Формирование политики безопасности
Одним из ключевых элементов уже на этапе проектирования любого объекта1 -- продукта или системы информационных технологий (в нотации, принятой, например, в общеизвестных критериях [1,2,3,4]), который затем трансформируется в требования к моделям и сценариям его защиты, а также сервисам и механизмам их реализации в аппаратуре или программном обеспечении, является политика безопасности этого объекта. Здесь и далее под политикой безопасности (ПБ) будем понимать только аспекты, связанные с политикой информационной безопасности или защитой информационных ресурсов и поддерживающей их сетевой инфраструктуры, принимая справедливость тезиса "компьютер -- это сеть", впрочем, также как и тезиса "сеть -- это компьютер".
Формирование ПБ объекта происходит поэтапно, как минимум на двух взаимообуславливающих друг друга уровнях. На верхнем уровне она связана положениями, затрагивающими отношение к объекту организации, ведомства или корпорации, которым этот объект принадлежит (которая его разрабатывает или эксплуатирует). Эти положения носят общий характер, отражая цели деятельности, отношение к потенциальным угрозам, включают анализ рисков, способы и формы работы с информацией, административные акты и программу ИБ, регламентирующие деятельность персонала на этом направлении, а также ряд других аспектов.
На нижнем уровне формируется собственно ПБ объекта, как набор норм, правил и практических приемов, которые регулируют управление объектом (информацией), обеспечивая его защиту от потенциальных (внешних, внутренних, злоумышленных или других) угроз. Это может быть, например, набор правил управления доступом к объекту, практическая реализация которых осуществляется как на операционном (например, отдельные комнаты со средствами доступа к сетевым ресурсам и прямым контролем за действиями пользователя) или программно-техническом (с учетом идентификации и аутентификации пользователя, авторизации, квотирования ресурсов и т. п.) уровне. Управление доступом к ресурсам современных систем должно эффективно сочетать преимущества произвольного (на основе учета личности субъекта или группы) и принудительного (на основе меток безопасности) начал, а также их совместимость с элементами обеспечения безопасности повторного использования объектов.
Следует отметить, что на практике, особенно для стратегически важных современных объектов, формирование ПБ -- сложный, многофакторный процесс. С появлением глобального транснационального информационного пространства на базе Интернет(иногда именуемого киберпространством) эта, без того непростая задача, стала намного сложнее. Сегодня ошибки в формулировании ПБ объекта оборачиваются созданием "дорогостоящей" (ресурсоемкой по затратам) системы, которая на практике не способна в полной мере выполнять своих функций. В более "жесткой" постановке [5] системы, обеспечивающие стратегически важные функции по поддержанию системообразующих сфер национальной экономики (например, авиационный или железнодорожный транспорт, энергетический или сырьевой комплексы) могут оказаться под угрозой.
Анализ положений доктрины информационной безопасности (ИБ) России [6] позволяет утверждать, что создание целостной системы ИБ (в первую очередь, -- государственной) на российском сегменте Интернет является одной из самых неотложных задач. Она очень трудна для решения в связи с масштабами государства, многоукладностью экономики и объективно существующей в этой связи спецификой требований отдельных составляющих ее отраслей, интересов разных хозяйствующих субъектов, корпораций и ведомств. Эффективное решение задачи национального масштаба возможно только на пути формирования подходов к созданию систем ИБ на основе ПБ, учитывающих эту специфику. Например, и это очевидно, что положения ПБ объектов, принадлежащих организациям из так называемых "силовых структур" должны отличаться от соответствующих положений для объектов корпораций, работающих в банковской сфере или занимающихся добычей и сбытом природных ресурсов. Однако и для организаций упомянутых сфер деятельности, также как и для других, которые объединяет Интернет, разработка политики безопасности очень важная задача. Нельзя эффективно защищать свое в "общем котле", не обозначив заранее принципов и правил, на которых такая защита осуществляется.
В этом проявление специфики Интернет, как объединения сетей разных субъектов-собственников, уровней и протокольной базы, из разных регионов и даже стран. Таким образом, становится очевидным, что формирование ПБ для ведомств и корпораций, занимающихся родственной деятельностью была бы первым эффективным шагом в направлении создания целостной системы ИБ на российском сегменте Интернет.
Методические основы (предпосылки) в виде критериальной базы для практических действий на этом направлении существуют. К их числу можно отнести, хотя и не в полной мере отвечающие потребностям сегодняшнего дня "Руководящие документы Гостехкомиссии при Президенте РФ по защите от несанкционированного доступа" [7,8,9,10,11], положения других зарубежных Критериев, в том числе "Общих Критериев" (ISO 15408) [1,2,3,4].
Детальный анализ и формально строгий учет факторов (структура ценностей и уровни доступа, анализ рисков, каналы утечки информации и пр.), влияющих на информационную безопасность объекта на этапе формулирования или синтеза для него политики безопасности, а затем на этапе анализа эффективности ее реализации, оценки уровня гарантированной защищенности -- важнейшие задачи. Успешное и строгое решение этих задач возможно только на основе формализации и переноса основных положений ПБ на математические модели. В соответствии с уровнем сложности объекта, для которого разрабатывается ПБ, возможна его декомпозиция на отдельные составляющие и, соответственно, построение системы взаимосвязанных моделей. Такими, например, могут быть модели ИБ для операционных систем, используемых при построении разных сегментов крупных корпоративного масштаба информационных комплексов, а также модели ИБ отдельных объектов -- подсистем (БД, серверов, обеспечивающих функциональные сервисы или Web-ресурсы). В качестве составляющих могут рассматриваться модели ПБ управляющих сегментов отдельных сетей в составе крупной корпоративной сети. В общей постановке это очень сложная задача и эффективного ее решения пока не найдено.
Если рассматривать ПБ с точки зрения набора правил управления доступом к ресурсам компьютерных систем (см., например, [12]), то сегодня, как правило, применяется модель дискреционного доступа, механизмы реализации которой имеются почти во всех операционных системах (ОС) и позволяют оперативно и гибко настраиваться на требуемую функциональность. Однако эта модель не имеет строгой доказательной базы, гарантирующей защищенность системы, не обеспечивает контроля распространения прав доступа и плохо защищает от скрытых средств разрушающего воздействия ("троянские кони", вирусы). В последние годы все большее распространение стала получать лишенная этих недостатков, менее вариативная функционально, но более жесткая в выполнении правил разграничения доступа многоуровневая модель ПБ, которая реализуется через мандатный, принудительный контроль доступа, основанный на решетке ценностей (соотношение ценностей объектов и уровней доступа отдельных субъектов). Ориентированные изначально на сохранение секретности информации положения этой модели, модифицированные с учетом предложений Biba [13], формируют модель, способную с успехом решать проблемы защиты от угроз нарушения целостности.
В настоящее время совершенствуется и находит все большее практическое применение ролевая [12] (адаптирующаяся к изменениям в полномочиях доступа к информации), а также ряд других моделей, использующих положительные и оправдавшие себя на практике подходы. Ролевой подход, сочетающий преимущества дискреционного и мандатного принципов разграничения доступа, создает предпосылки и закладывает механизмы для расширения возможностей традиционных моделей применительно к современным системам, с учетом новых степеней свободы и дополнительных факторов, привносимых распределенной сетевой средой и Интернет.
При всем многообразии существующих традиционных подходов к построению моделей ИБ, использование их для составления моделей информационной безопасности больших распределенных в Интернет систем связано с необходимостью учитывать ряд дополнительных факторов.
К их числу относятся:
изменяющееся (иногда перманентно, как в системах типа GRID) количество составляющих компонент, и, как следствие, во много раз возрастающее число возможных состояний системы; сложности фиксации периметра безопасности даже для корпоративных систем, не говоря уже о системах, имеющих выход в Интернет (что необходимо по объективным причинам); неподконтрольность состояния каналов связи между компонентами системы, высокий уровень опасности утечки информации, в том числе через скрытые каналы и т. п.; объективно ограниченные скорости обмена данными между компонентами, что создает сложности для организации монитора обращений для системы в целом; к числу традиционных угроз секретности и целостности информации добавляется менее традиционная для "моносистем" угроза доступности -- потеря возможности авторизованному пользователю получить доступ к информации.
Строгая формализация ПБ для больших распределенных систем с учетом изложенных факторов -- очень трудная задача. Унифицированного, а тем более, эффективного с практической точки зрения подхода к ее решению пока не предложено. Именно это обстоятельство главным образом стимулировало появление и поддерживает развитие критериального подхода к оценке степени надежности средств защиты сложных объектов. Однако, и это хотелось бы подчеркнуть, возможности математически строгих подходов к построению моделей реализации ПБ для распределенных систем в Интернет далеко не исчерпаны. Новые идеи должны быть основаны на более глубоком осмыслении изложенных выше факторов, характеризующих распределенные системы в Интернет, подходов к составлению политик их безопасности, которые прошли теоретическую или практическую апробацию. Необходимо учитывать разные требования к использованию и, соответственно, защите ресурсов в различных сегментах сети, например, ее управляющего ядра, где обеспечиваются основные инфраструктурные и функциональные сервисы, реализуются технологии среднего уровня (middleware) и периферийных сегментов, где, как правило, размещаются прикладные сервисы.
Разнятся требования к использованию ресурсов различных сегментов, так называемых "виртуальных организаций" в системах типа GRID, где высший межсегментный уровень, аккумулирующий данные о всех ресурсах системы и механизмы работы с ними, должен быть организован и защищен иначе, чем нижележащий уровень линейных сегментов. В основу политики безопасности, учитывающей отмеченные особенности использования ресурсов разных сегментов сети может быть положен, например, подход, основанный на так называемой зональной модели разграничения доступа [15]. Подобный подход способен обеспечить сочетание (совмещение преимуществ) традиционных дискреционной и мандатной модели разграничения доступа на уровне отдельных сегментов (зон) с межсегментной (общей, или межзональной) политикой.
Конечно, отмеченный подход лишь один из возможных. С учетом изложенных обстоятельств необходим поиск новых способов к формализации ПБ. К их числу можно отнести следующие.
Разработку новых или эффективное использование уже существующих языков моделирования, позволяющих на концептуальном уровне построения модели ПБ отобразить семантику проблемной области. Такие модельно-языковые средства способны обеспечить более адекватное (полное и математически строгое) описание моделей систем, реализующих заданную ПБ и, как следствие, доказательную базу ее гарантированной защищенности. Создание моделей ПБ, учитывающих специфику распределенных систем на гетерогенной среде Интернет, использующих в качестве базовых графовые и автоматные, статистические, детерминированные и другие, как традиционные так и нетрадиционные способы их формализации. Учет факторов, характеризующих описанные выше особенности больших распределенных систем, будет также способствовать совершенствованию доказательной базы их гарантированной защищенности. Разработка подходов к построению моделей ПБ на основе совершенствования традиционных -- произвольного (дискреционная модель), принудительного (мандатный контроль), ролевого доступа и их комбинации для различных структурных элементов (компонентов), сервисов и приложений больших распределенных систем.
Рациональное использование различных моделей в составе больших систем способно повысить уровень их защищенности, сократить время и обеспечить экономию вычислительных ресурсов на реализацию мер, предусмотренных ПБ.
Вместе с тем, объективный анализ положения дел показывает, что практических шагов на этом направлении в России пока очень мало. Об этом свидетельствуют, например, результаты и оценки, приведенные в [16]. К причинам такого положения дел, в первую очередь, следует отнести отсутствие:
должной популяризации задачи, подходов и способов ее решения среди широких слоев населения, действий просветительского и образовательного плана; стимулов со стороны государственных структур и побудительных мотивов для соответствующих ведомств и корпораций к практическим действиям на этом направлении.
Некоторые действия на этих направлениях все-таки предпринимаются. С позиций популяризации и просветительства следует отметить несколько книг российских авторов, освещающих проблемы и подходы к решению задач на этом направлении. К числу наиболее значимых можно отнести "Теоретические основы защиты информации" А. А. Грушо и Е. Е. Тимониной (1996 г.) [12], "Информационная безопасность. Практический подход" (1998 г.) [17], "Основы информационной безопасности" В. А. Галатенко (2003 г.) [18], "Основы безопасности информационных систем" П. Д. Зегжды и А. М. Ивашко (2000 г.) [19], "Введение в теорию и практику компьютерной безопасности" А. Ю. Щербакова (2001 г.) [20]. Все книги анализируют положение дел в области ИБ на основе систематизации подходов к построению защищенных объектов с позиций, изложенных в зарубежных критериях оценки надежных систем и Руководства Гостехкомиссии РФ. Рассматриваются проблемы, связанные с построением строгих моделей ИБ, математических методов и оценки гарантированной защищенности систем. Есть и другие публикации на эту тему, в том числе в виде книг по смежной тематике, научных и научно-популярных статей, информационного сайта cryptography.ru, который также затрагивает эти проблемы.
Однако практика показывает, что этого мало для того, чтобы сдвинуть дело с "мертвой точки".
Рассматривая образовательную составляющую проблемы в целом, следует отметить, что в вузах России (гражданского профиля), особенно в последние годы (с выходом в свет Доктрины ИБ России) [6] и усилением внимания к этой проблеме со стороны государственных структур (Совета Безопасности РФ -- в первую очередь), появились лаборатории, кафедры и даже факультеты ИБ, не говоря уже о специальных курсах в учебных планах. Однако, эти кафедры, как правило, достаточно узко специализированы на отдельные направления ИБ, ориентированы на проблемы "заказчиков" (банковское дело, потребности "силовых ведомств" и т. п.). Знания, получаемые в аудиториях, не подкрепляются практикой, а тем более исследованиями на сетевых полигонах с использованием современных технологий. У выпускников не формируется "широкий" взгляд на проблему и пути ее разрешения. Такое положение дел не способствует формированию слоя специалистов-исследователей в области ИБ, способных активно распространять свое влияние на деятельность корпораций, ведомств, формировать общественное мнение, способствуя тем самым решению задач в свете положение Доктрины ИБ России.
>
Доказательная база надежности реализации политики безопасности
После того, как ПБ сформулирована и принята, способы ее реализации представляются определенным набором методов, правил и механизмов, интегрированных в модели и сценарии, которые призваны гарантировать соблюдение политики. Такой набор реализуется в виде аппаратного и программного комплекса -- самостоятельной подсистемы или продукта информационных технологий. Любой из подобных комплексов требует оценки его возможностей в полном объеме реализовать все положения ПБ. Гарантированность, как мера уверенности в том, что инструментальные средства защиты обеспечивают выполнение принятой ПБ, главным образом подтверждается на архитектурном и технологическом уровнях их реализации.
С позиции архитектурного уровня особая роль принадлежит защите ядра ОС, четкой систематизации привилегий для выполнения аппаратных и системных функций, их минимизации для отдельных компонент, сегментации адресного пространства процессов и т. п. Эти положения в той или иной мере будут затронуты в разделе 4, а также при обсуждении проблем, связанных с совершенствованием сервисов программно-технического уровня.
С точки зрения гарантированности технологической можно выделить следующие подходы, требующие для своего осуществления математических моделей, алгоритмического и программного обеспечения:
тестирование;
верификация на основе формальных методов доказательства;
математические модели гарантированно защищенных систем.
Тестирование -- традиционный способ, сопровождающий приемо-сдаточные испытания любых, в том числе компьютерных систем ИБ. Сложность задачи на сегодня состоит в создании моделей и алгоритмов, предъявляющих адекватные требования к современным системам, объединяющим, как правило, ресурсы на гетерогенной сетевой среде. Такие требования к инструментальным средствам защиты должны предъявляться не только на начальном этапе (разработка и приемо-сдаточные испытания), но и во время эксплуатации, в условиях объективного изменения ее состава и функциональности. Методической основой для действий на данном направлении являются положения критериальных подходов, изложенные в соответствующих, как отечественных, так и зарубежных документах, например [1,2,3,4].
Верификация в автоматизированном режиме на основе формальных методов доказательства -- эффективный подход к обоснованию гарантированной защищенности компьютерных систем на всех этапах их жизненного цикла. Одним из важных является направление, связанное с созданием таких систем для обеспечения безопасности сложных программных комплексов. Актуальность данного направления повышается в связи с повсеместным использованием в составе таких комплексов программных средств, которые свободно распространяются через Интернет. Хорошие перспективы имеет использование систем автоматической верификации состояния защищенности в процессе функционирования практически значимых распределенных систем. Однако, несмотря на определенные теоретические заделы и отдельные прикладные разработки, эффективных решений для подобных систем пока нет. Такое положение, в первую очередь, связано с объективной трудностью их формального описания, учета многофакторных процессов, которые следует принимать во внимание. Необходим поиск подходов к созданию подсистем, автоматизирующих процессы верификации безопасности отдельных функционально замкнутых компонентов, описанию и практической реализации моделей их взаимодействия в составе больших распределенных систем. Теоретические основы для решения подобных задач, подходы к формализации программ и потенциальных средств разрушающего воздействия, методы анализа и инструментальные средства на этом направлении только создаются.
Если модель ПБ удается достаточно подробно и четко формализовать математически, то высока вероятность получить аналитически (привлекая математический аппарат) или путем строгих логических рассуждений доказательство гарантии выполнения объектом защиты ПБ. Для относительно простых систем и перечисленных выше моделей ПБ в условиях достаточно "жестких" дополнительных ограничений получить такие оценки можно. Их удается получить, например, в рамках модели "Take-Grant" [12], описывающей с помощью теории графов способы распространения прав доступа в системах с дискреционной ПБ, или теоретико-множественных моделей "Белла -- Лападула" [21,22], "Low-Water-Mark" [23,24], автоматной модели невлияния "Гогена -- Месгауэра" [25,26] для многоуровневых систем (мандатный контроль доступа), а также ряда других.
Однако практические системы, подлежащие защите, являются более сложными и, как правило, распределенными. Создание модели системы в виде набора математически строгих соотношений, описывающих ее начальное состояние и ограничений на возможные переходы (во времени и фазовом пространстве), не нарушающие ПБ многопараметрической (многокомпонентной) системы, которые позволяли бы путем столь же строгих логических рассуждений доказать справедливость выполнения ПБ в любых состояниях системы, оказывается очень трудной задачей. С учетом объективно высокого уровня сложности подобных систем и огромного числа возможных ее состояний в процессе эксплуатации требуются новые нетрадиционные подходы к построению математических моделей гарантированно защищенных распределенных объектов ИТ. В качестве примера, подтверждающего перспективность такого подхода можно привести модель распределенной компьютерной системы, представленной в виде обобщения автоматной модели невлияния Гогена -- Месгауэра на случай вероятностного автомата [27]. Такой подход позволил редуцировать традиционную детерминированную модель с огромным числом состояний к вероятностной модели с таким их числом, которое позволяет построить достаточные и почти необходимые локальные условия, обеспечивающие глобальную безопасность системы. Эффективность новых подходов к созданию математических моделей систем, гарантированно защищающих распределенную систему от атак на доступность, продемонстрирована тем же автором в работе [28].
Важным направлением исследований является поиск способов гарантированной защиты данных в недоверенной среде на основе применения надежных алгоритмов шифрования, применяемых, например, в межсетевых шлюзах. Отдельно в ряду задач на этом направлении стоит поиск механизмов и выработка моделей организации (скрытых) каналов утечки информации, включая способы управления ими, а также выработка и реализация мер противодействия. Результаты на этом направлении изложены в работах [12,14].
Политика безопасности, модели, механизмы и средства защиты многих из практически значимых систем представляют государственную тайну и являются "закрытыми".
Эти обстоятельства заставляют искать другие подходы к доказательству гарантированности (высокой степени доверия) для объектов защиты с точки зрения выполнения ими положений принятой ПБ. Гарантированность в данном случае обеспечивается на операционном, архитектурном, как одном из его аспектов, и технологическом уровнях реализации инструментальных средств защиты объекта.
Таким является подход, основанный на формулировании условий в виде стандарта, с высокой степенью вероятности гарантирующего поддержку ПБ. Первым подобным стандартом стала "Оранжевая книга" [29] (США, впервые опубликована в 1983 г.), которая гарантировала поддержку ПБ, основанную на дискреционной и мандатной моделях, для изолированных "монолитных" на отдельных компьютерах информационных систем, затем дополнения к этому стандарту, гарантирующие защиту распределенных систем (1987 г.) (Интерпретация "Оранжевой книги" для сетевых конфигураций [30,31,32] и распределенных баз данных [33] (1991 г.) (Рекомендации Х.800)) на основе тех же политик. Подход оказался продуктивным и стимулировал разработку как ряда национальных, так и международных стандартов [34,35,36]. Последним из них стал результат 5-летней работы специалистов из США, Канады, Англии, Франции -- стандарт ISO/МЭК 15408 "Критерии оценки безопасности информационных технологий", опубликованный в 1999 г. [1,2,3] и более известный как "Общие критерии". "Общие критерии" объединили в себе все лучшее критериальных подходов прошлых лет и в настоящее время стал "дефакто" мировым эталоном в этой области.
Проблемы разработки и строгой формализации ПБ, доказательства гарантий ее выполнения для практически значимых, важных объектов (продуктов и систем ИТ) в последние годы в значительной степени связаны с их сложной внутренней структурой и принципами организации внешней сетевой среды функционирования, в качестве которой, как правило, выступают сети Интернет [37].
К числу таких проблем можно отнести:
независимость и равноправие сетей, объединенных в Интернет на основе стека протоколов TCP/IP, и проблемы ограничений сетевого доступа без ущерба для узла, инициирующего такие ограничения; межведомственный, региональный и транснациональный характер сети, сложности применения на ней законодательных мер, административных рычагов и операционных регуляторов;
практическое отсутствие возможностей защиты каналов связи для крупных сетей пакетной коммутации и объективные сложности создания модели единой системы, гарантирующей защиту взаимодействующих объектов на таких сетях;
сложности решения проблемы аутентификации пользователя (субъекта) в условиях удаленного сетевого доступа без применения идентификаторов, учитывающих его индивидуальные особенности;
высокие темпы изменения (мобильности) субъектов доступа и объектов защиты на сетях, а также связанные с этим сложности описания их ПБ.
Отдельные задачи по каждой из этих проблем, а также в их взаимосвязи решаются в рамках приоритетных и долговременных программ. Такие программы реализуются как в отдельных странах, так и на уровне международной кооперации. В последние годы главные результаты на этом направлении получены на основе критериальной базы, позволяющей разрабатывать и реализовывать ПБ объектов ИТ на основе функциональных требований к элементам системы защиты, задания по безопасности объекта и профиля его защиты. Российскими специалистами на основе Общих критериев разработаны предложения по внедрению в стране государственного стандарта ГОСТ Р ИСО/МЭК 15408 "Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" [4,38]. В настоящее время идет активное обсуждение способов его внедрения. Это также сложный и долговременный процесс. Исследования гарантий защищенности объектов на основе критериальной базы -- это важное и эффективное направление, однако возможности строгих математических моделей ПБ и аналитической доказательной базы эффективности ее реализации далеко не исчерпаны.Это относится как к "монообъектам", так и к продуктам ИТ, представляющим собой распределенные сетевые системы на метасети Интернет.
Операционная система-- главный объект защиты и исходный рубеж информационной безопасности
Примером "монолитного" объекта, который требует особого внимания, с точки зрения информационной безопасности, является операционная система (ОС). ОС -- набор программных компонент (в том числе -- микропрограммных), которые обеспечивают поддержку аппаратуры компьютера с целью управления его ресурсами, включая процессоры, память, устройства ввода-вывода, данные. Степень защищенности любых, в том числе сложных, распределенных систем в Интернет, в большей степени зависит от механизмов реализации инфраструктурных сервисов, которые, как правило, поддерживаются ядром ОС.
Инициаторами запросов к ОС выступают как пользователи (в том числе, -- операторы, программисты или администраторы), так и программы, аппаратные средства. С этих позиций ОС сама представляет собой комплекс, объекты информации и субъекты-потребители которого взаимодействуют между собой с использованием тех же первичных механизмов (механизмов ядра ОС), что и объекты и субъекты отдельного "монолитного" компьютера или компьютеров, распределенных на сети. Более того, совокупность таких механизмов обеспечивает поддержку базовых программно-технических сервисов безопасности в ядрах всех современных ОС (включая идентификацию/аутентификацию, разграничение доступа, протоколирование и аудит). С этих позиций все проблемы вышеперечисленных программно-технических сервисов ИБ, которые будут обсуждаться далее в разделе 5, в той или иной мере относятся и к ОС, во-первых, как к продукту ИТ, во-вторых, как к месту их размещения и эффективной поддержки. Отмеченные особенности ОС указывают на то, что ее надежная защита -- главная задача и начальная гарантия уровня защищенности информационно-вычислительного объекта любой, сколь угодно сложной архитектуры и назначения.
С учетом особой роли операционной системы поиск подходов к устранению "уязвимостей" как "локально-тактического", так и "принципиально-стратегического" характера, которые объективно существуют на сегодня в ОС для любых аппаратных платформ, является важнейшим направлением [39].
По- прежнему остаются проблемы защиты от скрытых средств разрушающего воздействия и приобретения неадекватных полномочий пользователем при реализации ПБ на основе традиционной дискреционной модели доступа. Механизмы принудительного доступа (на основе многоуровневой модели), в большей степени защищающие от подобных атак, имеют свои сложности реализации в ядрах традиционных ОС и проблемы практического использования при создании монитора безопасности для больших распределенных систем.
К уже упомянутым при использовании компьютерных систем в Интернет добавляются угрозы отказа в обслуживании, которые, как правило, реализуются путем изменения настроек подсистемы сетевого доступа. Однако следует отметить, что возможности традиционных как дискреционных, так и многоуровневых моделей, реализующих произвольный и принудительный доступ, на данном направлении далеко не исчерпаны. Для создания дополнительных, более тонких механизмов защиты от рассмотренных выше угроз необходимо выделить в отдельную группу объектов сущности ядра ОС, которые отвечают за доступ к сети. Такими могут быть, например, локальные адреса используемых протоколов, порты, записи в таблицах маршрутизации, правила пакетных фильтров [40,41]. За доступом к объектам данной группы должен быть обеспечен отдельный контроль. На этом пути необходимо реализовать принцип наименьших привилегий по отношению к типовым сетевым задачам (сервисам). С этой целью кроме традиционно используемых идентификаторов пользователя и процесса представляется целесообразным ввести дополнительные идентификации подобных задач (сервисов). Тогда полномочия на использование средств сетевого доступа (управления сокетами, конфигурацией, создание фильтров и т. п.) можно будет определять с учетом приоритетов задачи, которая эти средства использует.
Эффективная реализация указанных мер связана с необходимостью анализа проблем на данном направлении, исследованием и систематизацией уже имеющихся подходов к их разрешению и разработкой достаточно строгой, поддающейся верификации и тестированию модели системы защиты ОС.
Подобные исследования на сегодня активно проводятся за рубежом [42,43,44]. Есть работы на этом направлении и в России.
В разделах 2 и 3 уже отмечалась важность более широкого внедрения перспективных с точки зрения современных требований политик безопасности, в первую очередь -- многоуровневой, реализующей принудительное управление, а также ролевой и других. Необходимость таких действий диктуется требованиями современных критериальных подходов к условиям эксплуатации практически значимых систем. Наряду с традиционными сервисами (идентификации и аутентификации, протоколирования и аудита) для реализации подобных дополнительных средств защиты необходим поиск новых эффективных моделей, программных решений в ядре ОС, не затрагивающих других, уже сложившихся и широко используемых механизмов. Такие задачи, особенно в последние годы, решаются в России. На сегодня есть ряд ОС, реализующих многоуровневую ПБ на основе мандатного контроля и прошедших различные уровни апробации, например [45,46]. Есть разработки, коды которых представлены в открытом доступе.
Одной из важнейших остается задача создания отечественной ОС, отвечающей предъявляемым к ней современным требованиям по функциональности. С учетом объективных сложностей на пути решения этой задачи в полном объеме, на начальном этапе необходим поиск подходов, отвечающих хотя бы минимальному набору таких требований, которые диктуют национально значимые системы и (или) объекты высокой практической ценности.
С этих позиций следует рассматривать разработку НИИСИ РАН операционной системы ОС 2000 [47], оригинальные архитектурные решения которой, кроме удовлетворения ряда специальных функциональных требований, призваны обеспечить дополнительные возможности собственной защиты и безопасности прикладных систем на ее базе. Требования к функциональности ОС и оценочные уровни доверия к ней сформулированы в соответствии с положениями "Общих критериев" [1,2,3].
К значимым разработкам на данном направлении следует отнести создание POSIX-совместимой [48] защищенной ОС "Феникс" в Специализированном центре защиты информации СПбГТУ.В основу архитектурных требований к данной системе положен оригинальный подход к управлению доступом, трактовка защищаемых сущностей в виде информационных ресурсов и универсальный интерфейс доступа.
Подчеркивая значимость указанных выше результатов в направлении создания новых и совершенствования уже существующих ОС, следует отметить, что сегодня ни одна из них не ориентирована должным образом на использование в составе распределенных систем на существенно гетерогенной инфраструктуре Интернет. Создание таких ОС -- дело будущего. В настоящее время необходимо более точно сформулировать перечень требований к такого сорта системам, разработать модель, которая, в свою очередь, должна обеспечить необходимую функциональность системы и требуемый уровень доверия к ней.
Сервисы информационной безопасности программно-технического уровня
Анализируя обсуждаемые выше модели и сценарии защиты объекта, реализующие ПБ на программно-техническом уровне, необходимо отметить, что основными составляющими (компонентами, элементами) интегрированного набора средств защиты являются сервисы ИБ. Некоторые из них, как правило, проблемно-ориентированные (например, защита отдельных сервисов, высокопроизводительных вычислительных систем, крупных коммуникационных узлов сетей, банковских документов и т. п.) или функционально ориентированные (экранирование, идентификация-аутентификация, управление доступом и т. п.) являются составными и включают в себя более мелкие, в том числе атомарные (или неделимые) сервисы.
К числу базовых среди сервисов ИБ можно отнести сервисы, выполняющие следующие функции:
защита среды передачи;
защита данных при передаче;
экранирование и фильтрация (защита периметра);
идентификация / аутентификация;
разграничение доступа;
протоколирование и аудит.
Отдельные из перечисленных сервисов или их комбинации составляют ядро модели (сценария), реализующей ПБ любой, сколь угодно сложной системы информационных технологий, включая комплекс, объединяющий распределенные сетевые объекты.
Кратко остановимся на особенностях каждого из функциональных сервисов с точки зрения задач, связанных с развитием их математического, алгоритмического и программного обеспечения.
Защита среды передачи
Рассматривая защиту среды передачи (или физическую защиту коммуникаций) следует иметь в виду, что традиционно она реализуется с помощью:
защиты поддерживающей инфраструктуры;
физического управления доступом;
противопожарных и других подобных мер.
Приведенный перечень содержит действия, которые принято относить к мерам операционного уровня иерархической схемы ИБ. Однако, в условиях больших распределенных систем в Интернет, эти меры в большей степени должны быть ориентированы не на людей (персонал), а на программно-технические средства.
Каждое из действий в рамках перечисленных мер не требует разработки математических моделей, алгоритмизации и (или) реализации сложного программного обеспечения для эффективного выполнения предусмотренных функций. Контроль за состоянием зданий и сооружений, отдельных помещений (в т. ч. управляющих коммуникационных узлов сети), систем электроснабжения и кондиционирования, состояния противопожарных средств традиционно связаны с рычагами (мерами) вышележащего (по отношению к программно-техническому) операционного уровня реализации ПБ (ИБ). Ключевым звеном, через которое эти меры осуществляются, является человек (специалист). Защита от перехвата данных также реализуется персоналом с помощью мер физического контроля несанкционированного доступа (использования) линий связи или с помощью специально спроектированных приборов, основанных на физических эффектах (принципах).
Однако, если рассмотреть данный сервис в совокупности перечисленных мер для большой распределенной системы, штат персонала, который призван выполнять отдельные действия (функции) по контролю состояния всех средств защиты среды передачи и своевременного реагирования на нештатные ситуации, то возникает настоятельная и объективная потребность в создании комплекса, обеспечивающего эффективный мониторинг состояния столь сложной системы и выработку рекомендаций для оперативного управления ею. С учетом многообразия технических средств контроля, которые используются на каждом из направлений, существенно территориально-распределенного характера их размещения в качестве важной и очень перспективной должна рассматриваться задача создания подсистемы мониторинга за состоянием технических средств, обслуживающих защиту среды передачи.
Такая подсистема в общей системе управления сетью может быть построена, например, для управляющего сегмента сети отдельной организации или для магистральной инфраструктуры корпоративной сети.
Задача в такой постановке требует:
учета существенно распределенного характера агентов -- технических средств поставщиков и (или) потребителей информации;
анализа типовых бизнес-процессов, протекающих в системе и обеспечивающих функциональное взаимодействие данных, собираемых с различных устройств.
Перечисленным требованиям отвечает инструментальный комплекс, поддерживающий взаимодействие распределенных агентов, выступающих с одной стороны, как объекти-сточник, а с другой, -- как субъект-потребитель информации о состоянии безопасности среды передачи. Структура организации такой подсистемы должна быть иерархической, а разработку ее программного обеспечения целесообразно осуществлять на принципах объектно-ориентированного подхода. Архитектура и технологические принципы этого комплекса (подсистемы) должны быть рационально интегрированы в общую систему управления сетью. Создание подобной системы безусловно потребует разработки новых, адекватных математических моделей, сложных алгоритмов и соответствующего программного обеспечения. Как описание общих подходов к созданию подобного сорта и уровня сложности систем можно рассматривать работы [49,50].
Защита данных
Защита данных при передаче по каналам связи осуществляется с помощью средств криптографии. На этом направлении существует много результатов, основанных на самых современных математических методах. Эти работы, как правило, носили "закрытый" характер и, как следствие, большинство результатов становилось доступно широкой общественности с большим опозданием. Причиной тому является их стратегическое значение и постоянное внимание к этим проблемам со стороны оборонных ведомств и силовых структур любого государства. В последние годы, в связи с развитием сетевых инфраструктур на национальном и межнациональном уровне, активным использованием сетевых технологий в других сферах хозяйственной деятельности, в бизнесе и медицине, сфере развлечений и на бытовом уровне, проблемы конфиденциальности информации стали интересны для более широкой аудитории. Как следствие, многие из подходов, проблем и задач на этом направлении, решения, стандарты и протоколы становятся достоянием широкой общественности. К числу таких работ российских авторов следует отнести [51], материалы конференции "Московский университет и развитие криптографии в России" (октябрь 2002 г.) [52].
Хотелось бы отметить особенности, которые накладывает Интернет на криптографию, как вид сервиса безопасности. Одним из основополагающих принципов Метасети является его открытая архитектура, методологическую основу которой составляет модель открытых систем [53]. Именно этот принцип в сочетании с масштабируемостью и простотой реализации базовых протоколов обеспечивают Интернет беспрецедентно высокие темпы роста. В свою очередь, такие темпы -- причина столь же пропорционально высокого роста загрузки (и даже перегрузки) магистральных каналов, собирающих трафик отдельных сетей (локальных, местных и т. п.) Это снижает общую эффективность функционирования сети, заставляя перманентно (постоянно) совершенствовать методы маршрутизации, искать новые подходы к способам, гарантирующим качество сетевого сервиса [54,55,56].
Активное использование криптографии в Интернет это, во-первых, -- дополнительный и достаточно высокий объем трафика, а, во-вторых, -- усложнение протокольной базы. Рассматривая перспективы применения криптографических средств на сетях Интернет необходимо оценивать эффективность их использования с учетом этих факторов. Такая оценка -- предмет отдельного, важного и непростого исследования.
Идентификация и аутентификация
Идентификация (именование) и аутентификация (проверка подлинности имени) являются базовыми средствами в реализации ПБ объекта, обеспечивающими для других сервисов безопасности работу с поименованными объектами. Идентификаторы пользователя, от имени которого действует субъект (процесс или пользователь), могут быть разбиты на следующие классы:
что он знает (пароль, криптографический ключ и т. п.);
чем он владеет (личную карточку);
что присуще ему по природе (отпечатки пальцев, голос и т. п.)
Аутентификация для таких классов идентификаторов усложняется сверху вниз, но при этом повышается ее надежность. Процессы, данные (например, криптоключи) или источники данных, которые также могут быть подвергнуты аутентификации, обладают только идентификаторами первого из перечисленных классов. Это обстоятельство облегчает использование криптографии при аутентификации однородных (равноранговых) процессов, в том числе с применением низкоуровневых средств (например, механизмов ядра ОС).
Существует несколько способов -- схем реализации службы идентификации/аутентификации. К первой относится, например, традиционная для приложений под OC UNIX децентрализованная схема, предусматривающая аутентификацию каждого приложения. Отсутствие целостности и централизации в этой схеме затрудняет ее администрирование. Не обеспечивается гибкость в применении различных механизмов (способов) аутентификации, так как в этом случае требуется перекомпиляция приложения.
Второй способ основан на библиотеке встроенных интерактивных модулей PAM (Pluggable Authentication Modules), являющейся частью OC Red Hat Linux, представляет собой целостную централизованную систему, обеспечивающую гибкое использование различных механизмов аутентификации. Здесь следует отметить, что в разработке PAM вместе с другими участниками рабочей группы Linux-PAM активное участие принимали российские специалисты [39]. Библиотека PAM уже на этапе ее разработки использовалась для создании системы обеспечения безопасности управляющего сегмента сети MSUNet МГУ им.
М. В. Ломоносова. Узким местом этого способа аутентификации и библиотеки PAM является обязательное требование интерактивности, что не всегда реализуемо на гетерогенной сетевой среде, и относительно сложный прикладной интерфейс. Перспективы развития служб идентификации и аутентификации, особенно с учетом их применения для распределенных (информационных и вычислительных) систем, связаны с устранением отмеченных недостатков, а также разработкой новых способов, которые позволяли бы:
учесть потребности перспективных направлений использования (корпоративный интранет, порталы, распределенные вычислительные метакомпьютерные системы типа GRID [57] и т. п.);
изыскать (разработать и апробировать) эффективные механизмы аутентификации для отмеченных выше идентификаторов второго и, особенно, третьего классов;
надежно поддерживать не только традиционную конфиденциальность и целостность данных, но и высокую доступность информации на гетерогенной сетевой среде;
расширить функциональные возможности системы аутентификации с целью ее более эффективной интеграции с другими сервисами безопасности (разграничение доступа, криптография, протоколирование и аудит и др.);
использовать механизмы, которые легко реализовать средствами ОС.
К числу эффективных действий на этом направлении следует отнести открытый исследовательский проект PNIAM (Pluggable Non Interactive Authentication Modules [40,58]), который уже в течение ряда лет ведется по инициативе и при активном участии ученых и преподавателей, студентов и аспирантов механико-математического факультета и Института механики МГУ, научных сотрудников Центра научных телекоммуникаций и информационных технологий РАН. На сегодня многие из результатов (математические модели, алгоритмическое и программное обеспечение), полученные в рамках этого проекта, использованы при создании ОС с повышенными требованиями к надежности серверов на их базе, при разработке дистрибутива для высокопроизводительных вычислительных кластерных систем с удаленным доступом к их ресурсам по Интернет, а также при реализации ряда других практически значимых систем.
Разграничение доступа
Средства логического разграничения доступа определяют действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информационными ресурсами, процессами, устройствами и т. п.). Такие средства позволяют также обеспечить контроль (поддерживают режим протоколирования) за совершением этих действий. В отличие от физического управления доступом, которое осуществляется на операционном уровне, например, персоналом, регламентирующим доступ пользователя в специальные помещения (компьютерные классы), в данном случае имеется в виду доступ, который обеспечивается программно-техническими средствами. Имея в виду специфику организации Интернет, необходимо подчеркнуть, что этот вид разграничения доступа является определяющим на Метасети.
С формальной точки зрения задача сводится к выполнению заранее установленного (хотя не обязательно статичного) для макрообъекта2 (продукта или системы ИТ) порядка выполнения для каждого из входящих в макрообъект субъектов операций над каждым из потенциальных атомарных объектов (составляющих макрообъект) при соблюдении, может быть, каких-то дополнительных условий (зависящих, например, от времени, места действия, каких-то ограничений используемого сервиса и т. п.)
Разграничение доступа осуществляется различными аппаратно-программными компонентами от ядра ОС, общецелевых программ (например, графика, СУБД) до отдельных систем прикладного программного обеспечения (например, Web-сервер) на основе принятого порядка выполнения и анализа дополнительных условий.
Модели этих отношений (включая порядок выполнения, дополнительные условия или полномочия), сценарии их формирования и изменения (включая уничтожение или появление новых), способы и механизмы организации, хранения, извлечения и анализа данных являются производными от выбранной политики безопасности объекта (продукта или системы ИТ). Они составляют суть (предмет) данного вида сервиса безопасности по отношению к защищаемому объекту. В качестве элементарных, отдельных или атомарных объектов могут выступать файлы, устройства (компьютеры или сетевое оборудование), процессы, такие средства взаимодействия процессов, как сегменты разделяемой памяти, очереди сообщений, семафоры и сокеты, отдельные компоненты прикладных систем, например, таблицы, процедуры баз данных (БД) и т. п.
Заметим, что некоторые из них могут выступать (например, в разных видах сервисов или отдельных приложениях) как в роли объектов, так и субъектов (будем обозначать объект/субъект). Такое обилие существующих и постоянно меняющихся субъектов, объектов и отношений между ними объективно затрудняет централизованное логическое управление доступом. В свою очередь отсутствие таких централизованных начал в управлении, что характерно для большинства традиционно используемых систем ИБ, приводит к объективной рассогласованности в адекватном (соответствующем политике безопасности составного макрообъекта) распределении прав и полномочий доступа отдельных субъектов к составляющим (атомарным) объектам при использовании, например, разных видов сервиса. Обмен данными между субъектами/объектами под управлением различных видов сервиса (функционального) на пересечении областей доступа3 к различным объектам -- классический источник "брешей" в системе ИБ различных продуктов или систем ИТ.
В качестве главной (магистральной) цели на пути совершенствования логического управления доступом следует рассматривать подходы к объединению и согласованию на основе общей политики безопасности макрообъекта сценариев, моделей и механизмов такого разграничения на уровнях ОС, отдельных инфраструктурных и функциональных сервисов и приложений. Такое объединение потребует пересмотра многих, в том числе концептуальных, взглядов на подходы к созданию новой модели. Это очень важная, многоплановая задача, конструктивных подходов к решению которой пока не предложено.
Продуктивным на этом направлении может оказаться объектно-ориентированный подход, суть которого применительно к рассматриваемому предмету изложена в [59]. Его реализация сложна, она потребует пересмотра многих уже сложившихся подходов и принципов, длительного времени, однако она объективно необходима. Деятельность на этом направлении способна создать предпосылки к разработке централизованной схемы разграничения доступа в рамках общей системы управления сложными (в том числе распределенными) объектами.
Необходимо отметить, что в настоящее время многие из концептуальных подходов, принятых и развиваемых в области ИБ, в том числе критериальная база, развиваются вне объектно-ориентированных представлений. Потребуется большая работа по обоснованию целесообразности (необходимости) нового подхода, строгая математическая формализация задачи (первые соображения изложены в [59]), ее эффективное решение, в том числе -- программное, хотя бы на прототипах или ограниченных распределенных прикладных системах, прежде чем он получит признание. Однако с точки зрения перспектив, которые уже рассматриваются, возможности использования современных методов математического моделирования и технологии программирования -- это очень интересное предложение, которое заслуживает поддержки.
Развитие систем управления доступом к объектам путем совершенствования используемых (уже существующих) моделей (описывающих правила разграничения доступа, в том числе традиционных -- дискреционной и мандатной) за счет комбинации преимуществ каждой из них, использования более гибких схем и тонких механизмов -- одна из важнейших задач настоящего времени. Такие работы в мире ведутся, в том числе при поддержке государства в рамках открытых исследовательских проектов. В качестве примеров можно привести проект Trusted Linux [42], направленный прежде всего на изоляцию процессов, выполняющих функции Интернет-серверов и уменьшение последствий атак на них. Пакет LIDS (Linux Intrusion Detection System), созданный в рамках одноименного проекта [43], направленного на создание систем обнаружения вторжений для Linux-систем, позволяет предоставить возможности для более тонкого разделения привилегий между субъектами.
В этом направлении следует отметить исследования, проводимые в 1998-2001 г. на механико-тематическом факультете, в Центре телекоммуникаций и технологий Интернет МГУ им М. В. Ломоносова, и практические результаты на их основе по внедрению мандатной политики доступа и совершенствованию механизмов ее реализации на Интернет-серверах, политика безопасности которых предъявляет повышенные требования к их защите [46].
Результаты деятельности на этом направлении совместно с другими заинтересованными организациями нашли применение при проектировании и инсталляции Интернет-серверов и создании порталов на сетях государственных ведомств.
Одним из перспективных на ближайшие годы способом доступа к корпоративным информационно-вычислительным ресурсам является Интернет-портал. В архитектуре информационных систем с таким сценарием доступа к ресурсам ключевым звеном, регламентирующим доступ пользователей к информации, выступает Web-сервис и центральный (корневой) Web-сервер. Он является, с одной стороны, информационным концентратором, с другой -- первым и единственным рубежом, разграничивающим доступ пользователя к ресурсам. С учетом иерархии такого сорта систем взаимодействие с ресурсами на других нижележащих уровнях происходит с помощью процессов и сервисов (может быть, других -- отличных от Web), имеющих опосредованное (от имени пользователя или даже процессов, не имеющих к нему отношения) отношение к пользователю. Взаимодействие на этих уровнях подчиняется правилам разграничения доступа, описанным выше и сталкивается с необходимостью решения задач, о которых уже упоминалось.
Принимая во внимание актуальность и высокую практическую значимость задачи, известную архитектуру и технологические решения Интернет-портала, представляется целесообразным использовать результаты в области развития и интеграции моделей и систем управления доступом, в первую очередь, на этом направлении. С учетом практической важности такой проблемы для крупной корпоративной системы с богатым информационно-вычислительным ресурсом, хороший уровень проработки задачи [49], целесообразно ее поэтапное решение на инфраструктуре одной из сетей-прототипов. В качестве таких могли бы выступать сети MSUNet МГУ им М. В. Ломоносова, RASNet Российской академии наук или, например, другие сети науки и образования.
Протоколирование и аудит
Протоколирование и аудит в системах ИБ обеспечивают возможности для реконструкции прошедших событий и их анализа с целью выявления нарушений, выработки мер к недопущению (исключению) деструктивных воздействий на объект защиты. Степень (объем) применения этого вида сервиса определяется политикой безопасности продукта или системы ИТ. С развитием и усложнением объектов защиты функции этого традиционного вида сервиса значительно расширились. В настоящее время протоколирование и аудит являются базовыми сервисами для формирования так называемых подсистем активного аудита [28,60]. В условиях отсутствия гарантированно защищенных ОС, невозможности практического пресечения организации скрытых каналов передачи данных, особенно для распределенных систем в Интернет, а также целого ряда других "объективных уязвимостей" в традиционном комплексе средств защиты, подсистемы активного аудита способны существенно повысить уровень безопасности продуктов и систем ИТ. Оперативно анализируя разноплановые результаты протоколов о состоянии подлежащего защите объекта, такая подсистема призвана оперативно обнаружить попытку (потенциальную угрозу) деструктивного воздействия и выработать меры по его предотвращению.
Перспективы создания эффективных подсистем активного аудита в значительной степени связаны с соединением в их составе всех достижений предшествующих продуктов, включая:
разработки, ориентированные на монокомпьютерные комплексы, где главную роль играют системные сенсоры, средства их анализа и выработки мер для адекватной реакции;
средства, ориентированные на распределенные структуры, сетевые сенсоры (на основе как пассивных, так и активных методов измерения), механизмы и модели анализа результатов, выработки оперативных мер противодействия деструктивным действиям извне.
Архитектура подобных комплексных систем активного аудита должна быть многоуровневой, где, например, результаты анализа на уровне отдельного компьютера или вычислительного узла, должны дополняться сведениями о состоянии сетевых межкомпьютерных взаимодействий, сетевых сервисов и т. п.
Исследования и разработка подходов к совершенствованию компонент мониторинга состояния подконтрольной системы, механизмов и моделей анализа информации на каждом из ее уровней является очень важным направлением [60].
Описание и программная реализация такой существенно распределенной подсистемы на гетерогенной среде, выполняющей сбор большого объема разноплановых данных представляет собой самостоятельную задачу, соизмеримую по сложности с описанием и программным обеспечением системы в целом. К числу основных задач на этом пути следует отнести:
описание архитектуры подсистемы, эффективно сочетающей традиционные механизмы протоколирования с нетрадиционными способами организации, оперативного поиска и манипулирования полученными данными; исследования и выбор технических средств, алгоритмических решений, способных эффективно реализовать обработку больших объемов данных мониторинга.
К разряду перспективных, с точки зрения повышения эффективности подсистем активного аудита, относится задача, связанная с реализацией механизмов и моделей анализа данных о сетевом трафике, получаемых методами активного мониторинга. На этом направлении необходимо:
исследовать закономерности в поведении сетевого трафика при "нормальном" режиме функционирования системы, сформулировать математические методы и модели, адекватно описывающие систему в таком состоянии; выбрать эффективные способы выявления "отклонений" системы от "нормы", их причины и своевременного реагирования на эти отклонения.
к их решению, механизмы, модели
Отдельные задачи, подходы к их решению, механизмы, модели и инструментальные средства, представленные на обсуждение не претендуют на полноту охвата всех вопросов, связанных с обеспечением информационной безопасности в Интернет. Они формируют лишь общее представление о положении дел и перспективах развития этого направления. С одной стороны, беспрецедентно высокие темпы развития Метасети, расширение сферы ее применения предъявляют новые требования к ее функциональности, управляемости и, в первую очередь -- защищенности. С другой стороны, приходится учитывать то обстоятельство, что технологическая база сетей пакетной коммутации на основе стека протоколов TCP/IP изначально не приспособлена для решения задач обеспечения информационной безопасности. На этом фоне многие подходы к реализации защиты информационно-вычислительных ресурсов и сетевой инфраструктуры, лежащие в их основе математические модели и алгоритмические решения требуют серьезного анализа и коренного пересмотра. От того, насколько быстро и эффективно такой пересмотр будет осуществляться, во многом зависит будущее Интернет, как основы мирового информационного пространства. Степень участия, место и роль в таких исследованиях российских специалистов во многом будут определять мощь, независимость и безопасность национального сегмента Интернет. Таких результатов, имеющих мировое звучание и признание, пока мало. Однако исходные положительные предпосылки к успеху на этом пути заключаются в традиционной силе и авторитете российских научных школ в области математики и информатики, результаты последних лет в развитии отечественной телекоммуникационной инфраструктуры и высокопроизводительных вычислений.
Проблемы математического, алгоритмического
В. А. Васенин
Вперед: Формирование политики безопасности
Вверх: