Техническая защита электронных документов в компьютерных системах

Техническая защита электронных  документов в компьютерных системах.

  

 

    В соответствии с  информация представляет собой результат отражения движения объектов материального мира в системах живой природы.

    Информация  обращается в коллективе однотипных организмов в форме сведений и сообщений. Сведения образуются в результате отражения организмами объектов материального мира, в том числе сообщений. Сообщения образуются организмами для передачи сведений другим организмам, содержат совокупность передаваемых сведений, и представляют собой набор знаков, с помощью которого сведения могут быть переданы другому организму и восприняты им.

    Преобразование  сведений в сообщения и сообщений  в сведения осуществляется человеком с использованием алгоритмов кодирования и декодирования поступившего набора знаков в элементы его «информационной» модели мира.

    Таким образом, информация в форме сведений порождается в голове человека (и  только там), и защите техническими методами не подлежит.   

    До  последнего времени проблематика технической  защиты исчерпывалась защитой компьютеров  от НСД, разграничением доступа к  данным, сетевой защитой – и  все. Причем ни на одном из этих этапов не рассматривался (парадокс!) вопрос о  том, что именно мы защищаем. Очевидно, что если завод производит чайники, а фабрика – ботинки, то возможным  объектом преступных посягательств  они и будут. Компьютерные системы  не производят информацию. Они обрабатывают одни сообщения и вырабатывают другие. А что производит информационная система? Что следует защищать?

    Если  мы согласны, что не информацию, то остается определить, что.

    Результатом работы информационных систем является спам (информационный мусор) и электронные  документы (ЭлД). То, что не является документом, в народе называют «Филькиной грамотой». Структурированные и объединенные в массивы, ЭлД-ты представляют собой информационные ресурсы (ИР). ИР обладают ценностью тогда и только тогда, когда они:

    -                полны

    -                аутентичны

    -                доступны

    -                актуальны

    Для того чтобы сообщение являлось электронным  документом, оно необходимо должно включать в свой состав ряд атрибутов, удостоверяющих соблюдение специальных требований к конечному продукту высоких технологий, признаваемому социальной средой как юридический факт. Должно обеспечиваться соблюдение технических и технологических требований изготовления и транспортировки документа, выполнение которых должно еще и документироваться тем или иным общепризнанным способом.

    Подчеркнем  еще раз – в информационных системах производятся электронные  документы. В процессе изготовления ЭлД участвуют такие объекты, как:

    -                компьютеры

    -                данные (другие ЭлД)

    -                сетевые (телекоммуникационные) средства

    -                и информационные технологии.

    Важное  событие последнего десятилетия  в области технической защиты информации – это появление и  развитие концепции аппаратной защиты. Основные идеи аппаратной защиты состоят в следующем:

• признании мультипликативной парадигмы защиты, и, как следствие, равное внимание реализации контрольных процедур на всех этапах работы информационной системы (защищенность системы не выше защищенности самого слабого звена);
• «материалистическом» решении «основного вопроса» информационной безопасности: «Что первично – hard или soft?»;
• последовательном отказе от программных методов контроля, как очевидно ненадежных (попытка с помощью программных средств проконтролировать правильность других программных средств эквивалентна попытке решения неразрешимой задачи о самоприменимости, – «синдром Мюнхгаузена») и перенос наиболее критичных контрольных процедур на аппаратный уровень («принцип Архимеда», в соответствии с которым должна быть создана «точка опоры», аппаратно реализующая контрольные процедуры);
• максимально возможном разделении условно-постоянных (программы) и условно-переменных (данные) элементов контрольных операций (принцип «отчуждай и властвуй»).

 

 

    Необходимость защиты информационных технологий была осознана лишь в последнее время. До сих пор в сознании общества электронный документ воспринимается как файл, подписанный ЭЦП. Это  неправильно. Вот две иллюстрации  – шифрограмма и денежная купюра. И шифрограмма, и купюра не имеют  ни подписей, ни печатей – но документами  являются. Почему мы воспринимаем их как  документы? Лишь потому (и этого достаточно), что доверяем технологии их изготовления. Если командир воинской части получает расшифровку приказа своего начальства из рук шифровальщика – он имеет все основания воспринимать полученный текст как документ (приказ). А если тот же текст окажется на рабочем столе неизвестно как – впору проводить служебное расследование. Для этого есть свои методы, мало известные в широких кругах. По-другому дело обстоит с купюрами – редко кто из нас получает их непосредственно из фабрики Госзнака. Чаще пути, которыми купюры попадают к нам – известны не досконально. И поведение наше отличается – купюры, полученные в отделении Сбербанка мы, как правило, лишь пересчитываем, а вот сдачу из рук рыночного торговца не грех и изучить на предмет подлинности внимательнее.

    Технология  электронного взаимодействия должна соответствовать  сертифицированному эталону, ее соблюдение должно контролироваться.   

    В процессе информационного взаимодействия на разных его этапах заняты люди (операторы, пользователи) и используются средства информатизации – технические (ПЭВМ, ЛВС) и программные (ОС, ППО). Сведения порождаются людьми, затем преобразовываются в данные и представляются в АС в виде электронных документов, объединенных в информационные ресурсы. Данные между компьютерами передаются по каналам связи. В процессе работы АС данные (ЭлД) преобразовываются в соответствии с реализуемой информационной технологией. В соответствии с этим, в мероприятиях по технической защите можно выделить:

    1.            аутентификацию участников информационного взаимодействия

    2.            защиту технических средств от НСД

    3.            разграничение доступа к документам, ресурсам ПЭВМ и сети

    4.            защиту электронных документов

    5.            защиту данных в каналах связи

    6.            защиту информационных технологий

    7.            разграничение доступа к потокам данных.   

    Последнее связано с тем, что не только данные в каналах связи, но и сами каналы нуждаются в защите. Действительно, в настоящее время совершенно невозможно создать сколько-нибудь масштабную систему на выделенных каналах  – это дорого, неэффективно, нерентабельно. Почти невозможно полностью загрузить  выделенный канал. Существующие каналы заняты едва ли на 10%. Очевидный, напрашивающийся  вывод – организация виртуальных  частных сетей (VPN) на существующих каналах. Для этого необходимо обеспечить «туннелирование» потоков данных – данные в различных VPN, реализованных на общих каналах, должны быть изолированы. Доступ к ним должен быть разграничен.

    Заметим, что пункты 1, 2, 3, 5 и отчасти 7 в  совокупности и составляют предмет  традиционно понимаемой «защиты  информации». Очевидно, что реально  предмет гораздо шире, есть еще, по крайней мере, пункты 4 и 6. Этим вполне можно объяснить отсутствие значимых успехов в традиционных подходах к решению практических задач.  

    Еще раз, уточнив, перечислим некоторые  требования к реализации этапов защиты.

    Как дом кладут из кирпичей (или собирают из блоков), так и информационную систему собирают из готовых элементов, разрабатывая, как правило, лишь небольшую  прикладную составляющую (естественно, важнейшую, так как ею определяется функциональность системы). Здесь уместно  вспомнить мультипликативную парадигму  защиты, а именно – уровень информационной безопасности не выше обеспечиваемой самым слабым звеном. Для нас это  означает, что в случае использования  готовых «блоков» их нужно выбирать так, чтобы уровень защиты каждого  из них был не ниже того, который  требуется для системы в целом. Включая и защиту информационных технологий, и защиту электронных  документов. Незащищенность как одного, так и другого, сводит на нет усилия в остальных направлениях.  

    Аутентификация  участников информационного взаимодействия   

    Идентификация/ аутентификация (ИА) операторов.

    ИА  должна выполняться аппаратно до этапа загрузки ОС. Базы данных ИА должны храниться в энергонезависимой  памяти СЗИ, организованной так, чтобы  доступ к ней средствами ПЭВМ был  невозможен, т.е. энергонезависимая  память должна быть размещена вне  адресного пространства ПЭВМ. Программное  обеспечение контроллера должно храниться в памяти контроллера, защищенной от несанкционированных модификаций. Целостность ПО контроллера должна обеспечиваться технологией изготовления контроллера СЗИ. Идентификация должна осуществляться с применением отчуждаемого носителя информации.  

    Идентификация/ аутентификация удаленных пользователей

    Как и в предыдущем пункте, необходима аппаратная реализация. Аутентификация возможна различными способами, включая  ЭЦП. Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения процедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы  при преодолении защиты злоумышленник  не мог нанести ощутимого ущерба.   

    Защита  технических средств  от НСД  

    Средства  защиты компьютеров от НСД можно  разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие  – способ реализации контроля целостности. Электронные замки аппаратно  выполняют процедуры И/А пользователя, но вынуждены прибегать к использованию  внешнего ПО для выполнения процедур контроля целостности. АМДЗ аппаратно  реализуют как функции ЭЗ, так  и функции контроля целостности  и функции администрирования. В результате работы АМДЗ обеспечивается не только И/А пользователя, но и осуществляется доверенная загрузка операционной системы – важнейшая функция для построения изолированной программной среды (ИПС). Функционально АМДЗ значительно полнее, чем ЭЗ, они требуют аппаратной (без использования ресурсов ОС) реализации сложных функций, таких, как разбор файловых систем, обеспечение чтения реальных данных и др. При этом, за счет интеграции контрольных функций в аппаратуре, АМДЗ обеспечивает также более высокую надежность и доверенность результатов.   

    Контроль  целостности технического состава  ПЭВМ и ЛВС

    Контроль  целостности технического состава  ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролироваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе:

    -    центральный процессор,

    -    системный BIOS,

    -    дополнительный BIOS,

    -    вектора прерываний INT 13 и INT 40,

    -    CMOS, в том числе гибких дисков, жестких дисков и CD-ROM.

    Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной  аутентификации сети. Процедура должна выполняться на этапе подключения проверенной ПЭВМ к сети и далее через заранее определенные администратором безопасности интервалы времени.

    Усиленная аутентификация должна выполняться  с применением рекомендованного варианта аппаратного датчика случайных  чисел. Качество работы датчика должно контролироваться системой рекомендованных  тестов.  

    Контроль  целостности ОС

    Контроль  целостности системных областей и файлов ОС должен выполняться контроллером до загрузки ОС, чем обеспечивается механизм чтения реальных данных. Так  как в электронном документообороте могут использоваться различные  ОС, то встроенное в контроллер ПО должно обеспечивать разбор наиболее популярных файловых систем.

    Целостность данного ПО должно гарантироваться  технологией изготовления контроллеров СЗИ.

    Защита  ПО от несанкционированных модификаций  должна обеспечиваться аппаратными  средствами контроллера.

    Для контроля целостности должна применяться  известная (опубликованная) хэш-функция, эталонное значение которой должно храниться в энергонезависимой  памяти контроллера, защищенной аппаратно  от доступа из ПЭВМ.  

    Контроль  целостности ППО  и данных

    Контроль  целостности ППО и данных может  выполняться как аппаратной компонентой, так и программной компонентой  СЗИ в том случае, если ее целостность  была зафиксирована аппаратно на предыдущем этапе. Для контроля целостности  должна применяться известная (опубликованная) хэш-функция, эталонное значение которой  должно аутентифицироваться с помощью  отчуждаемого технического носителя информации (идентификатора).