) ключей между
участниками взаимодействия. Проблема рассылки ключей в
настоящее время не имеет общих решений. В каждом конкретном
случае она должна решаться с учетом особенностей
функционирования всей защищаемой АСОИ. Существует много
различных подходов к решению этой проблемы. Не вдаваясь в
тонкости каждого из них, поскольку это выходит далеко за рамки
обсуждаемого предмета, кратко опишем основные :
* метод базовых/сеансовых ключей (master/session keys).
Подробно изложен в стандарте ISO 8532 (Banking-Key
Management). Суть метода состоит в том, что вводится иерархия
ключей (главный ключ (ГК)/ключ шифрования ключей (КК)/ключ
шифрования данных (КД)).
Иерархия может быть двухуровневой (КК/КД) или
трехуровневой (ГК/КК/КД). При этом старший ключ в иерархии
распространяется между участниками взаимодействия
неэлектронным образом, исключающем его перехват и/или
компрометацию. Стандарт определяет три способа распространения
ключей: непосредственная передача ("peer-to-peer"), передача с
использованием центра распространения (key distribution
center) и передача с использованием центра трансляции ключей
(key translation center). Стандарт не применяется для
распространения ключей между специализированными банковскими
устройствами, такими как банкоматы и устройства расчета в
точке продажи;
* метод с открытых ключей (public keys). Основан на
односторонних преобразованиях, при которых часть ключа
остается открытой и может быть передана по линиям связи в
открытом виде. Это избавляет от дорогостоящей процедуры
распространения ключей шифрования неэлектронным способом;
* метод выведенного ключа (derived key). Применяется для
защиты информации, передаваемой между терминалом системы
расчета в точке продажи и компьютером банка.
При этом методе ключ для шифрования каждой следующей
транзакции вычисляется путем одностороннего преобразования
предыдущего ключа и параметров транзакции (подробнее
рассмотрен в разделе 2.4.5);
* метод ключа транзакции (transaction key). Также
применяется для защиты информации, передаваемой между
терминалом системы расчета в точке продажи и компьютером
банка. Он отличается от метода выведенного ключа тем, что при
вычислении ключа для следующей транзакции не используются ее
параметры.
Жестким ограничением на реализацию мер по защите
информации накладываются требования уже существующих
стандартов ОЭД. Поскольку абсолютно неуязвимых систем не
бывает, каждая организация должна самостоятельно решать вопрос
об уровне защищенности собственной системы ОЭД: что лучше -
затратить дополнительные средства на организацию и поддержание
защиты или сэкономить и работать в условиях постоянного риска.
Ниже мы более подробно рассмотрим вопросы организации и
защиты электронных платежей, как одной из форм ОЭД.
2.3.6. Защита межбанковских платежей
Необходимость поддержки электронных банковских услуг с
помощью специальных банковских и других сетей, а также с
помощью национальных клиринговых систем, радикально изменила
отношения между банками и их клиентами. Только за последнее
десятилетие стали доступны, а сейчас используются повсеместно,
различные клиринговые системы, осуществляющие весь спектр
банковских операций. Данные и инструкции вводятся,
распределяются и обрабатываются в них в режиме реального
времени. Спектр предоставляемых услуг, в настоящий момент и в
дальнейшем, представлен ниже (сверху вниз: от настоящего - к
будущему):
1. Бухгалтерский учет (cash management):
- подведение баланса (balance reporting);
- пересылка со счета на счет (interaccount transfers);
- планирование оборота (cashflow planning);
- управление оборотом (cashflow monitoring).
2. Операции центрального банка (treasury services):
- скупка/ продажа финансовых документов (purchase/sale of
financial instruments).
3. Информация о финансовом рынке (financial market
information).
4. Торговые операции (trade services):
- документарные кредиты (documentary credits);
- аккредитивы (letters of credit).
5. Помощь в принятии решений в финансовой области
(financial decision making aids).
6. Факторинговые операции (factoring services).
7. Электронная почта (electronic messaging).
8. Расчеты с поставщиками/клиентами (payments to/ from
suppliers/ customers).
9. Доходные счета (accounts receivable):
- кредиты и авансы (receive payments);
- подтверждение по квитанции (invoice reconcillation).
10. Расходные счета (accounts payable):
- кредиты и авансы (receive payments);
- ордерные и другие платежи (order & effect payments).
В таблице 12 приводится связь между вышеперечисленными
механизмами защиты и различными прикладными задачами (по
данным Digital Equipment Corporation).
Таблица 12
ХННННННННННННННННННННННННННННСНННННННСНННННННСНННННННСНННННННСНННННННё
і Задачи і A і B і C і D і E і
ЖННННННННННННННННННННННННННННШНННННННШНННННННШНННННННШНННННННШНННННННµ
і Обеспечение сделки і і і і і і
і Dealing Room і * і ** і * і - і - і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Отчетность і і і і і і
і Accounting і * і ** і ** і - і - і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Сети филиалов і і і і і і
і Branch Network і *** і *** і ** і - і - і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Персональные банковские і і і і і і
і операции і *** і *** і *** і - і ** і
і Personal Banking і і і і і і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Корреспондентские банков- і і і і і і
і ские операции і *** і *** і * і ** і - і
і Correspondent Banking і і і і і і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Межбанковские операции і і і і і і
і Bank Internetworking і *** і *** і ** і * і - і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Дилерские сети і і і і і і
і Dealer Networks і *** і ** і ** і * і ** і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Обеспечение информацией і і і і і і
і Information Providers і - і * і ** і * і - і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і VANs *) і *** і ** і *** і * і - і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і EFTPOS/ ATM **) і *** і *** і *** і ** і *** і
Г————————————————————————————Е———————Е———————Е———————Е———————Е———————ґ
і Обмен электронными данными і *** і ** і ** і ** і ** і
ФННННННННННННННННННННННННННННПНННННННПНННННННПНННННННПНННННННПНННННННѕ
A - аутентификация сообщений
B - механизм цифровой подписи
C - аутентификация пользователей и контроль доступа
D - обеспечение конфиденциальности данных
E - другие методы защиты
- - слабые требования или их отсутствие;
* - слабые требования, но могут усилиться в будущем;
** - растущие требования;
*** - ключевые требования, необходимое условие безопасности.
------------------------
*) VAN (Value-Added Network) - сети с расширенным набором услуг.
-------------------------
**) EFTPOS/ ATM (Electronic Funds Transfer [to/ from]
Point-of-Sale/ Automatic Teller Machine) - электронные расчеты
с точкой продажи или автоматическим кассовым аппаратом
(банкоматом).
Безопасность операций с наличностью и расчетных услуг
требует принятия тех же общих мер, которые необходимы для
защиты любой электронной финансовой услуги. Особое внимание
необходимо обратить на защиту терминалов, подключенных к
системам электронных платежей.
Если банк выполняет операции повышенного риска, то
реализуемые процедуры обеспечения безопасности должны включать
парольную защиту, многоуровневую авторизацию пользователей, ,
контроль операций, ведение системного журнала. Также следует
осуществлять разграничение доступа пользователей к терминалам
и другим внешним устройствам, которые должны быть защищены
физически. Для обеспечения безопасности данных, передаваемых
по линиям связи, необходимо использовать криптографические
методы.
Система безопасности центральной АСОИ должна включать
многоуровневый контроль доступа к периферийным устройствам и
центральной базе данных.
Если операции повышенного риска не выполняются, некоторые
требования к безопасности могут быть ослаблены или
ликвидированы совсем. Задачи по обеспечению безопасности
определяются для каждого конкретного случая индивидуально в
процессеc анализа риска (см. 1.2.1.).
В настоящее время в мире существует большое количество
систем электронных платежей (более подробно см. описание в
[1]). Наиболее известные из них:
- S.W.I.F.T. (The Society for Worldwide Inter-bank
Financial Telecommunication) - бесприбыльное кооперативное
международное сообщество, целью которого является организация
межбанковских расчетов по всему миру (см. 2.4.1., [1] или
[50]).
- FedWire - самая крупная система межбанковских
коммуникаций, соединяющая головные конторы округа Federal
Reserve, ветви банков Federal Reserve и более 500 других
банков с помощью центра коммутации в Вирджинии (см. [1]).
- CHAPS (Clearing Houses Automated Payment System)
система поддержки электронных платежей между небольшой (около
300) группой банков Лондона, большинство из которых отделения
иностранных банков, использующих Лондон в качестве расчетного
центра. Системой используется концепция расчетов "same-day" (в
тот же день) с помощью счетов этих банков в Bank of England
(см. 2.4.2. или [1]).
- CHIPS (Clearing Houses Interbank Payment System)
клиринговая система США, организованная Нью-Йоркской
ассоциацией клиринговых палат (New York Clearing House
Association - NYCHA) (см. [1]).
Рассмотрим подробнее организацию некоторых из этих
систем, уделив особое внимание рассмотрению вопросов
обеспечению их безопасности.
Система SWIFT
Сообщество SWIFT было организовано в 1973 году и в 1977
г. начали осуществляться первые операции с использованием
сетей связи. Члены сообщества находятся в Южной, Центральной и
Северной Америке, Европе, Африке, Австралии и на Дальнем
Востоке. На сегодняшний день объединяет 3200 пользователей из
84 стран мира [19,21].
Система SWIFT предлагает пользователям своей системы
следующие преимущества :
- повышение эффективности работы банков за счет
стандартизации и современных способов передачи информации,
способствующих развитию автоматизации и рационализации
банковских процессов;
- надежный обмен платежными сообщениями;
- сокращение операционных расходов по сравнению с
телексной связью;
- удобный прямой доступ пользователей SWIFT к своим
корреспондентам по всему миру (доставка сообщения с обычным
приоритетом в любую точку мира - 20 минут, доставка срочного
сообщения - 5 минут);
- использование стандартизованных сообщений SWIFT,
позволяющее преодолеть языковые барьеры и свести к минимуму
различия в практике осуществления банковских операций;
- повышение конкурентоспособности банков-членов SWIFT за
счет того, что международный и кредитный оборот все более
концентрируется на пользователях SWIFT.
Стоимость передачи сообщений членами сообщества
определяется по единому тарифу и зависит от количества
соединений, адреса, объема сообщения. За счет высокой
интенсивности трафика (более 1 млн. сообщений в день)
стоимость передачи одного сообщения оказывается ниже, чем в
других средствах связи (телекс, телеграф). Дополнительно к
основной функции (обмену сообщениями) система SWIFT также
выполняет роль форума для выработки соглашения о стандартах
представления и передачи данных.
Существует две системы SWIFT : SWIFT I (введена в строй в
1977 году) и SWIFT II (внедряется с 1990 года). Хотя по
архитектуре эти системы различны, пользователь не отличает
сообщений, полученных по SWIFT I или SWIFT II. Ниже мы
рассмотрим архитектуру и защиту системы SWIFT II.
Архитектура системы SWIFT
В архитектуре SWIFT II можно выделить четыре основные
уровня иерархии (Рис. 23):
Ъ———————————————————————————————ї
і Процессор управления системой і
АТ————————————————————————————Т—Щ
є є
Ъ———Ч—————ї Ъ————Ч————ї
ЪБ———Р————їі ЪБ————Р———їі
і Слайс ЖШННННННННННННННННµ Слайс іі
іпроцессорГЩ іпроцессорГЩ
А————Т————Щ А————В————Щ
є і
Ъ——————Ч—————ї Ъ——————Е—————ї
ЪБ——————Р————їі ЪБ——————Б————їі
іРегиональныйіі іРегиональныйіі
і процессор ГЩ і процессор ГЩ
А——————Т—————Щ А——————Т—————Щ
Ъ————Ч—————ї Ъ————Ч—————ї
ЪБ————Р————їі ЪБ————Р————їі
іБанковскийіі іБанковскийіі
і терминал ГЩ і терминал ГЩ
А——————————Щ А——————————Щ
Рис. 23.
- банковский терминал, который устанавливается в банке и
предназначен для доступа персонала банка в сеть. Терминалами
системы SWIFT обычно являются персональные компьютеры.
Смонтированное оборудование может сдаваться "под ключ" (на
базе миниЭВМ компаний Unisys и NCR) или интегрироваться в
существующую банковскую систему (например на базе семейство
миниЭВМ VAX компании DEC);
- региональный процессор (РП), основным назначением
которого является организация взаимодействия пользователей
некоторой ограниченной области (республики, страны, группы
стран). Места расположения РП заранее не определяются. Как
правило, РП оснащаются сдублированными ЭВМ фирмы Unisys
(Unisys A Series);
- слайс-процессор (СП), необходимый для обмена
сообщениями между подключенными к нему РП, краткосрочного или
длительного архивирования сообщений и генерации системных
отчетов. Система SWIFT может сохранять передаваемые сообщения
на срок до 14 дней.
Это помогает избегать проблем, связанных с трактовкой
текстов сообщений. На сегодняшний день существует два СП,
каждый из них которых оснащен тремя машинами A12 фирмы Unisys,
одна из которой является резервной. Один СП может может
обработать до 1.5 миллионов сообщений в день. Допускается
включение в сеть дополнительных СП;
- процессор управления системой (ПУС), выполняющий
функции монитора системы, управления системой и сетью.
Существует два ПУС, один из которых находится в Голландии, а
второй в США. Каждый ПУС может контролировать состояние и
управлять работой СП и РП, работой сетевых программ и
оборудования, подключением пользователей и их рабочими
сеансами, включая выбираемые пользователем прикладные задачи.
ПУС единственный уровень системы, который не занят обработкой
сообщений, а предназначен исключительно для управления
системой SWIFT в целом.
На рис. 24. показаны пути передачи сообщений и платежей в
наиболее общем случае.
Ъ——————————ї Ъ————————————ї
і і і і
і Заказчик і і Клиент- і
і(операции)і і получатель і
А————ВВ————Щ А————————————Щ
іі Инструкции Извещение /\
іі Сообщение іі
Ъ————\/————ї Ъ—————————————ї SWIFT Ъ————————————ї Ъ————ББ—————ї
і і і і і і і і
і Банк Г———\і Банк- Г———————\і Банк- Г———\і Расчетный і
і заказчикаГ———/і отправитель Г———————/і получатель Г———/і банк і
А—————В————Щ А——В———————В——Щ А—————————В——Щ А———————————Щ
і /і\ і /і\ і /і\
А————————————Щ і і А—————————————Щ
Ъ——————————————\і/——ї Ъ——Б———————————————ї
і і і і
і Корреспондент Г——————>і Корреспондент і
і банка-отправителя і і банка-получателя і
А———————————————————Щ А——————————————————Щ
————\ - пути передачи информации;
————/
————> - пути платежей.
Рис. 24.
Сообщения системы SWIFT содержат поля, идентифицирующие
всех участников передачи информации и платежей.
Банк заказчика операции информирует банк-отправитель о
необходимости послать сообщение и переводит ему
соответствующую сумму. Банк получателя при приеме сообщения
переводит эту сумму на счет расчетного банка, который
осуществляет платежи.
Расчеты между банком-отправителем и банком-получателем
осуществляются с помощью счета, который открывается в одном из
них для другого. Кто для кого открывает счет, зависит от типа
валюты, в которой производятся расчеты. Если платежи
осуществляются в валюте государства, в котором находится
банк-получатель, то он вносит соответствующую сумму в дебет
счета банка-отправителя в своем банке. Наоборот, если платежи
осуществляются в валюте государства, в котором находится
банк-отправитель, то он открывает у себя счет банка получателя
и предоставляет ему кредит на соответствующую сумму.
В некоторых случаях платежи проходят более длинный путь,
чем сообщения - через банки-посредники (см. рис. 24), это
зависит от конкретных условий платежей. Уведомление банков
корреспондентов о платежах осуществляется специальными
сообщениями. Если в организации связи участвуют четыре банка
посредника, то в сообщении идентифицируются банк заказчика,
расчетный банк и корреспонденты отправителя и получателя. При
этом идентификаторы отправителя и получателя в тексте
сообщении не указываются, так как они находятся в его
заголовке.
Обеспечение безопасности системы SWIFT
Безопасность в системе SWIFT обеспечивается применением
организационных, программных и технических мер [19].
В системе SWIFT существует строгое разделение
ответственности за поддержание безопасности системы. Так банк,
подключенный к системе, отвечает за правильную эксплуатацию и
физическую защиту терминалов, модемов и линий связи до
регионального процессора, за правильное оформление сообщения
при передаче его в сеть и наличие работоспособных терминалов.
Всю остальную ответственность за передачу сообщений несет
администрация системы. Управление защитой осуществляется
управлением Главного инспектора. Контроль защищенности системы
осуществляется через случайные промежутки времени, чтобы
убедиться, что все требования безопасности поддерживаются на
должном уровне.
Защита банковских терминалов предусматривает
разграничение доступа пользователей к нему по паролю и
специальной пластиковой карточке. При входе пользователя в
систему производится взаимное опознавание терминала и системы.
Автоматическое отключение от SWIFT происходит в следующих
случаях:
- при обнаружении помехи или обрыве соединения ;
- при неоднократном обнаружении ошибки при передаче
данных или в принятом сообщении;
- при сбое РП, к которому подсоединены терминалы.
Сведения о подключении и отключении терминала
регистрируются в специальном журнале.
Для обеспечения конфиденциальности передаваемых сообщений
используется шифрование пр помощи специальных устройств
(STEN), устанавливаемых в тракте передачи "банковский терминал
- региональный процессор". Для шифрования информации
используются три типа ключей: главный (64 бита), вторичный
(128 бит) и шифрования данных (64 бита). Главный и вторичный
ключи устанавливаются представителями SWIFT. Ключ шифрования
данных генерируется специальным шумовым источником в процессе
работы. Смена модулей, содержащих первичный и вторичный ключи,
осуществляется периодически по указанию Главного инспектора
системы. Банкам предоставляется возможность устанавливать
собственные устройства шифрования для защиты линии связи
(естественно после консультаций с представителями SWIFT).
Обеспечение конфиденциальности сообщений не является самой
главной задачей системы, хотя ей также уделяется серьезное
внимание.
Для аутентификации пользователей и обеспечения
целостности сообщений в системе SWIFT существует оригинальный
алгоритм аутентификации, детали которого держатся в секрете.
Как и для любого такого алгоритма, базовыми требованиями
являются надежное распределение ключей между двумя абонентами
и защита их от остальных. Тщательная аутентификация
достигается за счет четкого распределения ответственности.
Ключи рассылаются банкам попарно, другие банки и персонал сети
доступа к ним не имеют; рассылается также руководство по
управлению ключами: процедура и время замены ключей и т.д.
Кроме того, SWIFT может использоваться для обмена
конфиденциальной информацией между кооперацией банков, однако,
в этом случае ответственность за обеспечение безопасности
ложится на участников обмена.
В то же время аутентификации взаимодействующих
организаций недостаточно для надежной работы сети, так как она
не предполагает защиты от подмены, уничтожения или задержки
сообщений.
Для обеспечения целостности потока передаваемых сообщений
применяется механизм номеров сообщений. Соединения между SWIFT
и пользователями поддерживаются двумя (входной и выходной)
последовательностями номеров. Входная последовательность
обрабатывается слайс-процессорами системы, выходная -
получателями сообщений. Такой механизм обеспечивает полный
контроль за последовательностью переданных и полученных
сообщений для любой пары оконечных пользователей. Он
удостоверяет, что ни одно сообщение не уничтожено и не
продублировано.
Еще одна задача защиты - предотвращение передачи ложных
сообщений, не искажающих последовательности номеров и имеющих
истинную аутентификацию. Эта задача решается банками -
оконечными пользователями системы. Именно они ответственны за
корректность переданных от их имени сообщений. Кроме того, на
пунктах обработки и передачи сообщений также существуют
механизмы защиты от подделки сообщений.
Для центральной части SWIFT, состоящей из
слайс-процессоров, региональных процессоров и линий связи,
защита сообщений является задачей администрации системы.
Доступ к системе, программное обеспечение и сообщения
пользователей строго контролируются, как и доступ на
территорию машинных залов. Международные линии связи,
соединяющие слайс-процессоры между собой, слайс-процессоры и
региональные процессоры, имеют надежную криптозащиту. Персонал
системы SWIFT не имеет доступа к содержимому пересылаемых
сообщений.
Клиринговая система CHAPS
Система CHAPS осуществляет поддержку электронных платежей
между небольшой (около 300) группой банков Лондона,
большинство из которых представляют собой отделения
иностранных банков, использующих Лондон в качестве расчетного
центра. Системой используется концепция расчетов "same-day"
("в тот же день") с помощью счетов этих банков в Bank of
England. Помимо CHAPS, все банки могут работать с любой другой
доступной сетью по своему усмотрению.
Архитектура системы CHAPS
Архитектура CHAPS представлена на рис.25.
Криптографическая защита
общей сети
Ъ — — — — — — —ї
Ъ———————————ї Ъ———В———ї Ъ————————ї Ъ———В———ї Ъ———————————ї
і і і і і і і і і і і і
і Расчетная Г————ґ і Г————ґ PSS Г————ґ і Г————ґ Расчетная і
і система і і і і і і і і і і система і
А—————В—————Щ А———Б———Щ А————————Щ А———Б———Щ А—————В—————Щ
і / і і
і Шлюз (Tandem) Программное Программное і
Ъ——Б——ї обеспечение обеспечение Ъ——Б——ї
і і Модуль CHAPS банка і і
і A і аутентификации і A і
А—————Щ А—————Щ
А— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — Щ
Оконечная аутентификация
Рис.25.
В отличие от SWIFT система CHAPS не имеет своих
операционных центров, а использует общую сеть коммутации
пакетов (Packet SwitchStream - PSS). Высокая доступность
системы обеспечивается шлюзами, которые реализованы на
компьютерах Tandem, рассчитанных на непрерывную работу.
Система CHAPS предоставляет своим пользователям полный
комплекс услуг, обеспечивающий надежное обращение электронных
денег.
Обеспечение безопасности системы CHAPS
Основное внимание в защите CHAPS уделено аутентификации
абонентов системы и поддержанию конфиденциальности
передаваемых сообщений.
Аутентификация абонентов в системе CHAPS осуществляется с
помощью алгоритма DES в режиме сцепления блоков. Шифрование
реализовано аппаратно в защищенном от физического воздействия
модуле, в котором также хранятся ключи шифрования.
Управление ключами отражает специфику системы CHAPS,
которая должна обеспечить конфиденциальность соединения между
двумя любыми банками, входящими в ее состав. Существует два
ключа шифрования: главный и сеансовый. Главный предназначен
для шифрования сеансового ключа. Сеансовый передается по линии
связи между взаимодействующими банками.
Безопасность осуществления платежей в системе CHAPS
достигается за счет аутентификации сообщений в точке посылки и
их верификации (проверки) в точке приема. Эти функции
выполняются участниками расчета.
Для контроля целостности потока сообщений применяется
нумерация передаваемых пакетов. Каждому пакету соответствует
некоторый номер (authentication sequence number;ASN). Для
каждой пары отправитель-получатель нумерация пакетов
уникальна. Последовательности номеров различны для платежных и
неплатежных сообщений. Последовательность номеров должна быть
инициализирована в момент смены сеансового ключа для
определенной пары отправитель- получатель. Сама аутентификация
и ее проверка осуществляются внутри модуля защиты от подделки
CHAPS (CHAPS tamper resistant module; TRM).
2.4. ПЕРСОНАЛЬНЫЕ ПЛАТЕЖИ И ИХ ЗАЩИТА
В настоящей главе мы рассмотрим способы расчета
физических лиц с финансовыми учреждениями - так называемые
персональные платежи, а также способы их защиты. Выделяют три
вида персональных платежей: домашнее (телефонное)
обслуживание, расчет с автоматическим кассовым аппаратом,
расчет в точке продажи.
2.4.1. Персональные платежи: формы организации
Домашнее (телефонное) обслуживание
Домашнее банковское обслуживание позволяет клиентам
получить доступ к банковским и информационным услугам не
выходя из дома.
Достоинства этого вида обслуживания:
- для клиента - большая доступность данных и управление
своими финансовыми делами;
- для банка - уменьшение стоимости обслуживания
(operational costs). Например, производство и обработка чеков
в США по оценкам специалистов стоит $10 млрд. в год. При этом
виде обслуживания клиент связывается с банком по телефону и
дает непосредственные распоряжения по своему счету.
Распоряжения могут быть отданы как голосом специальному
служащему банка или электронной системе, так и в электронной
форме непосредственно банковскому компьютеру.
Ввод данных для платежа при голосовой связи
(идентификатор, номер счета, размер платежа) производится
клиентом с клавиатуры телефона.
Системы домашнего (телефонного) обслуживания начали
внедряться банками с начале 80-годов, однако, до настоящего
времени широкого распространения не получили. Основными
причинами, по мнению специалистов, являются : необходимость
дополнительных устройств при электронной связи (компьютера и
модема) и неуверенность в безопасности системы голосовой
связи. Этот вид обслуживания пользуется популярностью среди
мелких предпринимателей и частных клиентов. Многие банки
настойчиво предлагают ее внедрить путем установки специальных
терминалов.
Этот вид обслуживания в разных странах находится на
различном уровне. Например, в США домашнее обслуживание не
приняло больших масштабов в то время как во Франции около 3.5
млн. терминалов подключено к сети MiniTel.
Некоторое распространение получило телефонное
обслуживание и в Великобритании. Основным банком,
обеспечивающим эти услуги является там Trustee Savings Banks.
Его система SpeedLink в настоящее время обслуживает более
250.000 клиентов, не имеющих специального оборудования, за
исключением современного телефона.
Для получения доступа к услугам SpeedLink клиенту
необходимо соединиться с ним и назвать свой номер счета и свой
идентификатор (PIN SpeedLine) для подтверждения личности.
После установления связи клиенты SpeedLink могут получить
уведомление на факс-аппарат или по почте (если факс
отсутствует). Система предоставляет также такие услуги как
оплата счетов, передача денег, ознакомление с последними
шестью транзакциями, перевод денег. Соотношение персональных и
корпоративных клиентов этой системы находится в отношении 2:1.
First Direct - полная система телефонного обслуживания
клиентов на дому. Она введена в действие Midland Bank Group в
1989 году.
Основное ее отличие в том, что она не использует
синтезируемый голос или персональный компьютер для проведения
расчетов. Клиент по телефону взаимодействует с человеком,
который может быть (по необходимости) квалифицированным
банковским работником.
Проведенные после установки First Direct исследования
показали, что 30% населения посещают банки для того, чтобы
использовать банкоматы, а 30% пользуются телефоном.
В системе First Direct особое внимание уделяется
начальной идентификации и проверке абонента. Для идентификации
используется десятисимвольный пароль, устанавливаемый клиентом
и известный только ему. Проверка абонента осуществляется при
взаимодействии с оператором. В начале работы оператор
запрашивает наугад одну или несколько букв из пароля
пользователя. Дополнительно клиент снабжается кодовым словом,
которое используется при этой процедуре. Детали процедуры
идентификации и аутентификации системы First Direct держатся в
секрете.
Будущее этого вида услуг сильно зависит от прогресса в
области распознавания речи и создания надежных и сравнительно
недорогих устройств с приемлемыми характеристиками такого
распознавания.
Автоматические кассовые аппараты
Банковский автомат-кассир (Automatic Teller Machine, ATM;
или же Автоматический Кассовый Аппарат, АКА, банкомат) -
специализированное устройство, предназначенное для
обслуживания клиента в отсутствие банковского персонала. Это
наиболее существенная часть банковской системы,
предназначенная, в основном, для выдачи наличных денег. Помимо
этой функции АКА может выполнять ряд дополнительных, в числе
которых:
* проверка состояния счета клиента;
* изменение параметров счета клиента;
* осуществление различных платежей;
* предоставление информации о:
- страховом полисе клиента;
- котировках ценных бумаг на фондовом рынке;
- покупке и продаже акций;
- обменных курсах валют и т.д.
Автоматический кассовый аппарат состоит из трех устройств
ввода (считыватель с пластиковых карточек, цифровая и
функциональная клавиатура), двух выходных устройств
(микродисплей и принтер) и устройства обработки информации.
Взаимодействие клиента с АКА осуществляется при помощи
пластиковой карточки, на которой записана необходимая
информация, выносной клавиатуры и микродисплея.
В настоящее время устройства обработки информации АКА
разрабатываются на основе микропроцессоров. Так, например
основой АКА компании NCR являются процессоры Intel 80386 и
80486, возможно с сопроцессорами. Фактически АКА компании NCR
представляет собой персональную ЭВМ, работающую под
управлением ОС OS/2 и имеющую до 16 Мбайт оперативной памяти,
до 100 Мбайт дисковой памяти, накопитель на гибких магнитных
дисках, дисплей, принтер и другие периферийные устройства.
Выполнение операций осуществляется с помощью прикладного
программного обеспечения. Шифрование конфиденциальной
информации при передаче по каналам связи или при записи на
диск осуществляется на основе стандарта DES. Кроме
криптозащиты предусмотрены и другие меры безопасности.
По состоянию на 1989 год в различных странах мира
установлено более 200.000 АКА (см. рис.26)
Количество банкоматов (АКА) на миллион жителей (1989):
0 200 400 600 800 шт.
Япония ±±±±±±±±±±±±±±±±±±±±±±±
Финляндия ±±±±±±±±±±±±±
США ±±±±±±±±±±±
Норвегия ±±±±±±±±±±±
Великобритания ±±±±±±±
Франция ±±±±±±±
Испания ±±±±±±
Германия ±±±±
Италия ±±
Рис. 26.
К концу 1980 года более 50% банков, с активами более $10
млн. использовали один или более автоматов-кассиров. Принципы
работы и защиты АКА будут рассмотрены в разделе 2.4.4.
В 90-х годах по данным Американской Ассоциации Банкиров в
США услуги АКА использовались половиной национальных банков
(community banks) и 99% крупных банков. Общие вложения в
индустрию АКА составили $3 млрд [31].
Расчет в точке продажи
Системы, обеспечивающие расчеты продавца и покупателя в
точке продажи, (point-of-sale, POS) получили распространение в
США более 20 лет назад. В основном, все терминалы,
подключенные к этим системам размещены на предприятиях
торговли. Большинство таких терминалов установлены в
супермаркетах, так как там совершается большое количество
покупок в течении дня, а также в других магазинах и на
автозаправочных станциях.
Системы POS обеспечивают следующие услуги:
- проверку и подтверждение чеков;
- проверку и обслуживание дебетовых и кредитных карточек;
- использование системы электронных расчетов.
Банки, финансирующие систему расчетов в точке продажи,
таким образом расширяют список своих клиентов путем
предоставления им больших удобств для покупок в магазинах с
использованием удаленных устройств. Торговля, в свою очередь,
увеличивает количество клиентов, расширяет управление
имуществом (inventory control), сохраняет время клиентов и
уменьшает риск потери наличных денег.
Существует два типа систем POS. Основной из них
предполагает, что продавец и покупатель имеют счета в одном и
том же банке. Данные, необходимые для платежа, передаются
через терминалы системы POS банковскому компьютеру,
производится платеж и деньги переводятся со счета покупателя
на счет продавца. В более сложной системе участвуют два или
более банков. При платеже сначала вызывается банк покупателя,
производится платеж и записывается на магнитную ленту для
передачи в расчетную палату. Расчетная палата в свою очередь
пересылает данные о платеже в банк продавца, который кредитует
платеж. Подробнее системы POS будут рассмотрены в разделе
2.4.5.
2.4.2. Персональный идентификатор
Персональный номер (идентификатор) (Personal
Identification Number, PIN) - это последовательность цифр
(обычно 4-6, но может быть до 12), используемая для
идентификации клиента. Для ввода PIN как в АКА, так и в
терминалах систем POS предусмотрена цифровая клавиатура,
аналогичная телефонной. По способу назначения можно выделить
следующие типы PIN:
- назначаемые выведенные (derived) PIN;
- назначаемые случайные (random) PIN;
- PIN, выбираемые пользователем.
Клиент различает только два типа PIN: PIN, который
назначен ему банком, выдавшим карточку, и PIN, который
пользователь может выбирать себе самостоятельно.
В связи с тем, что PIN предназначен для идентификации и
аутентификации клиента, его значение должно быть известно
только клиенту. Однако на практике PIN трудно удержать в
памяти и поэтому клиент банка куда-нибудь его запишет. Главное
- это не записать PIN непосредственно на карточку или в
ежедневник на первой странице. Иначе задача злоумышленника
будет сильно облегчена.
Использование PIN, назначенных банком, неудобно даже при
небольшом их количестве. Много цифр не удержишь в памяти и их
придется записывать. Для большего удобства клиента
используются PIN, выбираемые им самим. Такой способ
определения PIN, во-первых, позволяет клиенту использовать
один и тот же PIN для различных целей, и, во-вторых, позволяет
задавать PIN как совокупность букв и цифр (см. клавиатуру
телефона).
Как уже отмечалось выше, PIN обычно состоит из 4-6 цифр.
Следовательно, для его перебора в наихудшем (для защиты
естественно) случае необходимо осуществить 10.000 комбинаций
(4-х символьный PIN). Такой перебор возможен за короткое
время. Поэтому в системах, использующих такой PIN , должны
быть предусмотрены меры защиты от подбора PIN.
Алгоритм идентификации клиента
Всего существуют два основных способа проверки PIN:
алгоритмический и неалгоритмический.
Алгоритмический способ проверки заключается в том, что у
пользователя запрашивается PIN, который преобразуется по
определенному алгоритму с использованием секретного ключа и
затем сравнивается со значением PIN, хранившемся на карточке.
Достоинством этого метода проверки является:
- отсутствие копии PIN на главном компьютере, что
исключает его раскрытие персоналом банка ;
- отсутствие передачи PIN между АКА и главным компьютером
банка, что исключает его перехват злоумышленником или
навязывание результатов сравнения;
- облегчение работы по созданию программного обеспечения
системы, так как уже нет необходимости действий в реальном
масштабе времени.
Неалгоритмический способ проверки PIN, как это следует из
его названия, не требует применения специальных алгоритмов.
Проверка PIN осуществляется путем прямого сравнения
полученного PIN со значениями, хранимыми в базе данных. Часто
сама база данных со значениями PIN шифруется прозрачным
образом, чтобы не затруднять процесс сравнения, но повысить ее
защищенность.
Генерация PIN
Процесс получение (выведение) назначаемого PIN из номера
счета показан на рис. 27.
Ъ——————————————ї
іСекретный ключі
А——————В———————Щ
Ъ—————————————ї Ъ——————Б———————ї Ъ—————————————ї
Номер іДополнение доі і і і Выделение N і
счета——ґ16 десятичныхГ————ґ Шифрование Г—————ґ десятичных Г—— PIN
і знаков і і (DES) і і знаков і
А—————————————Щ А——————————————Щ А—————————————Щ
Рис. 27.
Вначале номер счета клиента дополняется нулями или другой
константой до 16 шестнадцатиричных цифр (8 байт). Затем
получившиеся 8 байт шифруются с использованием секретного
ключа по алгоритму DES. Из получившегося шифртекста (8 байт),
начиная с младших байт выделяются по 4 бита. Если значение
числа, образуемого этими битами менее 10, то полученная цифра
включается в PIN, иначе значение отбрасывается. Таким образом
обрабатываются все 8 байт (64 бита). Если в результате
обработки не удалось получить требуемое количество десятичных
цифр, то из неиспользуемых комбинаций вычитается 10.
В том случае, когда необходимо получить выбираемый
пользователем PIN, то каждая его цифра складывается по модулю
10 с соответствующей цифрой выведенного PIN (без учета
переноса). Получаемое десятичное число называется "смещением"
и запоминается на карточке. Так как выводимый PIN имеет
случайное значение, то невозможно получить выбранный
пользователем PIN по его "смещению".
Альтернативы PIN
В настоящее время ведется большая дискуссия по поводу
применения PIN для идентификации клиентов [31]. Сторонники
применения утверждают, что вскрытие PIN в Великобритании,
например, составило несколько случаев в месяц против несколько
сотен миллионов проведенных транзакций в год. Противники же
доказывают, что идентификация клиента с использованием PIN
работает только в следующих случаях:
- отсутствует перехват карточки и/или PIN при передаче от
банка клиенту;
- банковские карточки не воруют, не теряют и их
невозможно подделать;
- PIN невозможно узнать при доступе к системе другим
пользователем;
- PIN иным образом не может быть скомпрометирован;
- в электронной системе банка отсутствуют сбои и ошибки;
- в самом банке нет мошенников.
В качестве альтернативы PIN предлагается применять
устройства идентификации, основанные на биометрическом
принципе. Их широкое применение сдерживается высокой
стоимостью. Например, устройство, предлагаемое компанией Sats
(тел. (095) 926-5107) и предназначенное для идентификации
человека по геометрии его руки, стоит около $3500.
2.4.3. Обзор технологий электронных карточек
Использование систем POS и АКА потребовало появления
некоторого носителя информации, который мог бы
идентифицировать пользователя и хранить некоторые учетные
данные. В качестве такого носителя стали выступать пластиковые
карточки.
В настоящее время выпущено более 600 млн. карточек в
различных странах мира. Наиболее известные из них:
* кредитные карточки Visa (более 200 млн. карточек) и
MasterCard (148 млн. карточек);
* международные чековые гарантии Eurocheque и Postcheque;
* карточки для оплаты путешествий и развлечений American
Express (40 млн. карточек) и Diners Club.
Проведем здесь классификацию пластиковых карточек (см.
рис.28).
Ъ—————————————————ї
Ъ—————————ґПластиковые картыГ————————————В———————————————ї
і А—————————————————Щ і і
Ъ—————————Б——————————ї Ъ—————————————Б—————————————ї і
іПо принципу действияі іПо виду проводимых расчетові і
А—В———————————————В——Щ А—————В———————————————В—————Щ і
Ъ————Б————ї Ъ——Б—————ї Ъ———Б—————ї Ъ————Б————ї і
іПассивныеі іАктивныеі іДебетовыеі іКредитныеі і
Г—————————Щ Г————————Щ А—————————Щ А—————————Щ і
іЪ——————————ї іЪ——————————————————————ї Ъ————————————Щ
ГґМагнитные і ГґЭлектростатическое ОЗУі Ъ———————————Б——————————————ї
іА——————————Щ іА——————————————————————Щ іПо характеру использованияі
іЪ———————————————їіЪ——————————————————————ї АВ—————————————————————————Щ
АґГолографическиеіАґ С микропроцессором і іЪ—————————————ї
А———————————————Щ і (интеллектуальные) і ГґКорпоративныеі
А——————————————————————Щ іА—————————————Щ
іЪ—————————————ї
АґЛичные і
А—————————————Щ
Рис. 28.
По принципу действия можно выделить пассивные и активные
пластиковые карточки. Пассивные всего лишь хранят информацию
на том или ином носителе. Отличительной особенностью активных
карточек - наличие встроенной в него микросхемы. Карточка с
микропроцессором называется "интеллектуальной" (smart card).
По характеру расчетов, проводимых с использованием
пластиковых карточек, можно выделить кредитные и дебетовые
карточки. Подробнее их отличия будут описаны ниже.
По характеру использования карточки подразделяются на
корпоративные и личные. Главное отличие корпоративных (которые
могут быть выданы только юридическим лицам) от индивидуальных
состоит в том, что их владельцы имеют право на получение
дополнительных услуг. Например, такими карточками может
одновременно пользоваться большое количество сотрудников
фирмы, но счета по совершенным ими сделкам будут выставлены
фирме. Таким образом, компания получает возможность с
максимальной скоростью оплачивать заключенные контракты
(Коммерсантъ-DAILY, N65, 9.04.93).
Магнитные карточки
Магнитная пластиковая карточка изображена на рис. 29.
——В—В———————————————————————ї
° Г———————————————————————ґ
і і Магнитная полоса і
54 мм і Г———————————————————————ґ толщина - 0.76 мм
і і Другая информация і
• і і
——Б—Е———————————————————————ґ
Г<—————————————————————>ґ
і 85.7 мм і
Рис. 29.
На ней расположена магнитная полоса, состоящая из трех
дорожек. Каждая из них имеет соответствующее назначение.
Размеры карточки, формат хранимых данных определены
специальным стандартом ISO 7811 1985 года.
Интеллектуальные карточки
Этот тип карточек изобретен и запатентован Роланом
Мореном во Франции и получил небольшое распространение в США.
Микросхемы, установленные на карточке, могут быть как обычными
- энергонезависимой памяти, так и достаточно сложными
микропроцессорами. Емкость обычной карточки с
энергонезависимой памятью составляет от 2 до 16 килобайт. В
настоящее время в карточки устанавливаются микропроцессоры с
тактовой частотой 5 МГц. Объем энергонезависимой памяти
достигает 3 килобайт. В постоянное запоминающее устройство,
установленное на карточке, прошивается специальный набор
программ, называемый Операционной Системой Карточки (Card
Operating System; COS). Иначе говоря, сердцем таких карточек
является не просто микропроцессор, а микроЭВМ. Эти карточки
обеспечивают обширный набор функций:
- возможность работы с защищенной файловой системой
(доступ к файлам требует предъявления полномочий по
чтению/записи информации);
- шифрование данных с применением различных алгоритмов;
- ведение ключевой системы и т.д.
Некоторые карточки обеспечивают режим "самоблокировки"
(невозможность дальнейшей работы с ней) при попытке
несанкционированного доступа.
Преимуществом интеллектуальных карточек является больший
объем хранимой информации, устойчивость к подделке и
возможность использования во многих приложениях.
Интеллектуальные карточки позволяют существенно упростить
процедуру идентификации клиента. Это позволяет оказаться от
работы АКА в режиме реального времени и централизованной
проверки PIN. Для проверки PIN применяется алгоритм,
реализуемый микропроцессором на карточке. В основе алгоритма
лежит некоторая односторонняя функция O(x,P), где P значение
PIN, а x - некий параметр. Физическая защита интеллектуальной
карты позволяет гарантировать корректность результата проверки
PIN.
В то же время интеллектуальные карточки обладают и
существенными недостатками которые обусловили их ограниченное
распространение. Основных недостатков два:
- высокая стоимость производства карточки;
- увеличенная по сравнению со стандартом толщина, из-за
чего она не может быть прочитана обыкновенным АКА. Для чтения
таких карточек необходима установка специальных считывателей.
Кредитные карточки
Кредитные карточки - наиболее распространенный тип
пластиковых карточек. К ним относятся карточки
общенациональных систем США Visa и MasterСard, American
Express и AmEx's Optima, карточка Discovery Card фирмы Sears,
Universal Card фирмы AT&T, местные и региональные карточки
универсальных магазинов. Ими пользуются миллионы людей в США.
Карточки предъявляются на предприятиях торговли и
обслуживания для оплаты товаров и услуг. При оплате с помощью
кредитных карточек банк покупателя открывает ему кредит на
сумму покупки и затем через некоторое время (обычно 25 дней)
присылает счет по почте. Покупатель возвращает оплаченный чек
обратно в банк.
Visa, MasterCard и Discover требуют от обладателей
карточек производства по крайней мере фиксированного
минимального платежа. Владельцы карточек American Express
обязаны оплачивать покупку полностью; владельцы карточек
Optima платят изменяющуюся ставку, рассчитываемую на базе
основной (prime rate) плюс 6.75%.
Разновидностью кредитных карточек являются
аffinity-карточки. Они выпускаются банком, кредитным
объединением или финансовой компанией, заключившими
специальное соглашение с профессиональной, общественной,
религиозной или другой некоммерческой организацией. Обычно
знак этой организации помещается на кредитную карточку.
Производитель карточек обязуется отчислять своему контрагенту
некоторый (сравнительно небольшой) процент от прибыли при
использовании карточек. В ответ на это организация, с которой
заключен договор, помогает производителю карточек внедрить их
среди ее членов.
Состояние американского рынка кредитных карточек
Драматические изменения на рынке кредитных карточек
произошли в начале 80-х гг. Банки, выпускающие Visa и
MasterCard, были поставлены перед лицом серьезного
соперничества. В качестве конкурентов выступили такие
нефинансовые организации, как Sears, AT&T (телефонная
компания), Ford Motor Co. (производство автомобилей), активно
внедряющие свои карточки на этот дорогой рынок.
В 1986 году фирма Sears ввела в обращение Discover Card,
предоставляя скидку до 1% годовых. Привыкание к использованию
карточек шло медленно и Discover Card захватило 12% рынка
кредитных карточек (Bank Management. September 1990, "Credit
Card Banks Hit Choppy Waters").
В 1987 году American Express ввела в обращение Optima
Card, предлагаемые владельцам зеленых и золотых карточек.
В 1990 году AT&T объявила о выпуске Universal Card
карточке, которая объединяет MasterCard или Visa и телефонную
кредитную карточку. Ее владельцы получают скидки на
переговоры, которые ведутся по телефонным линиям AT&T. По
сведениями, приведенным в Wall Street Journal (June 18, 1991),
компания AT&T выпустила на рынок 10 миллионов таких карточек.
Внедрение компании AT&T рассердил банки, выпускающие Visa и
MasterCard, и заставил их соперника по телекоммуникациям MCI
предложить VisaPhone и MasterPhone совмещенные кредитные и
телефонные карточки.
Производители карточек Visa в настоящее время борются с
попыткой Sears выпустить Prime Option Visa Card. Усилия
компании Sears по вступлению в систему Visa вызвали настоящее
сражение.
Недавно компания Ford Motor Co. объявила о том, что она
начинает предлагать свои карточки Ford Master Card и Ford Card
Visas тем покупателям, которые покупают или берут в аренду ее
продукцию. Эти карточки не предполагают ежегодных выплат и
имеют процентную ставку 15.9%. Как и для Discover Card,
владельцы Ford Card получают годовую скидку при совершении
покупок. По данным Wall Street Journal (June 18, 1991) Ford
Motor Co. выпустила эти карточки при поддержке Даллаской
финансовой ассоциации, которая входит в десятку крупнейших
производителей кредитных карточек в США.
Компания Drexler также предлагает на рынке свою
LaserCard. LaserCard - это банковская (кредитная
карточка),которую можно использовать и для общения с АКА.
Наряду с обычной магнитной лентой карточка содержит также
оперативную память емкостью 4 Мбайта.
Компания Drexler ввела свою карточку в обращение в 1980
году, но приступила к ее активному коммерческому
распространению только два года назад. Внедрением этой
карточки занимаются девять специализированных
распространителей. Предлагаемая система состоит из карточки,
считывателя и программного обеспечения. Предполагаемая область
использования: финансовые услуги, безопасность, медицинская
промышленность.
Некоторые компании, закупившие оборудование этой фирмы в
80-х годах, были вынуждены отказаться от его использования в
связи с высокой стоимостью продукции и ненадежной работой
лазерных считывающих устройств. В настоящее время считыватели
для этих карточек предлагаются японскими производителями.
Дебетовые карточки
Это пластиковая карточка, которая используется для
дебетовых расчетов. Другие их названия: карточка наличных
средств или расчетная. Она во многом аналогична кредитной. Для
дебетных транзакций чаще всего используются АКА. Дебетные
карточки предназначены для замены наличных денег и
персональных чеков.
Основное ее отличие от кредитной карточки в том, что с ее
помощью можно вносить деньги на свой счет. Но использование
дебетовых карточек не открывает их владельцу кредита в банке
он тратит те деньги, которые у него есть. Поэтому клиенты не
получают ежемесячные счета. Вместо этого они поручают
финансовым институтам перевести деньги с их счета на счет
продавца при оплате в точке покупки.
На сегодняшний день дебетовая карточка в основном
применяется для получения наличных денег через АКА. Попытки
реализации в США единой общенациональной дебетной карточки
Entree (совместная разработка 1986 г. Visa USA и MasterCard)
потерпели неудачу.
Состояние рынка пластиковых карточек в России
Работы в области создания отечественных магнитных и
интеллектуальных карточек ведутся давно. Первые результаты
были представлены на Второй выставке "Биржевые и банковские
системы", прошедшей в Москве с 20 по 27 февраля 1993 года.
Акционерная компания "Дизайн-центр "ИДИС"" (тел. (095)
531-4093, факс (095) 536-2322) представила первые российские
пластиковые карточки. Эта компания производит как обычные
магнитные карточки, так и карточки с встроенной электрически
программируемой микросхемой памяти. В настоящее время такие
карточки используются для безналичной оплаты телефонных
переговоров. Эта же фирма разработала и поставляет устройство
для чтения этих карточек, которое подсоединяется к
персональному компьютеру.
Фирма "ИВК-Datacard" (СП "ИВК Интернешнл") (тел. (095)
382-0087, факс (095) 971-1077, телекс 911 625 CDNTS SU)
представляет в России интересы фирмы Datacard (США). Она
предлагает полный набор оборудования и услуг для работы с
пластиковыми (как магнитными, так и интеллектуальными)
карточками (производство карточек, оборудование для мест
продажи и т.д.).
Разработкой и внедрением технологии интеллектуальных
карточек заняты две московские фирмы: "ANCUD Ltd"(тел. (095)
532-9649, факс. (095) 531-2756) и АО "ScanTec Ltd" (тел. (095)
275-8394, факс (095)329-4711). Ими налажено