поиск по сайту
Развитие средств технической защиты информации
В.А. Конявский, д.т.н., директор ВНИИПВТИ,
член научного совета Совета Безопасности России

Развитие средств технической защиты информации

Для того, чтобы оценить перспективы развития технических средств защиты информации, нужно в первую оценить состояние развития среды, влияющей на объект защиты. Необходимо понять, как развиваются технические средства вычислительной техники (программные и аппаратные), появились ли новые угрозы, и если да, то какие.

Операционные системы. Сложность ОС как новая угроза

Развитие операционных систем можно описать (естественно, упрощенно) через дихотомию <универсальная - специализированная>. Так, ОС разработки корпорации <Майкрософт> обычно позиционируются как универсальные - например, MS DOS, MS Windows, WFWG и так далее вплоть до сегодняшнего дня. Как универсальная позиционируется и . Несмотря на имеющиеся различия, прежде всего - в доступности кода (в одном случае код проприетарный, в другом - открытый), очевидна тенденция - универсальные ОС все более становятся специализированными и, соответственно, все менее универсальными. <Универсальные> ОС со временем специализировались для автоматизации информационных операций, и теперь могут применяться преимущественно в быту и офисе, используясь, как правило, в качестве пишущей машинки и терминала доступа к Сети. При этом практически полностью утрачена возможность применения их в специализированных применениях - при необходимости обеспечения работы в реальном масштабе времени.

Специализация к информационным операциям заставляет ОС все больше и больше <впитывать> в себя все больше и больше несвойственных ей ранее функций, упрощающих прикладное ПО, но сильно перегружающих и ОС в целом, и даже ядро ОС. ОС становится <тяжелой> (этот эпитет стал практически термином в среде программистов - они уже давно делят ОС на <тяжелые> и реального времени). <Тяжелые> ОС практически перестают быть только операционной системой - они включают в себя практически все, что необходимо для автоматизации информационных операций.

Широкое распространение компьютеров с <тяжелыми> ОС делает привлекательным использование их в других смежных сферах - например, при проектировании (домов, микросхем, радиоэлектронной аппаратуры). Сложные вычислительные операции медленно и неохотно выполняются в таких системах, и это заставляет наращивать ресурсы компьютера - увеличивать оперативную память, усложнять и расширять систему команд процессора, увеличивать тактовую частоту. Новые аппаратные ресурсы позволяют все больше и больше усложнять ОС, и так далее, и тому подобное.

Сложность уменьшает надежность, ОС становятся практически неконтролируемыми, доверие к ним падает.

Создается ситуация, при которой сложность операционной системы становится новой, рукотворной угрозой безопасности.

Архитектура ПЭВМ. Опасность периферии

Как известно, архитектура современных ПЭВМ - это архитектура фон-Неймановского типа. Для нас важно, что в таких компьютерах команды и данные не разделены, более того, они неразличимы. Одна и та же совокупность нулей и единиц в один момент может трактоваться как безобидные данные, в другой - как опасная команда. С этим связана принципиальная невозможность защиты таких компьютеров программными средствами - ведь управляет аппаратными средствами тот компонент, который первым получил управление. И если этим <первым> оказалась вредоносная программа - избавиться от нее невозможно.

После того, как эта идея была осознана, попытки защищать программы с помощью других программ получили название <Синдром Мюнгхаузена> в силу аналогичности попытки вытянуть себя за волосы из болота. Стало понятно, что нужно либо использовать специализированные компьютеры, либо, что чаще, дополнять аппаратуру компьютера специализированными средствами, которые <стартуют> первыми, и в силу этого могут обеспечить адекватность контрольных процедур. Так появилось первое активное отечественное аппаратное средство защиты информации СЗИ НСД <Аккорд>. Сейчас такие средства существуют для всех типов ПЭВМ, и, видимо, в ближайшем будущем их линейка будет развиваться параллельно развитию СВТ.

Новую ПЭВМ покупают либо тогда, когда старая окончательно сломалась (но ждать этого долго), либо когда начинает сказываться нехватка ресурсов - новые программы либо работают слишком медленно, либо не работают вообще. Значит, рынок обязательно будет организовываться так, чтобы ресурсов ПЭВМ всегда было <в обрез> - иначе либо не станут покупать новые программы, либо не станут покупать новые компьютеры. В условиях ограниченных ресурсов значительную их часть использовать для обеспечения функций безопасности означает просто вызвать раздражение пользователей замедлением работы системы и конфликтами ПО.

Конечно, целесообразно сделать так, чтобы потребляемые системой безопасности вычислительные ресурсы были изолированы. При этом как бы не расходовались выделенные на безопасность ресурсы, никакого влияния на работу функциональной системы оказываться не будет. Лучше такой подход и с точки зрения безопасности - физически разделенные вычислительные ресурсы не оказывают один на другой никакого влияния.

Здесь мы приходим к понятию аппаратного модуля безопасности - HSM (hardware security module). Как правило, это отдельный компьютер, <начиненный> различным программным обеспечением, выполняющим функции, связанные с безопасностью. Обычно это межсетевой экран, криптомаршрутизатор, сервер ЭЦП и др. С функциональной компьютерной системой HSM интегрируется обычно через сетевые интерфейсы, и в связи с этим значительно упрощается аттестация системы.

В использовании HSM, однако, есть и проблемы. В первую очередь - это их ненадежность. Дело в том, что они зачастую разрабатываются на базе обычных ПЭВМ, которые, как известно, надежностью не отличаются. И если установить такое изделие, например, для обеспечения связи, то выходить из строя оно будет значительно чаще, чем связная аппаратура, которая делается по гораздо более высоким требованиям. Кроме того, HSM в их традиционном виде свойственны вообще все проблемы обычных ПЭВМ с <универсальной> ОС, в том числе ненадежная архитектура, аппаратурная избыточность и неконтролируемый софт.

Вытекающей отсюда идеей является резидентный компонент безопасности - РКБ [1]. В отличие от HSM, РКБ не объединяется с системой по внешним интерфейсам, а включается в состав системы (является резидентным), становится неотъемлемой ее частью. Эта идеология реализована впервые в отечественной системе защиты от НСД <Аккорд>, и в силу своих характеристик быстро заняла лидирующие позиции.

В дальнейшем идеология РКБ была воспринята многими мировыми производителями систем безопасности, и даже была стандартизована на Западе как специализированный модуль для доверенных вычислений - TPM, trusted platform module. Представляется, что в дальнейшем системы на базе идеологии РКБ - TPM будут развиваться особенно эффективно.

Естественным развитием идеи РКБ - TPM для универсальных ПЭВМ с фон-Неймановской архитектурой стала идея внедрения защитных механизмов все глубже и глубже в состав аппаратных средств, вплоть до реализации блока защиты в составе процессора. Эта технология получила название .

Впервые о технологии La Grande заговорили в 2002 году. Суть ее заключается в том, что как бы <поверх> функциональных операций за счет специальных аппаратных средств организуется выполнение контрольных процедур. Для этого основные функциональные блоки компьютера снабжаются резидентными компонентами безопасности, взаимодействующими один с другим, и вырабатывающими сигнал тревоги, если нормальное течение операций нарушается.

Очевидно, что совсем несложно встроить такие РКБ в любую часть компьютера, кроме, разве что, процессора. Как объявлено, первым процессором, в котором полностью реализована поддержка La Grande, будет (или уже есть?) Prescott.

Все РКБ взаимодействуют со специализированным доверенным модулем TPM, который и принимает решение, продолжить процесс или прервать его.

На наш взгляд, именно это является правильным направлением обеспечения защиты на компьютере с фон-Неймановской архитектурой, хотя и создает новые, специфические угрозы информационным системам.

Терминальные решения сейчас переживают вторую молодость. Начав с <больших> ЭВМ, пройдя через эру персональных ЭВМ, создатели компьютерных систем вновь возвращаются к идее единого центра обработки и хранения данных. Причин на то много, и они хорошо известны. Терминальные решения дешевле в установке и эксплуатации - поскольку задача оснащенности рабочих мест, например лицензионным ПО, решается установкой его только на сервере, а не на каждой рабочей станции, то же с разного рода обновлениями и модернизациями. По той же причине терминальные решения удобнее с точки зрения обслуживания и администрирования. В общем случае они надежнее с точки зрения возможных потерь информации при инцидентах с клиентскими рабочими станциями, поскольку данные хранятся на сервере. Все это не только служит доводом в пользу применения терминальных решений, но и зачастую создает впечатление о том, что обеспечение защищенности информации в таких системах требует намного меньшего внимания, чем для системы обычных ПК - автономных или объединенных в локальную сеть.

Суть терминальной сессии осталась прежней: хранение и обработка данных происходит на сервере, к пользователю передаются изменения изображения на экране, от пользователя на сервер передаются нажатия клавиш и манипуляции с мышью.

На первый взгляд, работу пользователя в рамках терминальной сессии можно по-прежнему представить так, будто он работает непосредственно на сервере, из которого тянутся <длинные провода> к монитору, клавиатуре и мыши.

Однако в процессе <эволюции> и терминальные сервера, и терминалы значительно изменились. Это утверждение в равной мере относится как к аппаратной составляющей системы, так и к программной.

Раньше типичный терминал представлял собой только монитор, клавиатуру и блок соединения с сервером. Сегодня же <терминальная функция> - это только одна из задач. Пользователю предоставляется не терминал, а ресурсы <тонкого клиента>, которые могут обладать собственной операционной системой, собственным жестким диском, собственной периферией (дисководом, портами ввода/вывода, USB-разъемами) их уже нельзя представить как просто удаленные от терминального сервера монитор, клавиатуру и мышь.

Изменились и данные, которыми обмениваются сервер и терминал - побайтовый обмен сменился обменом сетевыми пакетами.

В рамках концепции <длинных проводов> для обеспечения защищенности достаточно решить традиционные вопросы безопасной обработки данных на сервере и обеспечить надежную передачу данных от терминального сервера к терминалу. Теперь же для надежной защиты терминальных решений недостаточно обеспечить защиту терминального сервера и коммуникаций, нужно еще защищать и <тонкие клиенты>.

Для этого в момент создания терминальной сессии со стороны терминального сервера необходимо проверять не только пользователя, но и <тонкий клиент>, а со стороны <тонкого клиента> необходимо убедиться в том, что терминальный сервер действительно тот, с которым должен работать пользователь.

Стоит обратить внимание еще на одну нешуточную опасность - опасность со стороны периферии. Дело в том, что, защищая компьютер (терминал), мы на самом деле защищаем не более, чем системный блок. И прилагаем немалые усилия, чтобы аутентифицировать абонента, находящегося на другом конце Земли, не обращая внимания на то, что ни клавиатура, ни <мышь>, ни монитор не аутентифицируются и могут быть безболезненно подменены.

Очевидно, что любого подмененного периферийного элемента компьютерной системы вполне достаточно, чтобы свести к нулю эффективность большинства систем защиты, особенно основанных на паролях. Таким образом, необходимо создавать системы, в которых периферия аутентифицируется на средство защиты. Следовательно, и периферия, и встраиваемое средство защиты должны быть активными.

Второй путь также очевиден - это создание средств, которые изначально, без встраивания СЗИ будут осуществлять контрольные функции.

Таким образом, следует ожидать появления <защищенных терминалов> с одной стороны, и средств для защиты терминальных решений - с другой стороны.

Персональные аппаратные СКЗИ

С развитием информационного общества человек становится все более тесно связан со своей персональной информационной средой, интерфейсом к которой служит, как правило, его персональный компьютер (ПК).

В результате такой <привязки> человек вынужден либо ограничивать свои перемещения, либо возить ПК с собой. То есть действовать в ущерб либо требованию мобильности, либо требованиям удобства и/или качества.

При этом достаточно очевидно, что наличие строго определенного ПК на самом деле в большинстве случаев необязательно. Как правило, персональная информационная среда, необходимая человеку в первую очередь, - это далеко не все те разнородные данные, которые есть в его компьютере, а сравнительно небольшая их часть.

Поэтому часто в ущерб требованию защищенности информации выбирают другой путь - копирование данных на различные носители и использование их на чужих компьютерах. Это связано с риском доступа к информации третьих лиц. Поэтому данные рекомендуется шифровать, но и здесь возникают различные проблемы, связанные с хранением ключевой информации, доверием к выполнению криптографических алгоритмов тем или иным техническим устройством и тому подобные.

Очевидно, что назрела необходимость в устройстве, которое позволило бы человеку сделать свою персональную информационную среду мобильной и в то же время - защищенной. Это Персональное Средство Криптографической Защиты Информации - ПСКЗИ.

Выводы

Подводя итог, можно выделить главную, на наш взгляд, тенденцию: развитие средств защиты информации будет идти по двум различным, но взаимодополняющим направлениям, а именно:

- стандартные ПЭВМ все более и более будут <впитывать> в себя лучшие достижения в области аппаратной защиты, при этом дополнительно к новому уровню <стандартности> будут необходимы лишь средства идентификации/аутентификации, которые будут активными;

- в областях, где требуется высокий уровень защищенности, будут использоваться новые специально спроектированные технические средства. Средства защиты будут все более и более приобретать черты полноценных компьютеров. Они будут содержать все стандартные для компьютеров составляющие, и при этом сохранять специализацию за счет ОС реального времени и аппаратных спецканалов. В первую очередь появятся специализированные терминалы.

Среди ближайших перспектив - средства создания персональной защищенной среды. Наиболее близко к этому подошли разработчики ПСКЗИ <ШИПКА>.

В это же время будут активно развиваться технологии HSM, со временем все более приближаясь к серверным решениям. Скорее всего, наиболее активно будут развиваться аппаратные решения на базе ОС реального времени и специализированных микропроцессоров. Обнадеживающими здесь являются решения <Инфотекс> на базе спецЭВМ разработки <ОКБ САПР>.

Чуть далее по времени, но все же недалеко - создание защищенных терминалов. На первом этапе наиболее эффективными обещают быть аппаратно-программные решения. В качестве примера можно привести совместную разработку специалистов <Ками> и <ОКБ САПР>.

Далее на очереди - создание резидентных средств сетевой защиты. Это будут средства, в которых за счет собственных ресурсов будут исполняться процедуры антивирусной защиты, межсетевого экранирования, браузера и др. Наиболее вероятным претендентом на это можно назвать проект <Аккорд-6>.

Литература:

1. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд". - М.: Радио и связь, 1999. - 328 с.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них