Техническая защита электронных документов в компьютерных системах. Конявский В.А. В соответствии с [1], информация представляет собой результат отражения движения объектов материального мира в системах живой природы. Информация обращается в коллективе однотипных организмов в форме сведений и сообщений. Сведения образуются в результате отражения организмами объектов материального мира, в том числе сообщений. Сообщения образуются организмами для передачи сведений другим организмам, содержат совокупность передаваемых сведений, и представляют собой набор знаков, с помощью которого сведения могут быть переданы другому организму и восприняты им. Преобразование сведений в сообщения и сообщений в сведения осуществляется человеком с использованием алгоритмов кодирования и декодирования поступившего набора знаков в элементы его «информационной» модели мира. Таким образом, информация в форме сведений порождается в голове человека (и только там), и защите техническими методами не подлежит. До последнего времени проблематика технической защиты исчерпывалась защитой компьютеров от НСД, разграничением доступа к данным, сетевой защитой – и все. Причем ни на одном из этих этапов не рассматривался (парадокс!) вопрос о том, что именно мы защищаем. Очевидно, что если завод производит чайники, а фабрика – ботинки, то возможным объектом преступных посягательств они и будут. Компьютерные системы не производят информацию. Они обрабатывают одни сообщения и вырабатывают другие. А что производит информационная система? Что следует защищать? Если мы согласны, что не информацию, то остается определить, что. Результатом работы информационных систем является спам (информационный мусор) и электронные документы (ЭлД). То, что не является документом, в народе называют «Филькиной грамотой». Структурированные и объединенные в массивы, ЭлД-ты представляют собой информационные ресурсы (ИР). ИР обладают ценностью тогда и только тогда, когда они: - полны - аутентичны - доступны - актуальны Для того чтобы сообщение являлось электронным документом, оно необходимо должно включать в свой состав ряд атрибутов, удостоверяющих соблюдение специальных требований к конечному продукту высоких технологий, признаваемому социальной средой как юридический факт. Должно изготовления обеспечиваться и соблюдение транспортировки технических документа, и выполнение документироваться тем или иным общепризнанным способом. технологических которых требований должно еще и Подчеркнем еще раз – в информационных системах производятся электронные документы. В процессе изготовления ЭлД участвуют такие объекты, как: - компьютеры - данные (другие ЭлД) - сетевые (телекоммуникационные) средства - и информационные технологии. Важное событие последнего десятилетия в области технической защиты информации – это появление и развитие концепции аппаратной защиты. Основные идеи аппаратной защиты состоят в следующем [3]: признании мультипликативной парадигмы защиты, и, как следствие, равное внимание реализации контрольных процедур на всех этапах работы информационной системы (защищенность системы не выше защищенности самого слабого звена); «материалистическом» решении «основного вопроса» информационной безопасности: «Что первично – hard или soft?»; последовательном отказе от программных методов контроля, как очевидно ненадежных правильность (попытка других с помощью программных программных средств неразрешимой задачи о самоприменимости, – наиболее критичных контрольных процедур средств эквивалентна проконтролировать попытке решения «синдром Мюнхгаузена») и перенос на аппаратный уровень («принцип Архимеда», в соответствии с которым должна быть создана «точка опоры», аппаратно реализующая контрольные процедуры); максимально возможном разделении условно-постоянных (программы) и условно- переменных (данные) элементов контрольных операций (принцип «отчуждай и властвуй»). Необходимость защиты информационных технологий была осознана лишь в последнее время. До сих пор в сознании общества электронный документ воспринимается как файл, подписанный ЭЦП. Это неправильно. Вот две иллюстрации – шифрограмма и денежная купюра. И шифрограмма, и купюра не имеют ни подписей, ни печатей – но документами являются. Почему мы воспринимаем их как документы? Лишь потому (и этого достаточно), что доверяем технологии их изготовления. Если командир воинской части получает расшифровку приказа своего начальства из рук шифровальщика – он имеет все основания воспринимать полученный текст как документ (приказ). А если тот же текст окажется на рабочем столе неизвестно как – впору проводить служебное расследование. Для этого есть свои методы, мало известные в широких кругах. Подругому дело обстоит с купюрами – редко кто из нас получает их непосредственно из фабрики Госзнака. Чаще пути, которыми купюры попадают к нам – известны не досконально. И поведение наше отличается – купюры, полученные в отделении Сбербанка мы, как правило, лишь пересчитываем, а вот сдачу из рук рыночного торговца не грех и изучить на предмет подлинности внимательнее. Технология электронного взаимодействия должна соответствовать сертифицированному эталону, ее соблюдение должно контролироваться. В процессе информационного взаимодействия на разных его этапах заняты люди (операторы, пользователи) и используются средства информатизации – технические (ПЭВМ, ЛВС) и программные (ОС, ППО). Сведения порождаются людьми, затем преобразовываются в данные и представляются в АС в виде электронных документов, объединенных в информационные ресурсы. Данные между компьютерами передаются по каналам связи. В процессе работы АС данные (ЭлД) преобразовываются в соответствии с реализуемой информационной технологией. В соответствии с этим, в мероприятиях по технической защите можно выделить: 1. аутентификацию участников информационного взаимодействия 2. защиту технических средств от НСД 3. разграничение доступа к документам, ресурсам ПЭВМ и сети 4. защиту электронных документов 5. защиту данных в каналах связи 6. защиту информационных технологий 7. разграничение доступа к потокам данных. Последнее связано с тем, что не только данные в каналах связи, но и сами каналы нуждаются в защите. Действительно, в настоящее время совершенно невозможно создать сколько-нибудь масштабную систему на выделенных каналах – это дорого, неэффективно, нерентабельно. Почти невозможно полностью загрузить выделенный канал. Существующие каналы заняты едва ли на 10%. Очевидный, напрашивающийся вывод – организация виртуальных частных сетей (VPN) на существующих каналах. Для этого необходимо обеспечить «туннелирование» потоков данных – данные в различных VPN, реализованных на общих каналах, должны быть изолированы. Доступ к ним должен быть разграничен. Заметим, что пункты 1, 2, 3, 5 и отчасти 7 в совокупности и составляют предмет традиционно понимаемой «защиты информации». Очевидно, что реально предмет гораздо шире, есть еще, по крайней мере, пункты 4 и 6. Этим вполне можно объяснить отсутствие значимых успехов в традиционных подходах к решению практических задач. Еще раз [3], уточнив, перечислим некоторые требования к реализации этапов защиты. Как дом кладут из кирпичей (или собирают из блоков), так и информационную систему собирают из готовых элементов, разрабатывая, как правило, лишь небольшую прикладную составляющую (естественно, важнейшую, так как ею определяется функциональность системы). Здесь уместно вспомнить мультипликативную парадигму защиты, а именно – уровень информационной безопасности не выше обеспечиваемой самым слабым звеном. Для нас это означает, что в случае использования готовых «блоков» их нужно выбирать так, чтобы уровень защиты каждого из них был не ниже того, который требуется для системы в целом. Включая и защиту информационных технологий, и защиту электронных документов. Незащищенность как одного, так и другого, сводит на нет усилия в остальных направлениях. 1. Аутентификация участников информационного взаимодействия Идентификация/ аутентификация (ИА) операторов. ИА должна выполняться аппаратно до этапа загрузки ОС. Базы данных ИА должны храниться в энергонезависимой памяти СЗИ, организованной так, чтобы доступ к ней средствами ПЭВМ был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПЭВМ. Программное обеспечение контроллера должно храниться в памяти контроллера, защищенной от несанкционированных модификаций. Целостность ПО контроллера должна обеспечиваться технологией изготовления контроллера СЗИ. Идентификация должна осуществляться с применением отчуждаемого носителя информации. Идентификация/ аутентификация удаленных пользователей Как и в предыдущем пункте, необходима аппаратная реализация. Аутентификация возможна различными способами, включая ЭЦП. Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения процедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты злоумышленник не мог нанести ощутимого ущерба. 2. Защита технических средств от НСД Средства защиты компьютеров от НСД можно разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие – способ реализации контроля целостности. Электронные замки аппаратно выполняют процедуры И/А пользователя, но вынуждены прибегать к использованию внешнего ПО для выполнения процедур контроля целостности. АМДЗ аппаратно реализуют как функции ЭЗ, так и функции контроля целостности и функции администрирования. В результате работы АМДЗ обеспечивается не только И/А пользователя, но и осуществляется доверенная загрузка операционной системы – важнейшая функция для построения изолированной программной среды (ИПС). Функционально АМДЗ значительно полнее, чем ЭЗ, они требуют аппаратной (без использования ресурсов ОС) реализации сложных функций, таких, как разбор файловых систем, обеспечение чтения реальных данных и др. При этом, за счет интеграции контрольных функций в аппаратуре, АМДЗ обеспечивает также более высокую надежность и доверенность результатов. Контроль целостности технического состава ПЭВМ и ЛВС Контроль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролироваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе: - центральный процессор, - системный BIOS, - дополнительный BIOS, - вектора прерываний INT 13 и INT 40, - CMOS, в том числе гибких дисков, жестких дисков и CD-ROM. Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенной ПЭВМ к сети и далее через заранее определенные администратором безопасности интервалы времени. Усиленная варианта аутентификация аппаратного датчика должна выполняться случайных чисел. с применением Качество работы рекомендованного датчика должно контролироваться системой рекомендованных тестов. Контроль целостности ОС Контроль целостности системных областей и файлов ОС должен выполняться контроллером до загрузки ОС, чем обеспечивается механизм чтения реальных данных. Так как в электронном документообороте могут использоваться различные ОС, то встроенное в контроллер ПО должно обеспечивать разбор наиболее популярных файловых систем. Целостность данного ПО должно гарантироваться технологией изготовления контроллеров СЗИ. Защита ПО от несанкционированных модификаций должна обеспечиваться аппаратными средствами контроллера. Для контроля целостности должна применяться известная (опубликованная) хэш-функция, эталонное значение которой должно храниться в энергонезависимой памяти контроллера, защищенной аппаратно от доступа из ПЭВМ. Контроль целостности ППО и данных Контроль целостности ППО и данных может выполняться как аппаратной компонентой, так и программной компонентой СЗИ в том случае, если ее целостность была зафиксирована аппаратно на предыдущем этапе. Для контроля целостности должна применяться известная (опубликованная) хэш-функция, эталонное значение которой должно аутентифицироваться с помощью отчуждаемого технического носителя информации (идентификатора). 3. Разграничение доступа к документам, ресурсам ПЭВМ и сети Современные операционные системы все чаще содержат встроенные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и основаны на атрибутах, сильно связанных с одним из уровней API операционной системы. При этом неизбежно возникают проблемы, по крайней мере, следующие. 3.1. Привязка к особенностям файловой системы В современных операционных системах, как правило, используются не одна, а несколько ФС – как новые, так и устаревшие. При этом обычно на новой ФС встроенное в ОС разграничение доступа работает, а на старой – может и не работать, так как использует существенные отличия новой ФС. Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Представим, что на компьютере с новой ОС эксплуатируется программное обеспечение, разработанное для предыдущей версии, ориентированное на особенности прежней ФС. Пользователь вправе полагать, что установленные защитные механизмы, сертифицированные и предназначенные именно для используемой ОС, будут выполнять свои функции, тогда как в действительности они будут отключены. В реальной жизни такие случаи могут встречаться довольно часто – зачем переписывать прикладную задачу, сменив ОС? Более того – именно с целью обеспечения совместимости старые ФС и включаются в состав новых ОС! 3.2. Привязка к API операционной системы Как правило, операционные системы меняются сейчас очень быстро – раз в год – полтора. Не исключено, что будут меняться еще чаще. Некоторые такие смены связаны с изменениями в том числе и API – например, смена Win9x на WinNT. Если при этом атрибуты разграничения доступа отражают состав API – с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д. и т.п. Таким образом, можно сформулировать общее требование – подсистема разграничения доступа должна быть наложенной на операционную систему, и тем самым, быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности. Защита электронных документов 4. Жизненный цикл электронного документа протекает в трех средах существования, вложенных одна в другую: электронная — среда цифровых процессов; аналоговая — среда объектов, предметов; социальная — среда мыслящих субъектов. Внешняя оболочка — подмножество мыслящих субъектов социальной среды, образует сектор действенности документа, диктующий правила обмена информацией свои членам–субъектам, в том числе, требования к технологии взаимодействия. Если эти правила и требования выполнены, то сообщение признается документом, а содержащаяся в нем информация признается сектором как (юридический) факт — формальным основанием для возникновения, изменения, прекращения конкретных отношений между субъектами общества. Требования сектора действенности можно разделить на семантические, предъявляемые к отображению смысла информации, и технологические, диктующие оформление документа. Семантические аспекты являются прерогативой социальной среды, и потому здесь не рассматриваются, полагаются выполненными. При таком условии для признания сообщения документом необходимо, чтобы параметры технологий, использованных при его формировании, преобразовании, передаче и хранении, лежали бы в рамках допустимых отклонений от некоторого эталона, предписываемого сектором для документального электронного взаимодействия. Только в этом случае возникают юридические основания считать, что выполняются требования, например, по обеспечению целостности, конфиденциальности, аутентичности документа. Традиционный, аналоговый документ (АнД) формируется однократно в виде предмета — лист бумаги с поверхностью, раскрашенной узорами–буквами. Физические параметры предмета устойчивы к внешнему воздействию, их изменение сравнительно просто индицируется, в течение всего жизненного цикла предмет–документ не преобразуется в другой предмет, в любой момент времени АнД сосредоточен несанкционированного в доступа единственной (НСД) точке ограничены. пространства, Выбор так что возможных возможности традиционных информационных технологий узок, так что требования эталонной технологии очевидны по умолчанию. Иное дело — электронный документ (ЭлД). Легкость и простота модификации ЭлД заложена самой средой его существования: операции копирования и замены являются фундаментальными в машине Тьюринга. ЭлД многократно преобразуется в течение жизненного цикла, физическая индикация искажения ЭлД трудна. Здесь требования соответствия применяемых информационных технологий эталонным технологиям крайне значимы. Поэтому защита электронного обмена информацией включает два класса задач: обеспечение эквивалентности документа в течение его жизненного цикла исходному ЭлД — эталону; обеспечение эквивалентности примененных электронных технологий эталонным, предписываемым сектором действенности. В электронной среде не имеет смысла интерпретация информации как сведения, смысла, знания, факта. Для компьютера стихи и случайное число — это множество двоичных бит, на котором задан порядок — последовательность нулевых и единичных бит. Любые два множества отображают одну и ту же информацию, если сохраняется заданное отношение упорядоченности — если множества изоморфны [2]. Так как двоичную ограниченную последовательность всегда можно преобразовать в число, то в электронной среде информация есть число. Число не меняется во времени и пространстве, оно всегда фиксировано, статично. При хранении на диске памяти число отображается «раскраской» поверхности диска магнитными доменами с разной ориентацией. Говорят, что в памяти ЭВМ хранятся данные, которые понимаются как фиксированная форма существования электронной информации: данные — это число. Назначение любой защиты — обеспечение стабильности (фиксированности!) заданных свойств защищаемого объекта во всех точках жизненного цикла. Защищенность объекта индицируется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). В нашем случае в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом документе). Это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологических требований, а именно – неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вариантов атрибутов могут быть защитные коды аутентификации (ЗКА), описанные в [3]. Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации (ЗКА). При этом до начала выработки ЗКА должна быть обеспечена изолированность программной среды (ИПС). Запись копии электронного документа на внешние носители до выработки ЗКА должна быть исключена. Если ЭлД порождается оператором, то ЗКА должен вырабатываться с привязкой к оператору. Если ЭлД порождается программной компонентой АС, то ЗКА должен вырабатываться с привязкой к данной программной компоненте. Защита документа при его передаче. Защита документа при его передаче по внешним (открытым) каналам связи должна выполняться на основе применения сертифицированных криптографических средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант – с помощью ЭЦП подписывается пачка документов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП) – например, ЗКА. Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается ЗКА2 и только затем снимается ЭЦП. Далее: на следующем этапе (n) вырабатывается ЗКАn+1 и снимается ЗКАn-1. Таким образом, в любой момент времени документ защищен двумя ЗКА - ЗКАn и ЗКАn+1. ЗКА должны вырабатываться и проверяться для документа, размещенного в оперативной памяти ЭВМ, в которой создана и поддерживается ИПС. Снятие ЗКАn-1 выполняется после установки ЗКАn+1. Защита документа при доступе к нему из внешней среды. Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удаленных пользователей и разграничение доступа к документам, ресурсам ПЭВМ и сети. 5. Защита данных в каналах связи Традиционно для защиты данных в канале связи применяют канальные шифраторы, и альтернативы этому нет. Нужно помнить о двух вещах – о сертификации и о том, что по каналам передаются не только данные, но и управляющие сигналы. 6. Защита информационных технологий Электронные документы в АС не только хранятся, но и обрабатываются. Компьютер — это не только память, но и вычисления. При обработке документа одни данные исчезают, другие возникают, хотя информация остается той же самой. Числа меняются, а информация — нет, так как сохраняется изоморфизм между множествами двоичных сигналов при «старом» и «новом» форматах. В электронной среде принципиально должна существовать некая новая форма существования информации, соответствующая процессу преобразования данных — информация не может исчезнуть между «входом» и «выходом» процесса. Приходится допустить динамическую форму существования информации — в виде процесса. Но процесс по определению динамичен, является изменением чего-либо во времени, тогда как информация должна быть постоянной. Чтобы избежать противоречия, необходимо, чтобы динамичный процесс имел бы некую фиксированную во времени, статичную, характеристику. И такая характеристика существует — фиксированность описания процесса во времени, в какой бы точке пространства (компьютере) и момент времени этот процесс ни наблюдался. Действительно, конкретный процесс обработки информации в ЭВМ определяется фиксированным алгоритмом, процедурой, протоколом. Допустив, что в электронной среде существуют две формы отображения информации: статическая — в форме объекта, динамическая — в форме процесса, мы тем самым допустили два кардинально отличных класса элементов электронной среды. Коль скоро первый класс определен как числа, то второй класс логично назвать функциями (преобразованиями, отображениями). На «вход» функции поступают числа–данные, на «выходе» появляются новые числа–данные. В любой момент времени и в любой точке пространства функция остается функцией. Функция (или родственные понятия – отображение, алгоритм, преобразование), – неизменны. В пассивной форме (хранение) ЭлД есть фиксированный объект в аналоговой среде (устройство памяти), в активизированной форме ЭлД существует как фиксированный процесс в электронной среде. Соответственно, выделим две составляющих защиты: защита данных (чисел) — собственно ЭлД как физического объекта; защита процессов (функций), реализующих активизированную форму существования ЭлД. Информация–данные определяется как множество с заданным на нем отношением порядка. Защита функций, т.е. алгоритмов, означает защиту вычислительной среды, инвариантной к той информации, тем данным, которые в ней обрабатываются. Электронная технология также есть упорядоченное множество (операций, процессов), и потому формально может быть признана как информация – технология. Выявляется внутреннее единство составляющих защиты — это защита информации – данных и защита информации – технологии. Таким образом, статус документа предполагает не только идентичность (соответствие эталону) собственно документа, но и соответствие эталонным требованиям примененных информационных технологий. Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При защите информации – технологии, в отличие от защиты ЭлД, достоверно известны характеристики требуемой технологии — эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией — о результате. Единственным объектом, который может нести информацию о фактической технологии (как последовательности операций), является собственно ЭлД, а точнее – входящие в него атрибуты. Как и ранее, одним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее количество функциональных операций привязывается к сообщению через ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того – можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответствующей операции, а значение ЗКА – характеризует целостность сообщения на данном этапе технологического процесса. 7. Разграничение доступа к потокам данных. Для целей разграничения доступа к потокам данных используются, как правило, маршрутизаторы с функцией «VPN – построителя». Надежно эта функция может быть реализована только с помощью криптографических средств. Как всегда в таких случаях – особое внимание должно уделяться ключевой системе и надежности хранения ключей. Естественно, что требования к политике доступа при разграничении потоков совершенно отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм – доступ разрешен или запрещен. Выполнение перечисленных требований обеспечивает достаточный уровень защищенности электронных документов как важнейшего вида сообщений, обрабатываемых в информационных системах. Литература. 1. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы. – М.: «МЦНМО», 2002. – 296 с. 2. Гадасин В.А., Конявский В.А. От документа – к электронному документу. Системные основы. – М.: «РФК-Имидж Лаб», 2001- 192с. 3. Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». — М.: «Радио и связь», 1999. — 325 с. Источник: http://www.morepc.ru/security/sec270303.html