Техническая защита электронных документов в компьютерных системах

3. Разграничение доступа к документам, ресурсам ПЭВМ и сети

    Современные операционные системы все чаще  содержат встроенные средства разграничения  доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и основаны на атрибутах, сильно связанных с одним  из уровней API операционной системы. При этом неизбежно возникают проблемы, по крайней мере, следующие.

3.1. Привязка к особенностям файловой системы

    В современных операционных системах, как правило, используются не  одна, а несколько ФС – как новые, так и устаревшие. При этом обычно на новой ФС встроенное в ОС разграничение  доступа работает, а на старой –  может и не работать, так как  использует существенные отличия новой  ФС. Это обстоятельство обычно прямо  не оговаривается в сертификате, что может ввести пользователя в заблуждение. Представим, что на компьютере с новой ОС эксплуатируется программное обеспечение, разработанное для предыдущей версии, ориентированное на особенности прежней ФС. Пользователь вправе полагать, что установленные защитные механизмы, сертифицированные и предназначенные именно для используемой ОС, будут выполнять свои функции, тогда как в действительности они будут отключены. В реальной жизни такие случаи могут встречаться довольно часто – зачем переписывать прикладную задачу, сменив ОС? Более того – именно с целью обеспечения совместимости старые ФС и включаются в состав новых ОС!

2. Привязка к API операционной системы

    Как правило, операционные системы меняются сейчас очень быстро – раз в  год – полтора. Не исключено, что  будут меняться еще чаще. Некоторые  такие смены связаны с изменениями  в том числе и API – например, смена Win9x на WinNT. Если при этом  атрибуты разграничения доступа отражают состав API – с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д. и т.п.

    Таким образом, можно сформулировать общее  требование – подсистема разграничения  доступа должна быть наложенной на операционную систему, и тем самым, быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности.

    Защита  электронных документов.  

    Жизненный цикл электронного документа протекает  в трех средах существования, вложенных  одна в  другую: электронная —  среда цифровых процессов; аналоговая — среда объектов, предметов; социальная — среда мыслящих субъектов. Внешняя  оболочка — подмножество мыслящих субъектов социальной среды, образует сектор действенности документа, диктующий правила обмена информацией свои членам–субъектам, в том числе, требования к технологии взаимодействия. Если эти правила и требования выполнены, то сообщение признается документом, а содержащаяся в нем информация признается сектором как (юридический) факт — формальным основанием для возникновения, изменения, прекращения конкретных отношений между субъектами общества.

    Требования  сектора действенности можно  разделить на семантические, предъявляемые  к отображению смысла информации, и технологические, диктующие оформление документа. Семантические аспекты  являются прерогативой социальной среды, и потому здесь не рассматриваются, полагаются выполненными. При таком  условии для признания сообщения  документом необходимо, чтобы параметры  технологий, использованных при его  формировании, преобразовании, передаче и хранении, лежали бы в рамках допустимых отклонений от некоторого эталона, предписываемого сектором для документального электронного взаимодействия. Только в этом случае возникают юридические основания считать, что выполняются требования, например, по обеспечению целостности, конфиденциальности, аутентичности документа.

    Традиционный, аналоговый документ (АнД) формируется однократно в виде предмета — лист бумаги с поверхностью, раскрашенной узорами–буквами. Физические параметры предмета устойчивы к внешнему воздействию, их изменение сравнительно просто индицируется, в течение всего жизненного цикла предмет–документ не преобразуется в другой предмет, в любой момент времени АнД сосредоточен в единственной точке пространства, так что возможности несанкционированного доступа (НСД) ограничены. Выбор возможных традиционных информационных технологий узок, так что требования эталонной технологии очевидны по умолчанию. Иное дело — электронный документ (ЭлД). Легкость и простота модификации ЭлД заложена самой средой его существования: операции копирования и замены являются фундаментальными в машине Тьюринга. ЭлД многократно преобразуется в течение жизненного цикла, физическая индикация искажения ЭлД трудна. Здесь требования соответствия применяемых информационных технологий эталонным технологиям крайне значимы. Поэтому защита электронного обмена информацией включает два класса задач: обеспечение эквивалентности документа в течение его жизненного цикла исходному ЭлД — эталону; обеспечение эквивалентности примененных электронных технологий эталонным, предписываемым сектором действенности.

    В электронной среде не имеет смысла интерпретация информации как сведения, смысла, знания, факта. Для компьютера стихи и случайное число —  это множество двоичных бит, на котором  задан порядок — последовательность нулевых и единичных бит. Любые два множества отображают одну и ту же информацию, если сохраняется заданное отношение упорядоченности — если множества изоморфны [2]. Так как двоичную ограниченную последовательность всегда можно преобразовать в число, то в электронной среде информация есть число. Число не меняется во времени и пространстве, оно всегда фиксировано, статично. При хранении на диске памяти число отображается «раскраской» поверхности диска магнитными доменами с разной ориентацией. Говорят, что в памяти ЭВМ хранятся данные, которые понимаются как фиксированная форма существования электронной информации: данные — это число.

    Назначение  любой защиты — обеспечение стабильности (фиксированности!) заданных свойств  защищаемого объекта во всех точках жизненного цикла. Защищенность объекта  индицируется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта  в момент наблюдения). В нашем  случае в точке наблюдения (получения  ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом документе).  Это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологических требований, а именно – неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вариантов атрибутов могут быть защитные коды аутентификации (ЗКА), описанные в [3].    

Защита  документа при  его создании.

    При создании документа должен аппаратно  вырабатываться защитный код аутентификации (ЗКА). При этом до начала выработки  ЗКА должна быть обеспечена изолированность  программной среды (ИПС). Запись копии  электронного документа на внешние  носители до выработки ЗКА должна быть исключена. Если ЭлД порождается оператором, то ЗКА должен вырабатываться с привязкой к оператору. Если ЭлД порождается программной компонентой АС, то ЗКА должен вырабатываться с привязкой к данной программной компоненте.

    Защита  документа при  его передаче.

    Защита  документа при его передаче по внешним (открытым) каналам связи  должна выполняться на основе применения сертифицированных криптографических  средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для  каждого передаваемого документа. Возможен и другой вариант – с помощью ЭЦП подписывается пачка документов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП) – например, ЗКА.

    Защита  документа при  его обработке, хранении и исполнении.

    На  этих этапах защита документа осуществляется применением двух ЗКА - входного и  выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА  к процедуре обработки (этапу  информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается ЗКА₂ и только затем снимается ЭЦП.

    Далее:

    на  следующем этапе (n) вырабатывается ЗКА_n+1 и снимается ЗКА_n-1. Таким образом, в любой момент времени документ защищен двумя ЗКА - ЗКА_n и ЗКА_n+1. ЗКА должны вырабатываться и проверяться для документа, размещенного в оперативной памяти ЭВМ, в которой создана и поддерживается ИПС. Снятие ЗКА_n-1 выполняется после установки ЗКА_n+1.

Защита  документа при  доступе к нему из внешней среды.

    Защита  документа при доступе к нему из внешней среды включает два  уже описанных механизма - идентификация/аутентификация удаленных пользователей и разграничение  доступа к документам, ресурсам ПЭВМ и сети.   
 

    Защита  данных в каналах  связи  

    Традиционно для защиты данных в канале связи  применяют канальные шифраторы, и альтернативы этому нет. Нужно  помнить о двух вещах – о  сертификации и о том, что по каналам  передаются не только данные, но и управляющие  сигналы.  

    Защита  информационных технологий  

    Электронные документы в АС не только хранятся, но и обрабатываются. Компьютер —  это не только память, но и вычисления. При обработке документа одни данные исчезают, другие возникают, хотя информация остается той же самой. Числа меняются, а информация — нет, так как сохраняется изоморфизм между множествами двоичных сигналов при «старом» и «новом» форматах. В электронной среде принципиально должна существовать некая новая форма существования информации, соответствующая процессу преобразования данных — информация не может исчезнуть между «входом» и «выходом» процесса. Приходится допустить динамическую форму существования информации — в виде процесса. Но процесс по определению динамичен, является изменением чего-либо во времени, тогда как информация должна быть постоянной. Чтобы избежать противоречия, необходимо, чтобы динамичный процесс имел бы некую фиксированную во времени, статичную, характеристику.

    И такая характеристика существует —  фиксированность описания процесса во времени, в какой бы точке пространства (компьютере) и момент времени этот процесс ни наблюдался. Действительно, конкретный процесс обработки информации в ЭВМ определяется фиксированным алгоритмом, процедурой, протоколом. Допустив, что в электронной среде существуют две формы отображения информации: статическая — в форме объекта, динамическая — в форме процесса, мы тем самым допустили два кардинально отличных класса элементов электронной среды. Коль скоро первый класс определен как числа, то второй класс логично назвать функциями (преобразованиями, отображениями). На «вход» функции поступают числа–данные, на «выходе» появляются новые числа–данные. В любой момент времени и в любой точке пространства функция остается функцией. Функция (или родственные понятия – отображение, алгоритм, преобразование), – неизменны.

    В пассивной форме (хранение) ЭлД есть фиксированный объект в аналоговой среде (устройство памяти), в активизированной форме ЭлД существует как фиксированный процесс в электронной среде. Соответственно, выделим две составляющих защиты: защита данных (чисел) — собственно ЭлД как физического объекта; защита процессов (функций), реализующих активизированную форму существования ЭлД. Информация–данные определяется как множество с заданным на нем отношением порядка. Защита функций, т.е. алгоритмов, означает защиту вычислительной среды, инвариантной к той информации, тем данным, которые в ней обрабатываются. Электронная технология также есть упорядоченное множество (операций, процессов), и потому формально может быть признана как информация – технология. Выявляется внутреннее единство составляющих защиты — это защита информации – данных и защита информации – технологии.

    Таким образом, статус документа предполагает не только идентичность (соответствие эталону) собственно документа, но и  соответствие эталонным требованиям  примененных информационных технологий.

    Несмотря  на известное сходство, механизмы  защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При защите информации – технологии, в отличие от защиты ЭлД, достоверно известны характеристики требуемой технологии — эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией — о результате. Единственным объектом, который может нести информацию о фактической технологии (как последовательности операций), является собственно ЭлД, а точнее – входящие в него атрибуты. Как и ранее, одним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее количество функциональных операций  привязывается к сообщению через ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того – можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответствующей операции, а значение ЗКА – характеризует целостность сообщения на данном этапе технологического процесса.