Введение

Системы защиты первого рода

Системы безопасности этого рода отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Построение концепции безопасности производится исходя из принципа необходимости защиты передаваемой информации на сетевом/транспортном или прикладном уровнях (упрощенная модель OSI). Подавляющее большинство существующих сегодня систем безопасности так или иначе реализуют эту модель.
Пример 1. Аутентификация/авторизация при помощи паролей.

1. Профили пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы (например, файл /etc/passwd в Unix-подобных операционных системах). Недостаток - взлом системы возможен методом перебора паролей (для устранения чего в Unix используется метод "теневых" (shadow) паролей).

2. Профили процессов. Подобный метод реализован в технологии аутентификации Kerberos [10], где задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли как для пользователей, так и для конечных серверов (в случае группы серверов, базу данных паролей также содержит только один (master) сервер аутентификации; остальные - лишь периодически обновляемые копии). Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один - второй предоставляется ему сервером "прозрачным" образом). Очевидно, что сервер Kerberos становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети; хотя в целом Kerberos предоставляет более сильный механизм защиты, чем метод профилей пользователей.

3. Комбинированные методы. Наличие нескольких методов защиты всегда создает дополнительные сложности для разработчиков прикладного программного обеспечения. Для устранения этого недостатка разработан ряд стандартизованных программных интерфейсов к средствам аутентификации (PAM [12], частично GSS-API [13]), которые также можно считать "бутылочным горлышком" системы безопасности.
Пример 2. Инкапсуляция передаваемой информации в специальных протоколах обмена.

1. Инфраструктуры с открытыми ключами. Использование подобных методов в коммуникациях основано на алгоритмах шифрования с открытым ключом. На этапе инициализации происходит создание пары ключей - открытого, который становится общеизвестным, и закрытого, имеющегося только у того, кто публикует открытый ключ. Суть алгоритмов шифрования с открытым ключом заключается в том, что операции шифрования и дешифрования производятся разными ключами (открытым и закрытым соответственно). Это позволяет конфиденциально общаться известному реципиенту (кто эмитирует открытые ключи) и частному отправителю информации. Наиболее широко распространены следующие системы такого рода: ISO X.509 (в особенности его реализация для WWW,- Secure Socket Layer - SSL [8]) - шифрование трафика транспортного уровня; Pretty Good Privacy (PGP) - общецелевая система шифрования с открытым ключом, наиболее широко используемая в системах электронной почты.

2. Secure Shell protocol (ssh). Протокол ssh [9] используется в Unix-системах для шифрования многих видов коммуникаций между удаленными системами (таких как копирование файлов или протокол X11). Данный протокол также использует шифрование с открытым ключом, но только на этапе установления соединений. Непосредственно транспортный трафик шифруется обычными алгоритмами: DES, 3DES, RC4 и др.

3. Комбинированные методы. Как и в предыдущем примере, наличие ряда методов делает полезным создание стандартизованного коммуникационного интерфейса для прикладных программ. Упомянутый интерфейс GSS-API представляет собой именно такое средство. Вообще следует отметить, что всем построенным на шифровании системам присущ риск компрометации путем подбора ключей шифрования. И хотя сегодня эта задача требует огромных вычислительных ресурсов, решение Министерства торговли США о разрешении экспорта технологий, использующих шифрование с длиной ключа до 128 бит, свидетельствует о серьезности подобной угрозы.
Пример 3. Ограничение информационных потоков.

1. Firewalls. Метод подразумевает создание между локальной и глобальной сетями специальных промежуточных серверов, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но, не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

2. Proxy-servers. При данном методе весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

Суммируя приведенные примеры, можно сказать, что разработка информационных систем требует параллельной разработки технологий передачи информации. Эти технологии должны инкапсулировать защиту передаваемой информации, делая сеть "надежной", хотя надежность на современном этапе понимается как надежность не на физическом уровне, а скорее на логическом (информационном).

Основной критерий, на основе которого можно выделить системы первой группы, это принцип верификации информационных пакетов. Пакет, несущий информацию о доступе некоторого субъекта к некоторому объекту, проверяется на целостность в рамках той или иной технологии, после чего предоставляется (или не предоставляется) право доступа к информационному ресурсу (объекту). В этом случае задача защиты объекта от информации субъекта доступа становится второстепенной, будучи, как предполагается, решена в результате применения защищающей технологии. К сожалению, данный подход по ряду перечисленных ниже причин не оправдывает огромных усилий, связанных с его реализацией.

Первое. Наиболее важной причиной представляется принципиальная недостаточность подобного подхода, поскольку происходит замена понятия безопасной распределенной системы на понятие надежной системы.

Второе. Появление большого количества систем защиты сопровождается сообщениями о новых случаях несанкционированного доступа и атак на различные информационные системы. Новые технологии появляются буквально в геометрической прогрессии, принося с собой новые способы доступа к информации.

Третье. Стремление к обработке наибольшего количества информации влечет за собой очевидное стремление к стандартизации, причем в процесс обработки оказывается "втянуто" наибольшее количество источников информации. Проблема заключается в том, что во многих случаях выигрыш от возникновения сбоя в технологии передачи данных оказывается гораздо выше наказания за нарушение соглашений. Сбой же, вследствие стандартизации, может возникнуть подобно "эффекту домино" просто в результате вывода каким-либо способом из строя одного из критических узлов данной технологии. Ставшая стандартной система защиты первого рода может оказаться бесполезной и в случае информационной войны. Уничтожение или просто дискредитация той или иной информационной системы, возможно, окажутся значительно эффективнее применения ракет и стратегических бомбардировщиков [4,7].

Четвертое. Создание систем защиты не может быть локализовано в области только информационных систем, а бывает связано со множеством факторов побочного характера (например человеческий фактор).

Пятое. Возможность спонтанного возникновения искусственного разума уже много лет обсуждается на страницах научно-фантастической литературы. С точки зрения синергетики [11] подобная возможность отнюдь не выглядит фантастичной, поскольку требует выполнения всего лишь двух условий для возникновения эффектов самоорганизации - создания достаточно сложной системы и наличия внешних воздействий на нее. Этим двум условиям явно удовлетворяет Internet, где мы имеем дело с целой иерархией сложностей которая подвергается воздействию со стороны миллионов пользователей.

Какова же альтернатива применению технологий защиты информации при передаче - альтернатива, которая смогла бы обеспечить более высокий уровень защиты информационных систем? Речь идет о принципиальном отказе от возможности надежной защиты передаваемой информации и, как результат, от создания таких систем, которые построены по принципу постоянного контроля за изменениями состояний системы. Чтобы пояснить это положение, рассмотрим системы первого рода несколько более формально.

Если речь идет о распределенной информационной системе, во многих случаях недостаточно четко связывается структура такой системы с методологией ее защиты. Чтобы проиллюстрировать это, необходимо ввести понятие атомарной единицы защиты информации. Данное понятие отнюдь не эквивалентно понятию объекта, поскольку призвано отразить граничное условие, когда информация, содержащаяся в некоторой системе, перестает быть защищенной, в то время как объект является атомарной единицей самой информации. Таким образом, можно определить атомарную единицу защиты информации (АЕЗИ) как целостную совокупность субъектов и объектов информационного обмена, взаимосвязи между которыми должны быть определены однозначным образом.

В качестве фундаментального принципа (и наиболее уязвимого с точки зрения безопасности фактора) рассмотренных средств защиты первого рода выступает стремление рассматривать распределенную систему в качестве АЕЗИ. Можно привести несколько примеров, позволяющих судить, насколько адекватен данный подход.
Пример 1. Компьютерная сеть.

В любой сети, как локальной, так и глобальной, мы вправе предполагать существование злоумышленника, следовательно требование целостности отвергается при самом создании распределенной системы. Тем не менее именно на подобную целостность рассчитывают средства защиты первого рода.
Пример 2. Электронная коммерция.

Сети электронной коммерции [2, 3] также не могут рассматриваться в качестве целостной системы. Более того, для них это проблема стоит более остро. С одной стороны, такие системы заинтересованы в привлечении как можно большего количества пользователей, что дает мошеннику возможность с легкостью стать абонентом системы. С другой стороны, системы электронной торговли вынуждены через единую технологию обработки транзакций полагаться именно на целостность системы. Ситуация осложняется еще и тем, что такие технологии реализуются в большинстве случаев посредством механизма анонимных электронных денег [5,6].
Пример 3. Корреспондентская сеть банков.

Стать абонентом такой сети чрезвычайно сложно, а технология обмена информацией жестко контролируется, например, государством. Тем не менее и эта система имеет ряд узких мест. Во-первых, нельзя считать, что банк не может быть заинтересован в мошенничестве. Во-вторых, мы можем вспомнить ситуацию информационной войны, когда интересы одного или нескольких банков ничто по сравнению с поражением враждебного государства. Для экономики, где 90-95% всей денежной массы является безналичной, компрометация клиринговой системы может стать решающей.