ВЫСШЕЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЕ
В. П. МЕЛЬНИКОВ, С.А. КЛЕЙМЕНОВ, А. М. ПЕТРАКОВ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ
Под редакцией профессора С. А. КЛЕЙМЕНОВА
Допущено Учебно-методическим объединением по университетскому политехническому образованию в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальности 230201 «Информационные системы и технологии» 3-е издание, стереотипное
ACADEMA
Москва Издательский центр «Академия» 2008
УДК 621.391(075.8)
ББК 32.81я73
М48
Рецензент — зав. кафедрой «Информационная безопасность» МГТУ им. Н.Э. Баумана, канд. техн, наук, доцент Н. В. Медведев
Мельников В.П.
М48 Информационная безопасность и защита информации : учеб, пособие для студ. высш. учеб, заведений / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под. ред. С. А. Клейменова. — 3-е изд., стер. — М. : Издательский центр «Академия», 2008. — 336 с.
ISBN 978-5-7695-4884-0
Представлены основные положения, понятия и определения обеспечения информационной безопасности деятельности общества, его различных структурных образований, организационно-правового, технического, методического, программно-аппаратного сопровождения. Особое внимание уделено проблемам методологического обеспечения деятельности как общества, так и конкретных фирм и систем (ОС, СУБД, вычислительных сетей), функционирующих в организациях и фирмах. Описаны криптографические методы и программно-аппаратные средства обеспечения информационной безопасности, защиты процессов переработки информации от вирусного заражения, разрушающих программных действий и изменений.
Для студентов высших учебных заведений.
УДК 621.391(075.8)
ББК 32.81я73
Оригинал-макет данного издания является собственностью Издательского центра «Академия», и его воспроизведение любым способом без согласия правообладателя запрещается
© Мельников В.П., Клейменов С. А., Петраков А.М., 2006
© Образовательно-издательский центр «Академия», 2006
ISBN 978-5-7695-4884-0	© Оформление. Издательский центр «Академия», 2006
ПРЕДИСЛОВИЕ
В связи с усилением взаимосвязи и взаимозависимости между государствами наблюдается активизация политической деятельности субъектов международной жизни, направленной на реализацию собственных национальных интересов. Вследствие этого обостряется геополитическая борьба между странами за обладание природными ресурсами и достижение более высокого жизненного уровня своих граждан. Формы этой борьбы различны, но ее ожесточенность и бескомпромиссный характер свидетельствуют об актуализации для каждого государства в отдельности вопросов обеспечения национальной безопасности, решения проблем выживания и развития. При этом глобализация и информационная революция XX—XXI вв. в современном мире являются определяющими, диалектически связанными между собой геополитическими процессами.
Геополитические процессы и тенденции развития мирового сообщества не являются случайными, они формируются и управляются ведущими западными государствами, прежде всего США, в ходе геополитического информационного противоборства (ГИП) на базе:
1)	политического прогнозирования развития событий при сохранении существующих тенденций и без активного вмешательства;
2)	постановки целей;
3)	формирования стратегии и тактики достижения целей;
4)	принятия (осознания) базовых ценностей существования и приоритетов развития (решения вопросов самоидентификации и цивилизационного выбора);
5)	видения и осознания существующей реальности (моделирования элементов, связей и простейших систем);
6)	поиска, сбора и обработки информации;
7)	стратегического многофакторного анализа внешнего и внутреннего положения (моделирования структур, построения сложных многоуровневых моделей взаимодействия систем);
8)	обнаружения, определения и формулирования проблем;
9)	определения информационных, временных, финансовых, организационных и прочих ресурсных ограничений;
10)	разработки конкретных технологий, методов и способов решения поставленных задач (для достижения целей);
3
11)	формулирования альтернативных вариантов решения задач;
12)	выбора критерия оценки эффективности принимаемых (реализуемых) вариантов решения задач;
13)	выбора наилучшего варианта решения и его исполнения;
14)	анализа реакции на принятое (реализованное) решение;
15)	прогнозирования последствий, к которым приведет реализация той или иной альтернативы;
16)	коррекции решения (внесения поправок на всех уровнях данной схемы).
Геополитическое информационное противоборство — одна из современных форм борьбы между государствами, а также система мер, проводимых одним государством с целью нарушения информационной безопасности (ИБ) другого государства при одновременной защите от аналогичных действий со стороны противостоящего государства.
Информационное противоборство — это форма борьбы, представляющая собой использование специальных (политических, экономических, дипломатических, военных, технических и др.) методов, способов и средств для воздействия на информационную среду противостоящей стороны и защиты собственной в интересах достижения поставленных целей.
Основные сферы ведения информационного противоборства:
•	политическая;
•	дипломатическая;
•	техническая;
•	финансово-экономическая;
•духовная;
•	военная;
•	энергоинформационная.
Для организации ГИП в России принята Доктрина информационной безопасности.
Доктрина информационной безопасности Российской Федерации (ИБ РФ), появившаяся практически одновременно с Окинавской Хартией глобального информационного общества, символизирует прочное вхождение России в единое мировое информационное сообщество. Основные положения Доктрины ИБ РФ отражают интересы России в условиях многополярного мира и полностью соответствуют глобально-космическим проблемам человечества в XXI в.
Доктрина ИБ РФ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ.
Она служит основой:
•	для формирования государственной политики в области обеспечения ИБ РФ;
4
•	подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ РФ;
•	разработки целевых программ обеспечения ИБ РФ.
Доктрина ИБ РФ развивает концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
Начало XXI в. знаменуется бурным развитием информационных технологий во всех сферах жизни человечества. При этом информация все в большей мере становится стратегическим ресурсом государства, производительной силой и дорогим товаром. Это не может не вызывать стремления государств, организаций и отдельных граждан получить преимущества за счет овладения информацией, не доступной оппонентам, а также за счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты своих информационных ресурсов. Поэтому национальная безопасность Российской Федерации существенным образом зависит от обеспечения ИБ, и в ходе технического прогресса эта зависимость будет усиливаться.
Остроту межгосударственного информационного противоборства можно наблюдать в оборонной сфере, высшей формой которой являются информационные войны в различных областях информационных технологий, в стремлении криминальных структур противоправно использовать информационные ресурсы, в необходимости обеспечения прав граждан на информационный обмен. При этом важно обеспечить конституционные права граждан на получение достоверной информации, на ее использование в интересах осуществления законной деятельности, а также на защиту информации, обеспечивающую личную безопасность, на обеспечение защиты информации в компьютерных системах (КС), являющихся материальной основой информатизации общества.
Комплексное обеспечение ИБ на всех уровнях может быть реализовано, если создана и функционирует система защиты информации, охватывающая весь жизненный цикл прохождения информации — от идеи и разработки проекта до утилизации изделия — и всю технологическую цепочку сбора, хранения, обработки и выдачи информации в КС и коммуникациях.
В данном учебном пособии описаны и раскрыты методологии обеспечения ИБ в деятельности общества, государства, фирм, систем и отдельных граждан.
В гл. 1 представлены основные положения, понятия и определения, термины, методы обеспечения ИБ РФ, различные виды и источники угроз И Б РФ. В гл. 2, 3 и 4 описано организационноправовое методологическое обеспечение ИБ деятельности общества, фирм и систем по различным направлениям ее жизненного цикла. В гл. 5 представлены программно-аппаратные средства обес
5
печения функционирования предприятий и, в частности, средства защиты персональной электронно-вычислительной машины (ПЭВМ), их программное обеспечение и данные, в том числе в типовых операционных системах (ОС), системах управления базами данных (СУБД), вычислительных сетях, Интернет и Интранет.
Авторы выражают благодарность академику Академии проблем безопасности, обороны и правопорядка, генеральному директору ООО «Петровка-Р» Н.Н. Ролдугину за предоставленные материалы по практическому применению средств защиты информации в телефонных и вычислительных сетях.
СПИСОК СОКРАЩЕНИЙ
АБП -АДМ -АИТ -	агрегат бесперебойного питания адаптивная дельта-модуляция автоматизированные информационные технологии
АОН -	автоматический определитель номера
АРМ -	автоматизированное рабочее место
АС -	автоматизированная система
АС КД -	автоматизированная система контроля доступом
АСОД -	автоматизированная система обработки данных
АСУ -	автоматизированная система управления
АТС -	абонентская телефонная станция
БД -	база данных
БПОС -	блок питания и обработки сигналов
БУ -	блок уплотнения (сигналов датчиков)
ВЗУ -	внешнее запоминающее устройство
ВР -	виртуальная реальность
ВС -	вычислительная система
ГА -	Генеральная Ассамблея (ООН)
ГИП -	геополитическое информационное противоборство
ГМД -	гибкий магнитный диск
гтс -	городская телефонная станция
ДЗУ -	дисковое запоминающее устройство
ЕС -	Европейский Союз
ЗУ -	запоминающее устройство
ИА -	идентификация и аутентификация
ИБ -	информационная безопасность
ИК -	идентификационная карточка
ИПВ -	информационно-психологическое воздействие
ИПС -	изолированная программная среда
ИС -	интегральная схема
ИТ -	информационные технологии
КМ -	коммуникационный модуль
КС -	компьютерная система
КСА -	комплекс средств автоматизации
КСЗИ -	комплексная система защиты процессов переработки информации
ЛВС -	локальная вычислительная сеть
лс -	локальный сегмент
МБ -	модель безопасности
7
МБО МБС НИС нсд	— монитор безопасности объекта — монитор безопасности системы — несанкционированное изменение структур — несанкционированный доступ
НСДИ	— несанкционированный доступ к информации
ОБИ	— обеспечение безопасности информации
ОБСЕ	— Организация по безопасности и сотрудничеству в Европе
ОБО	— отказ в обслуживании
ОЗУ	— оперативное запоминающее устройство
ООА	— объектно-ориентированный анализ
ООН	— Организация Объединенных Наций
ООП	— объектно-ориентированное программирование
ОП	— оперативная память
ОРК	— открытое распределение ключей
ОС	— операционная система
ПБ	— политика безопасности
ПЗС	— прибор с зарядовой связью
ПЗУ	— постоянное запоминающее устройство
ПИК	— пластиковая идентификационная карточка
ПИН	— персональный идентификационный номер
ПК	— персональный компьютер
по	— программное обеспечение
пп	— процедура преобразования
ПРД	— пользователь распределенного доступа
ПС	— программное средство
псч	— псевдослучайное число
пц	— процессор
ПЭВМ	— персональная электронно-вычислительная машина
пэмин	— побочное электромагнитное излучение и наводки
РД	— руководящий документ
РКС	— распределенная компьютерная система
РПВ	— разрушающие программные воздействия
РПС	— разрушающее программное средство
СБ	— стратегия безопасности
свт	— средства вычислительной техники
сзи	— система защиты процессов переработки информации
сзик	— система защиты от исследования и копирования
СКВУ	— система контроля вскрытия устройств
СМИ	— средства массовой информации
СНГ	— Содружество Независимых государств
снпи	— средства негласного получения информации
сок	— система с открытым ключом
соо	— система охраны объекта
спд	— система передачи данных
СРД	— система разграничения доступа
8
СУБД -ТЛФ -ТПО -
ТС -
УВК -ФАПСИ -
ФК -ФПУ -ЦПУ -ЦРК -эвт -ЭЛТ -ЭМИ -эсод -
система управления базами данных телефонный аппарат
телекоммуникационное программное обеспечение техническое средство устройство ввода кода
Федеральное агентство правительственной связи и информации функциональный контроль фильтр прикладного уровня центральный пульт управления центр распределения ключей электронно-вычислительная техника электронно-лучевая трубка электромагнитное излучение электронная система обработки данных
Глава 1
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ДЕЯТЕЛЬНОСТИ ОБЩЕСТВА И ЕЕ ОСНОВНЫЕ ПОЛОЖЕНИЯ
1.1. Информационные геополитические и экономические процессы современного общества
1.1.1. Основные положения информатизации общества и обеспечение безопасности его деятельности
Современный этап развития общества характеризуется возрастающей ролью информационных взаимодействий, представляющих собой совокупность информационных инфраструктур и субъектов, осуществляющих сбор, формирование, распространение и использование информации. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.
Массовая компьютеризация, внедрение и развитие новейших информационных технологий привели к прорыву в сферах образования, бизнеса, промышленного производства, научных исследований и социальной жизни.
Информация превратилась в глобальный неистощимый ресурс человечества, вступившего в новую эпоху развития цивилизации — эпоху интенсивного освоения этого информационного ресурса.
Идея, что информацию можно рассматривать как нечто самостоятельное, возникла вместе с новой наукой — кибернетикой, доказавшей, что информация имеет непосредственное отношение к процессам управления и развития, обеспечивающим устойчивость и выживаемость любых систем.
Нарастание темпов ускорения прогресса в обществе — одно из самых существенных и наименее изученных социальных явлений. Научное объяснение причины ускорения темпов общественного прогресса может быть дано, если процессы развития в человеческом обществе будут рассмотрены с точки зрения системно-кибернетического подхода, т.е. как целенаправленная информационно-управленческая деятельность людей с обязательным учетом факторов времени и социальных аспектов его развития, уровней организации.
10
В основу системно-кибернетического подхода должны быть положены четыре фундаментальных аспекта кибернетики: информационный, управленческий, организационный и социальный.
Новым в системно-кибернетическом подходе является то, что составляющие его аспекты рассматриваются в динамическом единстве с обязательным учетом в каждом из них социальной составляющей управления.
В результате анализа информации о взаимодействиях с внешней средой психика человека формировала понимание того, что ускорение информационных процессов, усиление коммуникативности и целенаправленных взаимодействий повышают живучесть индивида, популяций, социальных систем. Это привело к интенсификации информационных процессов в человеческом обществе.
Неустанная, не прекращающаяся по сей день борьба за скорость и эффективность обращения и взаимодействия особенно ярко проявилась в интенсивном развитии средств непосредственной передачи информации через книгопечатание, телеграф, телефон, радио, телевидение, компьютер, Интернет, мобильные средства связи и т.д.
Выдающийся русский ученый В. М. Бехтерев в 1921 г. сформулировал 23 основных закона поведения человеческих коллективов.
1.	Закон сохранения энергии. Общественная или коллективная энергия составляется из совокупности запасных энергий всех участвующих в общей работе лиц, далеко не вся переходит в полезную или действительную работу; часть ее тратится на преодоление инерции коллектива, внутреннее трение между участниками работы, преодоление внешних препятствий в работе, в чем бы они ни проявлялись.
2.	Закон пропорционального соотношения скорости движения с движущей силой. В каждый данный момент общество, находясь в недвижном равновесии, является результатом взаимодействия возбуждающих и тормозящих условий, причем всякое общественное движение протекает в направлении равнодействующих тех и других условий, выливаясь опять-таки в такую форму, которая определяется соответственным преобладанием возбуждающих сил над тормозящими влияниями.
3.	Закон тяготения.
4.	Закон отталкивания.
5.	Закон противодействия, равного действию.
6.	Закон подобия.
7.	Закон периодичности, или ритма. Фактически всякое государство в жизненном цикле своего существования, подвергаясь закону ритма, проходит сначала период первоначального развития, следующий за ним период расцвета, после чего следует пе
11
риод упадка, а затем в обновленной форме государство может вновь проявить свою энергию и мощь, достичь нового расцвета, за которым опять неизбежно последует его упадок, и т.д.
8.	Закон инерции.
9.	Закон непрерывного движения и изменчивости.
10.	Закон рассеивания энергии, или энтропии.
11.	Закон относительности.
12.	Закон эволюции.
13.	Закон дифференцирования.
14.	Закон воспроизведения.
15.	Закон избирательного обобщения, или синтеза.
16.	Закон исторической последовательности.
17.	Закон экономии.
18.	Закон приспособления.
19.	Закон отбора.
20.	Закон взаимодействия.
21.	Закон компенсации, или замещения символами или знаками.
22.	Закон зависимых отношений.
23.	Закон индивидуальности.
В.М.Бехтерев выделил основные типы человеческих коллективов (рис. 1.1).
Рис. 1.1. Основные типы человеческих коллективов
12
Современные естественно-научные знания служат теоретикометодологической предпосылкой для построения логически стройной единой развивающейся картины мира на базе социальной информации. Феномен социальной информации привел общество к возможностям эффективно использовать ее во всех процессах жизненного цикла общества, а особенно эффективно — в вопросах управления и взаимодействия.
В соответствии с концептуальным подходом профессора Р.Ф.Абдеева можно выделить следующие виды информации:
•	физическая, присущая процессам отражения в неорганической природе;
•	биологическая, циркулирующая в живой природе и формирующая ее структуры;
•	социальная, передающаяся в человеческом обществе в процессе коммуникаций между людьми.
Можно также выделить классы информационных структур:
•	естественно возникшие информационные структуры неорганической природы;
•	естественно возникшие информационные структуры органической природы;
•	искусственные информационные структуры, созданные целенаправленной деятельностью человека (так называемая вторая природа, или ноосфера).
«Ноос» — древнегреческое название человеческого разума, следовательно, ноосфера — сфера человеческого разума.
Термин «ноосфера» был предложен в 1927 г. французским математиком и философом Эдуардом Леруа для использования.его в описании состояния биосферы. Вскоре после Э. Леруа этот термин стал употреблять известный французский палеолонтолог, антрополог и член ордена иезуитов Пьер Тейяр де Шарден. Однако в соответствии со своим мировоззрением он придал термину «ноосфера» несколько иное понимание, так как считал, что разум не является неизбежным результатом эволюции мыслительного аппарата, но дан человеку Богом.
В. И. Вернадский лично знал французских ученых, но не спешил воспользоваться термином «ноосфера». Этот термин понадобился В. И. Вернадскому лишь тогда, когда он стал разрабатывать идею об эволюции биосферы. Первое упоминание его в письмах относится к 1935 г., а первое упоминание в печати — в 1937 г.
В работе «Живое вещество и биосфера»* В. И. Вернадский дает свое понимание ноосферы: «Исторический процесс на наших глазах коренном образом меняется... Человечество, взятое в целом, становится мощной геологической силой. И перед ним, перед его
* Вернадский В. И. Живое вещество и биосфера / В. И. Вернадский. — М. : Наука, 1994.
13
мыслью и трудом, становится вопрос о перестройке биосферы в интересах свободно мыслящего человечества как единого целого. Это новое состояние биосферы, к которому мы, не замечая этого, приближаемся, и есть ноосфера».
Другой взгляд на информационные процессы окружающего нас мира представляет их как науку — информациологию, которую сформулировал и обосновал И. И. Юзвишин в работе «Основы информациологии»*. Она значительно расширяет и углубляет методологию изучения и переработки информации.
В конце XX в. усиливается внимание мировой политической элиты к феномену социальной информации, так как социальная информация может являться индикатором (показателем) функционирования мировой политики, которая базируется в основном на социально-экономических аспектах жизненного цикла государства.
Социальную информацию в мировом процессе классифицируют по следующим признакам:
•	по объему циркуляции — на региональную; национальную; континентальную; глобальную;
•	по времени циркуляции — на краткосрочную; среднесрочную; долгосрочную;
•	по характеристикам — на позитивную, негативную, нейтральную;
•	по способу представления информации — на передаваемую с помощью СМИ; через спецслужбы; через неформальные связи; с помощью дипломатических источников; через бизнес-структуры; через компьютерные, телекоммуникационные и мобильные сети;
•	по назначению информации — для убеждения; управления и коррекции принятия решений; воздействия; получения ответной реакции; компрометации; создания новых ценностей и правил взаимодействий.
Другую характеристику типов и видов социальной информации дал академик В. Г. Афанасьев в книге «Социальная информация»**. Он выделил типы и виды социальной информации.
Типы социальной информации:
•	о прошлом;
•	о настоящем;
•	о будущем: прогностическая; ориентировочная; нормативная; предупредительная; плановая.
Виды социальной информации:
•	по направленности: горизонтальная; вертикальная (прямая — директивно-нормативная, обратная — контрольно-отчетная);
•	по объему циркуляции: внутренняя; внешняя.
* Юзвишин И. И. Основы информациологии : учебник / И. И. Юзвишин. — 3-е изд., перераб. и доп. — М. : Высш, шк., 2001.
** Афанасьев В. Г. Социальная информация / В. Г. Афанасьев. — М. : Наука, 1994.
14
По Н. А. Бердяеву* социальная информация определяется традиционной матрицей сознания, в основе которой на современном этапе лежит триада: самоуважение, самоорганизация и самореализация.
В XX в. управление информационными потоками превращается в решающий фактор завоевания, сохранения и удержания руководства и власти. Пожалуй, первыми это осознали американцы. Они создали официальную общегосударственную систему «Социальные показатели».
Система «Социальные показатели» состоит из восьми блоков, включающих в себя 167 показателей. Количество показателей распределяется по блокам в следующем соотношении:
1)	здоровье — 29;
2)	общественная безопасность — 23;
3)	образование — 20;
4)	труд (выбор ценностей — удовлетворенность трудом) — 28;
5)	доход — 24;
6)	жилище — 17;
7)	досуг — рекреация (т.е. отдых) — И;
8)	демография — 15.
В отличие от созданной системы текущей социальной информации организация системы перспективной социальной информации все еще находится в стадии становления. Но первые результаты ее воздействия на политику США уже имеются. В частности, характерно, что одной из основных целей стратегии национальной безопасности США в последние десятилетия является защита образа жизни.
С помощью общегосударственной системы «Социальные показатели» американской политической элите удается определить основные параметры образа жизни рядовых граждан США. Это позволяет политической элите США проводить стратегический анализ психического состояния не только американцев, оперативно реагировать на возникающие проблемы в «социальном самочувствии нации», фиксировать источники негативных внешних и внутренних информационно-психологических воздействий в довольно значительном количестве стран мира.
Таким образом, в США создана эффективная система диагностики внутренней социальной информации (в интересах власти), а в конце XX в. началось создание систем диагностики внешней социальной информации с помощью международных информационных систем (Интернет и др.), ЮСИА и т.д.
В настоящее время система диагностики социальной информации является ключевым звеном в ходе стратегического информационного противоборства национальных политических элит.
* Бердяев Н.А. Судьба России / Н. А. Бердяев. — М. : Политиздат, 1990.
15
По мнению доктора психологических наук М. Н. Решетникова, основу американского лидерства также составляет проведение специальной политики по привлечению в страну со всех континентов одаренной молодежи и научной элиты, независимо от национальности и расы, включая создание особых условий для того, чтобы они оставались в США.
В специальную политику были положены основополагающие исследования, проведенные в XX в.:
1)	определено количество людей, способных к формированию новых прорывных идей (в науке, культуре, управлении и т.д.), которое в любой национальной популяции весьма ограничено и не превышает 3...5 %;
2)	установлено, что интеллектуальная элита общества формируется столетиями и тысячелетиями и является самовоспроизво-дящей и чрезвычайно хрупкой системой;
3)	установлено, что интеллектуал — это особый, в определенной степени искусственный, тип личности, для проявления которого именно в этом качестве требуется ряд особых условий:
•	наличие задатков (генетический фактор) — абсолютное большинство интеллектуалов являются прямыми потомками столь же интеллектуальных родителей;
•	максимально раннее (с 3...5 лет) погружение в высокоинтеллектуальную семейную или профессиональную среду определенной направленности (химия, физика, медицина, законотворчество и т.д.), получившее название «фактор специфически социального исследования»;
•	максимально раннее (до 5...7 лет) выявление преобладающих способностей и склонностей, которые имеют свои периоды «манифестации» (если конкретная способность не была замечена и не было начато ее развитие в этот период, то она может быть утрачена навсегда);
•	наличие талантливых учителей (одаренный ребенок, погруженный в обычную образовательную среду, в большинстве случаев очень быстро усредняется и как талант — утрачивается навсегда);
•	отсутствие у одаренной личности материальных и бытовых проблем.
Абсолютное большинство одаренных личностей отличается высоким уровнем самоуважения, чрезмерной чувствительностью к любым психотравмирующим факторам, аполитичны, не склонны к сотрудничеству (в том числе с коллегами, представителями власти и т.д.). Значительная часть высокоодаренных личностей отличается специфической моральной динамичностью (отсутствием склонности следовать принятым в обществе нормам и правилам, в том числе в сфере сексуального поведения и т.д.).
16
Исходя из этих исследований в США на протяжении последних десятилетий чрезвычайно активно работает система приглашений и обеспечения солидными грантами талантливых учащихся школ, стажеров, аспирантов и докторантов из зарубежных стран, государственная система выявления талантливых детей.
Особенностью состояния процессов организации, управления и использования социальной информации в современной России является нахождение этих процессов в зачаточном состоянии, т. е. становление (организационное, теоретическое и практическое) как текущего, так и перспективного социального информационного комплекса.
Российские специалисты считают, что политической элите России нужна своя национальная система анализа социальной информации (текущей и перспективной), причем информационные ресурсы такой системы должны быть надежно защищены от негативных информационных воздействий со стороны геополитических противников (важно полностью исключить возможности подмены или уничтожения социальной информации по важнейшим вопросам образа жизни российского народа). В рамках этих программ сделаны определенные шаги в создании российской государственной системы выявления талантливых детей, стимулирования их творческой деятельности и др.
Россия должна быть готова к глобальному бескомпромиссному информационно-психологическому противоборству мировых элит (т. е. защите матриц сознания россиян от негативных информационных потоков), в том числе и в ходе избирательных процессов.
В связи с этим существенно возрастает значение и объем информационно-аналитической работы. Для организации информационного мониторинга матриц сознания политической элиты и населения России необходима система стратегического анализа социальной информации России. Такая система должна проводить анализ на различных уровнях (федеральном, региональном, местном). Результаты этого мониторинга должны постоянно учитываться при организации и проведении избирательных кампаний. Такая система должна быть одним из ключевых звеньев диагностики состояния информационной среды общества и всего Российского государства.
До недавнего времени в теории и на практике основное внимание уделялось обеспечению военной безопасности государств. Сегодня уже стала очевидной ограниченность данного подхода, так как научно-техническая революция привела к созданию информационного общества и информация является основным инструментом власти.
Элвин и Хэйди Тоффлер — известные всему миру американские социальные мыслители — в книге «Создание новой цивили
17
зации. Политика третьей волны»* уделяют особое внимание информационным технологиям: «Сегодня расстановка сил в мире изменилась. Мы движемся к совершенно другой структуре сил, разделяющей мир не на две, а на три четко определенные противоположные враждующие цивилизации. Символ Первой, как и прежде, — мотыга, Второй — конвейер, а Третьей — компьютер».
Следует отметить, что проблема обеспечения ИБ в нашей стране длительное время не только не выдвигалась, но и фактически игнорировалась. При этом считалось, что путем тотальной секретности и различными ограничениями можно обеспечить ИБ страны.
Только сейчас Российское государство начинает серьезно и ответственно подходить к проблеме определения и отстаивания жизненно важных интересов, реальных и потенциальных угроз в информационной сфере. Российская политическая и техническая элита начинает осознавать необходимость решения проблем обеспечения ИБ.
1.1.2.	Составляющие национальных интересов Российской Федерации в информационной сфере
На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению ИБ.
Выделены четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Вторая составляющая включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни до российской и международной общественности. При этом необходимо обеспечить доступ граждан к открытым государственным информационным ресурсам.
Третья составляющая включает в себя развитие современных информационных технологий, отечественной индустрии инфор
* Тоффлер Э. Создание новой цивилизации. Политика третьей волны / Э.Тоф-флер, X.Тоффлер. — М. : Гардарика, 1995.
18
мации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности.
Четвертая составляющая включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, духовном обновлении России.
Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Основными составляющими в интенсификации информационных процессов при системно-кибернетическом и социальном подходе к формализации хода общественного развития являются:
•	неуклонное возрастание скоростей информационного обмена;
•	увеличение объема добываемой и передаваемой информации;
•	ускорение процессов обработки информации;
19
•	расширение применения адаптивного управления (с использованием обратных связей);
•	расширение наглядного (визуального) представления информации в процессах управления;
•	бурный рост технической оснащенности управленческого труда;
•	учет особенностей социально-психологических взаимодействий человеческого социума и образований.
1.1.3.	Основные свойства и характеристики информационного обеспечения безопасности функционирования информационных систем управления предприятий и фирм
Информация, создаваемая, потребляемая и хранимая в процессе функционирования и взаимодействия социальных, технических и организационно-технических систем друг с другом и с внешней средой (чаще всего это одно и тоже), может быть условно разделена на два основных рода: внутреннюю и внешнюю.
Внутренняя информация — это структурная или преобразующая информация (последнее название адекватно для частного вида организационно-технических структур, например для автоматизированных систем управления (АСУ)). Внутренняя структурная информация создается, потребляется и распространяется самой системой. Ее использование санкционировано только для внутреннего потребления, т.е. для управления элементами и подсистемами, обеспечения основного и вспомогательных производственных процессов и т.д. Эту информацию содержат массивы данных, документы и файлы, не предназначенные для передачи внешней среде или через внешнюю среду.
Внешняя информация циркулирует в каналах обмена с иными системами, составляющими в совокупности внешнюю среду. В процессе информационного обмена с внешней средой может участвовать информация, являющаяся основным продуктом деятельности системы, и контрольная информация о состоянии системы (финансовая, отчетная, плановая и т.д.), правовая и нормативная информация, регламентирующая условия функционирования системы, рекламная и другая информация. В ряде случаев к внешней информации приходится относить и внутреннюю информацию, к которой осуществляется несанкционированных доступ посредством технических каналов утечки.
Определение качественно различных форм проявления информации двух указанных родов можно провести на основе анализа модели процесса управления сложным динамическим объектом. В соответствии с этой моделью (рис. 1.2) управление основным процессом функционирования P0(S) динамического объекта S осуществляется в замкнутом контуре, в котором протекают процес-
20
Рис. 1.2. Структура модели управления сложным динамическим объектом
сы Ph i 6 1, ..., 5, и циркулируют сообщения (происходит обмен информационными массивами, документами) Q.
Множество процессов Р, объединяет наблюдение, измерение, идентификацию, выработку управляющих решений, координацию совместных действий, информационный обмен
между подсистемами — участниками процесса Р0(Х) функциони-
рования динамического объекта.
При этом информация, которую содержат сообщения Q, проявляется в следующих формах.
1. Осведомляющая информация, которая заключена в массивах Go3 4 s {Go> •••, Qe} и содержит все сведения о системе 5 и свойствах управляемого процесса Р(5), а также о действующих на него управляющих (0о.у, X(t)) и искажающих (дестабилизирующих) воздействиях информации Qn внешней среды.
2. Преобразующая информация, объединяемая массивами 0пр„ i е 1, ..., 5. Эта информация заключена в устройствах и подсистемах системы 5.
3. Преобразующая информация в массивах <2пр/, i е 1, ..., 6, среди которых 0пр1 — массивы результатов измерения (восприятия) свойств и характеристик осведомляющих данных 0О; массивы данных 0пр2 наблюдения (распознавания) ситуаций, определяемых осведомляющей информацией 0О; совокупности результатов <2пр3 идентификации (предсказания) хода протекания основного производственного процесса Ро(5), которые необходимы для эффективного управления; документы 0пр4 с результатами решений о целях функционирования системы и управления; данные (2пр5, необходимые для координации целей и координируемости процессов в системе; данные <2прб о структуре и взаимодействии подсистем в составе Ро(5).
4. Управляющая информация 0оу, к которой относятся все
сведения, нужные для целенаправленного изменения состава, характеристик и параметров основного процесса Р(У) функционирования системы. В частности, процессом PO(JS) может быть управляемый производственный процесс.
21
Узлы (подсистемы) обобщенной модели контура Р, преобразуют соответствующие данные 0, (см. рис. 1.2). В узлах воспринимается и распознается внешняя управляющая информация, которую переносят массивы и документы 0оу, а также внешняя осведомляющая информация, носители которой объединены в Qo.
Технические каналы утечки информации могут образовываться физическими полями, сопровождающими работу любых узлов контура Рь ..., Р5, но их влияние на нарушение целостности, достоверности и аутентичности опасно для тех систем, работа которых связана с созданием или использованием электромагнитных полей.
Анализ свойств каналов несанкционированного доступа к сообщениям 0о1, ..., 0об и разработка методов и средств обеспечения ИБ прежде всего требует уточнения и конкретизации информационных свойств канала утечки информации.
Информация — одна из фундаментальных категорий реальности, так как охватывает все сферы производственной, деловой, научной и культурной жизни и деятельности современного общества. Более того, можно говорить об информационных процессах во всех системах.
В настоящее время понятие информации приходится трактовать очень широко. Несмотря на значительное продвижение в разработке методологических проблем теории информации такие проблемы, как ценность и стоимость информации, доступность и защищенность информации, необходимые для получения значимых результатов при решении задач И Б, еще не получили достаточного освещения.
Теория информации при анализе и решении основных задач явно или неявно оперирует с трехзвенной схемой формирования сообщений: источник—канал —приемник. Такая схема вполне приемлема для анализа технических компонентов систем связи и передачи данных, некоторых технических средств разведки, сравнительно простых систем автоматического и автоматизированного управления. Для анализа проблем ИБ сложных технических и организационно-технических систем трехзвенная схема формирования сообщений имеет ограниченное применение.
Информации присущи следующие свойства.
1. Доступность информации, если она содержится на информационном носителе. Необходимо защищать материальные носители информации, так как с их помощью можно защищать материальные объекты и людей.
2. Ценность информации, которая определяется степенью ее полезности для владельца. Овладение истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной, или достоверной, является информация, которая с достаточной для владельца (пользователя) точностью отражает объекты
22
и процессы окружающего мира в определенных временных и пространственных рамках.
Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.
Федеральным законом «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц (организаций). Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственную или коммерческую тайну.
Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т.д. Государственную тайну могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с Законом РФ «О государственной тайне» от 21.07.93 № 5485-1 сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных степеней секретности. В порядке возрастания ценности (важности) информации ей может быть присвоена степень (гриф) «Секретно», «Совершенно секретно» или «Особой важности». В государственных учреждениях менее важной информации может быть присвоен гриф «Для служебного пользования». Для обозначения ценности конфиденциальной коммерческой информации используются три категории:
•	«Коммерческая тайна — строго конфиденциально»;
•	«Коммерческая тайна — конфиденциально»;
•	«Коммерческая тайна».
Используется и другой подход к градации ценности коммерческой информации:
•	«Строго конфиденциально — строгий учет»;
•	«Строго конфиденциально»;
•	«Конфиденциально».
Информацию правомочно рассматривать как товар, имеющий определенную цену. Цена, как и ценность информации, связана с полезностью информации для конкретных людей, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других людей. В этом случае информация не может быть товаром, а следовательно, она не имеет и цены. Например, сведения о состоянии здоровья обычного гражданина являются ценной информацией для него. Но эта информация, скорее всего,, не заинтересует кого-то другого, а следовательно, не станет товаром и не будет иметь цены.
Информация может быть получена тремя путями:
•	проведением научных исследований;
23
•	покупкой информации;
•	противоправным добыванием информации.
Как любой товар, информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость зависит от выбора путей получения информации и минимизации затрат при добывании необходимых сведений выбранным путем.
Информация добывается противоборствующими сторонами с целью получения прибыли или преимуществ перед конкурентами. Для этого информация:
•	продается на рынке;
•	внедряется в производство для получения новых технологий и товаров, приносящих прибыль;
•	используется в научных исследованиях;
•	позволяет принимать оптимальные решения в управлении.
В большинстве случаев со временем ценность информации уменьшается. Зависимость ценности информации от времени приближенно определяется выражением
С(о = С0е-2'3'/\
где Со — ценность информации в момент ее возникновения (получения); t — время от момента возникновения информации до момента определения ее стоимости; т — время от момента возникновения информации до момента ее устаревания.
Время, через которое информация становится устаревшей, меняется в очень широком диапазоне. Например, для пилотов реактивных самолетов и автогонщиков информация о положении машины в пространстве устаревает за доли секунд. В то же время информация о законах природы остается актуальной в течение многих веков, а в некоторых процессах, особенно при получении преждевременной информации, ее ценность может возрастать.
3. Метрические свойства информации представляют ее количественные характеристики, которые можно определить следующими основными методами: комбинаторный, статистический, алгоритмический и метрологический. Все эти методы так или иначе исходят из принципа разнообразия состояний информационной системы.
При комбинаторном методе используют разнообразие множества характеристик объекта X по признакам его элементов х; при статистическом методе — по вероятности наступления некоторого состояния х е X, при алгоритмическом методе характеристикой информации служит результат вычисления по функции ее связи; при метрическом — возможные значения х некоторой измеримой величины X. Единство подходов позволяет сравнительно легко переходить от одной меры информации к другой.
В соответствии с определением Р. Хартли считается, что количество информации I, получаемое об объекте или системе, тем больше, чем более разнообразны их возможные состояния:
24
1= K\nN,
(1.1)
где К — коэффициент пропорциональности, обусловленный избранной мерой количества информации (при К = 1 информация измеряется в натуральных единицах; при К = (1п2)-1 = 1,443 — в битах; при К = (InlO)"1 = 0,4343 — в десятичных единицах); N — число возможных различных (дискретных) состояний или число возможных сообщений о системе или объекте.
Комбинаторная логарифмическая мера количества информации по Р. Хартли (формула (1.1)) очень проста для вычисления и удобна при аналитических расчетах в силу свойства аддитивности логарифмической функции. Но она же инвариантна относительно любых свойств информации, безразмерна и поэтому нечувствительна к содержанию информации, не учитывает различий между разными сообщениями или состояниями системы (почти невероятному сообщению придается такое же количественное значение информации, как и весьма правдоподобному). Эти свойства делают комбинаторную меру количества информации по Р. Хартли практически бесполезной в задачах исследования проблем, для которых существенны не только количественные характеристики не равновероятных сообщений, но и смысловое содержание этих сообщений. В частности, такая мера не адекватна исходным условиям большинства задач анализа ИБ сложных систем.
В статистическом методе используется энтропийный подход. При этом количество информации оценивается мерой уменьшения у получателя неопределенности (энтропии) выбора или ожидания событий после получения информации. Количество информации тем больше, чем ниже вероятность события. Энтропийный подход широко используется при определении количества информации, передаваемой по каналам связи. Выбор при приеме информации осуществляется между символами алфавита в принятом сообщении. Пусть сообщение, принятое по каналу связи, состоит из N символов (без учета связи между символами в сообщении). Тогда количество информации I в сообщении можно определить по формуле К. Шеннона:
/ = log2Pz,	(12)
/=1
где к — количество символов в алфавите языка; Р, — вероятность появления в сообщении символа i.
Анализ формулы (1.2) показывает, что количество информации в двоичном представлении (в битах или байтах) зависит от двух величин: количества символов в сообщении и частоты появления того или иного символа в сообщениях для используемого алфавита. Этот подход абсолютно не отражает, насколько полезна
25
полученная информация, а лишь позволяет определить затраты на передачу сообщения.
Иногда оценку количества информации / производят по вероятностной мере целесообразности управления (по формуле А. А. Харкевича):
/ = 1п4,	(1.3)
Г3
где /*] и Ро — вероятности достижения цели управления соответственно после получения и до получения информации.
Этот способ определения количества информации (формула (1.3)), также как и предыдущие, абстрагируется от природы информации. Кроме того, он полностью игнорирует физическую природу сигналов, логическую структуру сообщений, их объем, особенности формирования, получения и передачи.
Алгоритмическая мера информационной сложности по А. Н. Колмогорову основывается на модели вычислительного процесса и понятии вычислимой функции, которое заключается в следующем. Пусть X — множество возможных исходных данных, а X* — множество конечных результатов применения алгоритма, причем X' с X — область применения алгоритма. Пусть также функция f задает отображение /: X' -> X*, такое, что /(х) совпадает с результатом применения алгоритма к объекту х. Тогда f называется вычислимой функцией, которая задается алгоритмом.
Пусть рассматривается некоторое исходное множество объектов и устанавливается взаимно-однозначное соответствие между этим множеством и множеством двоичных слов конечной длины, т. е. слов вида х = Xj; х2; ...; х„, где х,- есть 0 или 1, i е 1, ..., п. Установленное соответствие между множествами позволяет в дальнейшем в качестве объектов без существенного ограничения общности рассматривать только двоичные слова. Модуль |х| обозначает длину слова х.
Конечное двоичное слово можно описать так, что это слово можно будет восстановить по его описанию. Например, запись 110001100011000 описывается текстом: две единицы, три нуля — и так три раза. Разные слова имеют разные описания, но одно слово может иметь очень много описаний. Возникает естественный вопрос: как сравнить между собой описания двоичного слова для того, чтобы выбрать из этих описаний самое простое?
Можно считать, что описание двоичного слова х задается не в произвольной словесной форме, а в виде двоичного слова — аргумента некоторой (пока фиксированной) вычислимой функции f Пока на/не накладывается никаких ограничений: она может быть определена не на всех двоичных аргументах. Не для каждого дво
26
ичного слова х, как может оказаться, имеется двоичный прообраз (такое слово р, что ftp) = х).
Для некоторого двоичного слова х существует множество Pf{x) всех двоичных слов, таких, что ftp) = х (это множество для данной f может оказаться и пустым). Пусть
^/(х) = -
min Iр\, если Pf не пусто, psP/W '	7
оо, если Pf пусто.
К fix) можно назвать сложностью слова х по f.
Таким образом, сложность слова х по f — это длина самого короткого двоичного слова, в котором содержится полное описание слова х при фиксированном способе восстановления слов по их описаниям (т.е. при фиксированной функции f).
Если для данного способа восстановления такого описания не существует, то сложность слова х по/считается бесконечно большой.
Возможны и другие определения информации, употребительные в частных приложениях и еще менее полезные для описания информационных процессов в сложных организационных и организационно-технических системах (информационная мера сложности структурно-функциональной модели описания объекта по А. В.Шилейко и В. Ф. Кочневу, информационная мера неопределенности принятия решения по Н.Н. Моисееву).
Другой способ определения количества информации — это рассмотрение информации как объема знаний (тезаурусный подход). Согласно этому способу, предложенному Ю. А. Шрейдером, количество информации, извлекаемое человеком из сообщения, можно оценить степенью изменения его знаний. Структурированные знания, представленные в виде понятий и отношений между ними, называются тезаурусом. Структура тезауруса иерархическая. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.
Знания отдельного человека, организации, государства образуют соответствующие тезаурусы. Тезаурусы организационных структур образуют тезаурусы составляющих их элементов. Так, тезаурус организации образует, прежде всего, тезаурусы сотрудников, а также других носителей информации, таких как документы, оборудование, продукция и т.д.
Для передачи знаний требуется, чтобы тезаурусы передающего и принимающего элемента пересекались. В противном случае владельцы тезаурусов не поймут друг друга.
Тезаурусы человека и любых организационных структур являются их капиталом. Поэтому владельцы тезаурусов стремятся сохранить и увеличить свой тезаурус. Увеличение тезауруса осущест
27
вляется за счет обучения, покупки лицензии, приглашения квалифицированных сотрудников или хищения информации.
В обществе наблюдаются две тенденции: развитие тезаурусов отдельных элементов (людей, организованных структур) и выравнивание тезаурусов элементов общества.
Выравнивание тезаурусов происходит как в результате целенаправленной деятельности (например, обучения), так и стихийно. Стихийное выравнивание тезаурусов происходит за счет случайной передачи знаний, в том числе и незаконной.
При метрологическом методе количество информации измеряют, используя понятие «объем информации». При этом количество информации может измеряться количеством бит (байт), количеством страниц текста, длиной магнитной ленты с видео- или аудиозаписью и т.д.
Однако очевидно, что на одной странице может содержаться больше или меньше информации, по крайней мере, по двум причинам. Во-первых, разные люди могут разместить на одной странице различное количество сведений об одном и том же объекте, процессе или явлении материального мира. Во-вторых, разные люди могут извлечь из одного и того же текста различное количество полезной, понятной для них информации. Даже один и тот же человек в разные годы жизни получает разное количество информации при чтении одной и той же книги.
В результате копирования без изменения информационных параметров носителя количество информации не изменяется, а ее цена снижается. Примером копирования без изменения информационных параметров может служить копирование текста с использованием качественных копировальных устройств. При отсутствии сбоев копировального устройства текст копии будет содержать точно такую же информацию, как и текст оригинала. Но при копировании изображений не удастся избежать искажений. Они могут быть только большими или меньшими.
В соответствии с законами рынка, чем больше товара появляется, тем он дешевле. Этот закон полностью справедлив и в отношении копий информации. Действие этого закона можно проследить на примере пиратского распространения программных продуктов, видеопродукции и т.д.
В качестве предмета защиты рассматривается информация, хранящаяся, обрабатываемая и передаваемая в КС. Особенностями этой информации являются:
•	двоичное представление информации внутри системы, независимо от физической сущности носителей исходной информации;
•	высокая степень автоматизации обработки и передачи информации;
•	концентрация большого количества информации в КС.
28
Таким образом, наиболее распространенные и конструктивные определения информации, открывающие возможность для введения ее количественных мер, не дают возможности для измерения и количественного описания ее ценности (прагматических характеристик) и содержательности (семантических характеристик).
К прагматическим характеристикам принято относить широкий круг показателей качества информации, связанных, главным образом, с отношением субъекта к получаемой информации как к специфическому продукту. Прагматические качества и характеристики информации можно подразделить натри основные группы.
Первую группу формируют по отношению получателя (потребителя) к информации. В нее входят характеристики полезности информации для получателя, степень ее влияния на состояние приемника (получателя), например интенсивность поступления, и т.д.
Ко второй группе относится информация по качеству ее связи с источником. Это характеристики важности, существенности формируемой информации для функционирования источника и показатели интенсивности генерации информации.
Третья группа характеризуется собственным (внутренним) качеством информации. Это количество информации, выступающее как качественная характеристика: истинность, избыточность информации, количество информации, полнота и степень обобщенности.
В настоящее время известно несколько более или менее удачных попыток введения и использования количественных показателей для оценки прагматических характеристик информации.
Полезность информации определяется тем, в какой степени она обеспечивает получателю достижение его целей. Данная характеристика тесно связана с количественной мерой, поскольку чем меньше неопределенность, тем больше вероятность правильного решения и, следовательно, достижения цели управления и функционирования системы. Естественно, что при определении полезности информации должна учитываться ее истинность. Поэтому полезность ложной информации, затрудняющей достижение цели, может быть лишь нулевой или отрицательной.
1.2.	Комплексное обеспечение ИБ государства и организационных структур
1.2.1.	Основные положения государственной политики обеспечения ИБ РФ
Комплексное обеспечение ИБ, согласно Доктрины ИБ РФ, подразумевает взаимосвязанный комплекс организационно-правовых, физических, социальных, духовных, информационных,
29
программно-математических и технических методов, мероприятий и средств, обеспечивающих нормальное функционирование государства, его структур, населения, фирм и предприятий как на его территории и в его пространстве, так и в межгосударственных отношениях, независимо от состояний государства — мирного труда или военного времени. Поэтому целесообразно рассмотреть обеспечение ИБ РФ так, как рекомендует Доктрина ИБ РФ, — с позиций системного подхода.
Государственная политика обеспечения ИБ РФ определяет основные направления деятельности федеральных органов государственной власти и органов власти субъектов Российской Федерации в этой области, порядок закрепления их обязанностей по защите интересов Российской Федерации в информационной сфере в рамках направлений их деятельности и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.
Государственная политика обеспечения ИБ РФ основывается на следующих основных принципах:
•	соблюдение Конституции РФ, законодательства Российской Федерации, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению ИБ РФ;
•	открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и общественных объединений, предусматривающая информирование общества об их деятельности с учетом ограничений, установленных законодательством Российской Федерации;
•	правовое равенство всех участников процесса информационного взаимодействия независимо от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
•	приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов Российской Федерации.
Государство в процессе реализации своих функций по обеспечению ИБ РФ осуществляет следующие мероприятия и акции:
•	проводит объективный и всесторонний анализ и прогнозирование угроз И Б РФ, разрабатывает меры по ее обеспечению;
•	организует работу законодательных (представительных) и исполнительных органов государственной власти Российской Федерации по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз ИБ РФ;
30
•	поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации;
•	осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации;
•	проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории Российской Федерации и принимает меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;
•	способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям;
•	формулирует и реализует государственную информационную политику России;
•	организует разработку федеральной программы обеспечения ИБ РФ, объединяющей усилия государственных и негосударственных организаций в данной области;
•	способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства.
Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения ИБ РФ.
Правовое обеспечение И Б РФ должно базироваться прежде всего на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятель
31
ности в информационной сфере, является важнейшей задачей государства в области ИБ.
Разработка механизмов правового обеспечения ИБ РФ включает в себя мероприятия по информатизации правовой сферы в целом.
Международное сотрудничество Российской Федерации в области обеспечения ИБ — неотъемлемая составляющая политического, военного, экономического, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению ИБ всех членов мирового сообщества, включая Российскую Федерацию.
Особенность международного сотрудничества Российской Федерации в области обеспечения ИБ заключается в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, доминирование на рынках сбыта в условиях продолжения попыток создания структуры международных отношений, основанной на односторонних решениях ключевых проблем мировой политики, противодействия укреплению роли России как одного из влиятельных центров формирующегося многополярного мира, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия». Все это может привести к новому этапу развертывания гонки вооружений в информационной сфере, нарастанию угрозы агентурного и оперативно-технического проникновения в Россию иностранных разведок, в том числе с использованием глобальной информационной инфраструктуры.
Основными направлениями международного сотрудничества Российской Федерации в области обеспечения И Б являются:
•	запрещение разработки, распространения и применения «информационного оружия»;
•	обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным сетям и каналам связи;
•	координация деятельности правоохранительных органов стран, входящих в мировое сообщество, по предотвращению компьютерных преступлений;
•	предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, торговлей людьми.
32
При осуществлении международного сотрудничества Российской Федерации в области обеспечения ИБ особое внимание должно уделяться проблемам взаимодействия с государствами — членами Содружества Независимых государств.
1.2.2.	Система обеспечения ИБ РФ, ее основные функции и организационные основы
Система обеспечения ИБ РФ предназначена для реализации государственной политики в данной сфере.
Основными функциями системы обеспечения ИБ РФ являются:
•	разработка нормативной правовой базы в области обеспечения ИБ РФ;
•	создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;
•	определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
•	оценка состояния ИБ РФ, выявление источников внутренних и внешних угроз ИБ, определение приоритетных направлений предотвращения, парирования и нейтрализации этих угроз;
•	координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения ИБ РФ;
•	контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения И Б РФ;
•	предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;
•	развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств;
•	повышение конкурентоспособности информационных средств на внутреннем и внешнем рынках;
•	организация разработки федеральной и региональных программ обеспечения ИБ и координация деятельности по их реализации;
•	проведение единой технической политики в области обеспечения ИБ РФ;
•	организация фундаментальных и прикладных научных исследований в области обеспечения ИБ РФ;
33
•	защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;
•	обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;
•	совершенствование и развитие единой системы подготовки кадров, используемых в области ИБ РФ;
•	осуществление международного сотрудничества в сфере обеспечения ИБ, представление интересов Российской Федерации в соответствующих международных организациях.
Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения ИБ РФ и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента РФ и Правительства РФ.
Президент РФ руководит в пределах своих конституционных полномочий органами и силами по обеспечению ИБ РФ; санкционирует действия по обеспечению ИБ РФ; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению ИБ РФ; определяет в своих ежегодных посланиях Федеральному собранию РФ приоритетные направления государственной политики в области обеспечения И Б РФ, а также меры по реализации Доктрины ИБ РФ.
В состав системы обеспечения ИБ РФ могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.
1.2.3.	Общие методы обеспечения ИБ РФ
Общие методы обеспечения ИБ РФ подразделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения ИБ РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения ИБ РФ.
Организационно-техническими методами обеспечения ИБ РФ в основном являются создание и совершенствование системы обеспечения ИБ РФ.
Экономические методы обеспечения ИБ РФ включают в себя:
• разработку программ обеспечения ИБ РФ и определение порядка их финансирования;
34
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты процессов переработки информации, создание системы страхования информационных рисков физических и юридических лиц.
1.2.4.	Особенности обеспечения ИБ РФ в различных сферах жизни общества
И Б РФ является одной из составляющих национальной безопасности Российской Федерации и оказывает влияние на защищенность национальных интересов Российской Федерации в различных сферах жизнедеятельности общества и государства. Угрозы ИБ РФ и методы обеспечения безопасности являются общими для этих сфер.
В каждой из них имеются свои особенности обеспечения ИБ, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз ИБ РФ. В каждой сфере жизнедеятельности общества и государства наряду с общими методами обеспечения ИБ РФ могут использоваться частные методы и формы, обусловленные спецификой факторов, влияющих на состояние ИБ РФ.
Обеспечение ИБ РФ в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации.
Воздействию угроз ИБ РФ в сфере экономики наиболее подвержены:
•	система государственной статистики;
•	кредитно-финансовая система;
•	информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
•	системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
•	системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Основными мерами по обеспечению ИБ РФ в сфере экономики являются:
•	коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб;
35
•	совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;
•	организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
•	обработка и анализ статистической информации, а также ограничение коммерциализации такой информации;
•	разработка национальных сертифицированных средств защиты процессов переработки информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
•	разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;
•	совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
К наиболее важным объектам обеспечения И Б РФ в сфере внешней политики относятся:
•	информационные ресурсы федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях;
•	информационные ресурсы представительств федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, на территориях субъектов Российской Федерации;
•	информационные ресурсы российских предприятий, учреждений и организаций, подведомственных федеральным органам исполнительной власти, реализующим внешнюю политику Российской Федерации;
•	российские средства массовой информации, разъясняющие зарубежной аудитории цели и основные направления государственной политики Российской Федерации, ее мнения по социально значимым событиям российской и международной жизни.
Из внешних угроз ИБ РФ в сфере внешней йолитики наибольшую опасность представляют:
•	информационное воздействие иностранных политических, экономических, военных и информационных структур на разработку и реализацию стратегии внешней политики Российской Федерации;
36
•	распространение за рубежом дезинформации о внешней политике Российской Федерации;
•	нарушение прав российских граждан и юридических лиц в информационной сфере за рубежом;
•	попытки несанкционированного доступа к информации и воздействия на информационные ресурсы, информационную инфраструктуру федеральных органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях.
Из внутренних угроз ИБ РФ в сфере внешней политики наибольшую опасность представляют:
•	нарушение установленного порядка сбора, обработки, хранения и передачи информации в федеральных органах исполнительной власти, реализующих внешнюю политику Российской Федерации, и на подведомственных им предприятиях, в учреждениях и организациях;
•	информационно-пропагандистская деятельность политических сил, общественных объединений, средств массовой информации и отдельных лиц, искажающая стратегию и тактику внешнеполитической: деятельности Российской Федерации;
•	недостаточная информированность населения о внешнеполитической деятельности Российской Федерации;
•	создание российским представительствам и организациям за рубежом условий для работы по нейтрализации распространяемой там дезинформации о внешней политике Российской Федерации;
•	совершенствование информационного обеспечения работы по противодействию нарушениям прав и свобод российских граждан и юридических лиц за рубежом;
•	совершенствование информационного обеспечения субъектов Российской Федерации по вопросам внешнеполитической деятельности, которые входят в их компетенцию.
Наиболее важными объектами обеспечения ИБ РФ в сфере внутренней политики являются:
•	конституционные права и свободы человека и гражданина;
•	конституционный строй, национальное согласие, стабильность государственной власти, суверенитет и территориальная целостность Российской Федерации;
•	открытые информационные ресурсы федеральных органов исполнительной власти и средств массовой информации.
Наибольшую опасность в сфере внутренней политики представляют следующие угрозы ИБ РФ:
•	нарушение конституционных прав и свобод граждан, реализуемых в информационной сфере;
37
•	недостаточное правовое регулирование отношений в области прав различных политических сил на использование средств массовой информации для пропаганды своих идей;
•	распространение дезинформации о политике Российской Федерации, деятельности федеральных органов государственной власти, событиях, происходящих в стране и за рубежом;
•	деятельность общественных объединений, направленная на насильственное изменение основ конституционного строя и нарушение целостности Российской Федерации, разжигание социальной, расовой, национальной и религиозной вражды, распространение этих идей в средствах массовой информации.
Наиболее важными объектами обеспечения ИБ РФ в области науки и техники являются;
•	результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
•	открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
•	научно-технические кадры и система их подготовки;
•	системы управления сложными исследовательскими комплексами (ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и др.).
К числу основных внешних угроз ИБ РФ в области науки и техники относятся;
•	стремление развитых иностранных государств получить противоправный доступ к научно-техническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах;
•	создание льготных условий на российском рынке для иностранной научно-технической продукции и стремление развитых стран в то же время ограничить развитие научно-технического потенциала России (скупка акций передовых предприятий с их последующим перепрофилированием, сохранение экспортно-импортных ограничений и т.д.);
•	политика западных стран, направленная на дальнейшее разрушение унаследованного от СССР единого научно-технического пространства государств — членов Содружества Независимых государств за счет переориентации на западные страны их научно-технических связей, а также отдельных, наиболее перспективных научных коллективов;
•	активизация деятельности иностранных государственных и коммерческих предприятий, учреждений и организаций в области промышленного шпионажа с привлечением к ней разведывательных и специальных служб.
38
К числу основных внутренних угроз ИБ РФ в области науки и техники относятся:
•	сохраняющаяся сложная экономическая ситуация в России, ведущая к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
•	неспособность предприятий национальных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники и передовых информационных технологий конкурентоспособную наукоемкую продукцию, позволяющую обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденному широкому использованию импортных программно-аппаратных средств при создании и развитии в России информационной инфраструктуры;
•	серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
•	сложности реализации мероприятий по защите процессов переработки информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.
Обеспечение ИБ РФ в сфере духовной жизни имеет целью защиту конституционных прав и свобод человека и гражданина, связанных с развитием, формированием и поведением личности; свободой массового информирования; использования культурного, духовно-нравственного наследия, исторических градаций и норм общественной жизни; сохранением культурного достояния всех народов России; реализацией конституционных ограничений прав и свобод человека и гражданина в интересах сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, здоровья граждан, культурного и научного потенциала Российской Федерации, обеспечения обороноспособности и безопасности государства.
Наибольшую опасность в сфере духовной жизни представляют следующие угрозы ИБ РФ:
•	деформация системы массового информирования как за счет монополизации средств массовой информации, так и за счет неконтролируемого расширения сектора зарубежных средств массовой информации в отечественном информационном пространстве;
•	ухудшение состояния и постепенный упадок объектов российского культурного наследия, включая архивы, музейные фонды, библиотеки, памятники архитектуры, ввиду недостаточного финансирования соответствующих программ и мероприятий;
•	возможность нарушения общественной стабильности, нанесение вреда здоровью и жизни граждан вследствие деятельности
39
религиозных объединений, проповедующих религиозный фундаментализм, а также тоталитарных религиозных сект;
•	использование зарубежными специальными службами средств массовой информации, действующих на территории Российской Федерации, для нанесения ущерба обороноспособности страны и безопасности государства, распространения дезинформации;
•	неспособность современного гражданского общества России обеспечить формирование у подрастающего поколения и поддержание в обществе общественно необходимых нравственных ценностей, патриотизма и гражданской ответственности за судьбу страны.
Основными объектами обеспечения ИБ РФ в общегосударственных информационных и телекоммуникационных системах являются:
•	информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, и конфиденциальную информацию;
•	средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;
•	технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации;
•	помещения, предназначенные для ведения закрытых переговоров, а также переговоров, в ходе которых оглашаются сведения ограниченного доступа.
Основными угрозами ИБ РФ в общегосударственных информационных и телекоммуникационных системах являются:
•	деятельность специальных служб иностранных государств, преступных сообществ, организаций и групп, противозаконная деятельность отдельных лиц, направленная на получение несанкционированного доступа к информации и осуществление контроля за функционированием информационных и телекоммуникационных систем;
•	вынужденное в силу объективного отставания отечественной промышленности использование импортных программно-аппаратных средств при создании и развитии информационных и телекоммуникационных систем;
•	нарушение установленного регламента сбора, обработки и передачи информации, преднамеренные действия и ошибки персонала информационных и телекоммуникационных систем, отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
40
•	использование несертифицированных в соответствии с требованиями безопасности средств и систем информатизации и связи, а также средств защиты процессов переработки информации и контроля их эффективности;
•	привлечение к работам по созданию, развитию и защите информационных и телекоммуникационных систем организаций и фирм, не имеющих государственных лицензий на осуществление этих видов деятельности.
Основными организационно-техническими мероприятиями по защите процессов переработки информации в общегосударственных информационных и телекоммуникационных системах являются:
•	лицензирование деятельности организаций в области защиты процессов переработки информации;
•	аттестация объектов информатизации по выполнению требований обеспечения защиты процессов переработки информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;
•	сертификация средств защиты процессов переработки информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;
•	введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;
•	создание и применение информационных и автоматизированных систем управления в защищенном исполнении.
К объектам обеспечения ИБ РФ в сфере обороны относятся:
•	информационная инфраструктура центральных органов военного управления и органов военного управления видов Вооруженных сил РФ и родов войск, объединений, соединений, воинских частей и организаций, входящих в Вооруженные силы РФ, научно-исследовательских учреждений Министерства обороны Российской Федерации;
•	информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой;
•	программно-технические средства автоматизированных и автоматических систем управления войсками и оружием, вооружения и военной техники, оснащенных средствами информатизации;
•	информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов.
Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения ИБ РФ в сфере обороны, являются:
41
•	все виды разведывательной деятельности зарубежных государств;
•	информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников;
•	диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия;
•	деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны.
Внутренними угрозами, представляющими наибольшую опасность для указанных объектов, являются:
•	нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях Министерства обороны Российской Федерации, на предприятиях оборонного комплекса;
•	преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения;
•	ненадежное функционирование информационных и телекоммуникационных систем специального назначения;
•	возможная информационно-пропагандистская деятельность, подрывающая престиж Вооруженных сил РФ и их боеготовность;
•	нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов;
•	нерешенность вопросов социальной зашиты военнослужащих и членов их семей.
Перечисленные внутренние угрозы будут представлять особую опасность в условиях обострения военно-политической обстановки.
К наиболее важным объектам обеспечения ИБ в правоохранительной и судебной сферах относятся'.
•	информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;
•	информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;
•	информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).
Наряду с широко используемыми общими методами и средствами защиты информации применяются также специфические
42
методы и средства обеспечения информационной безопасности в правоохранительной и судебной сферах:
•	создание защищенной многоуровневой системы интегрированных банков данных оперативно-розыскного, справочного, криминалистического и статистического характера на базе специализированных информационно-телекоммуникационных систем;
•	повышение уровня профессиональной и специальной подготовки пользователей информационных систем.
Наиболее уязвимыми объектами обеспечения ИБ в условиях чрезвычайных ситуаций являются система принятия решений по оперативным действиям (реакциям), связанным с развитием таких ситуаций и ходом ликвидации их последствий, и система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций.
К специфическим для данных условий направлениям обеспечения ИБ относятся:
•	разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, и прогнозирования чрезвычайных ситуаций;
•	совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, условиях их возникновения и развития;
•	повышение надежности систем обработки и передачи информации, обеспечивающих деятельность федеральных органов исполнительной власти;
•	прогнозирование поведения населения под воздействием ложной или недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по оказанию помощи большому количеству людей в условиях этих ситуаций;
•	разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными и экономически важными производствами.
1.3. Организационные, физико-технические, информационные и программно-математические угрозы
1.3.1. Комплексные и глобальные угрозы ИБ деятельности человечества и обществ
Классификация угроз ИБ представлена на рис. 1.3.
По своей общей направленности угрозы ИБ РФ, как и других государств, подразделяются на следующие виды:
• угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельно-
43
Рис. 1.3. Классификация угроз И Б
сти, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
•	угрозы информационному обеспечению государственной политики Российской Федерации;
•	угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
•	угрозы безопасности информационных и телекоммуникационных средств и систем как уже развернутых, так и создаваемых на территории России.
Затем в зависимости от интенсивности и места применения в процессе функционирования системы угрозы ИБ подразделяют на случайные и преднамеренные, пассивные и активные и — по конкретным направлениям — на организационные, физико-технические, информационные и программно-математические.
Сегодня наибольшую практическую опасность представляют угрозы безопасности информационных и телекоммуникационных средств и систем как уже развернутых, так и создаваемых на территории России:
•	противоправные сбор и использование информации;
•	нарушения технологии обработки информации;
•	внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
•	разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
•	уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникаций и связи;
•	воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
•	компрометация ключей и средств криптографической защиты информации;
•	утечка информации по техническим каналам;
•	внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
•	уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
45
•	перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
•	использование ^сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
•	несанкционированный доступ к информации, находящейся в банках и базах данных;
•	нарушение законных ограничений на распространение информации.
1.3.2.	Источники угроз ИБ РФ
Источники угроз ИБ РФ подразделяются на внешние и внутренние. К внешним источникам угроз ИБ РФ относятся:
•	деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере;
•	стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;
•	обострение международной конкуренции за обладание информационными технологиями и ресурсами;
•	деятельность международных террористических организаций;
•	увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;
•	деятельность космических, воздушных, морских и Наземных технических и иных средств (видов) разведки иностранных государств;
•	разработка рядом государств концепций информационных войн и соответствующего вооружения, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.
К внутренним источникам угроз ИБ РФ относятся:
•	критическое состояние отечественных отраслей промышленности;
•	неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминаль-
46
ними структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижения степени защищенности законных интересов граждан, общества и государства в информационной сфере;
•	недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации по формированию и реализации единой государственной политики в области обеспечения ИБ РФ;
•	недостаточная разработанность нормативно-правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;
•	неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;
•	недостаточное финансирование мероприятий по обеспечению ИБ РФ;
•	недостаточная экономическая мощь государства;
•	снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения ИБ;
•	недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, разъяснении принимаемых решений, формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;
•	отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, кредитно-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.
С переходом от индустриального общества к информационному и соответствующим развитием информационных технологий значительное внимание уделяется новейшим видам так называемого гуманного оружия (несмертельным видам оружия и технологий войн), к которым относится информационное, психотронное, экономическое, консциентальное оружие и др.
Особое место занимает информационное оружие и технологии ведения информационной войны. Об их значимости свидетельствует то, что в США созданы информационные войска. Сегодня в директивах Министерства обороны США подробно излагается порядок подготовки к информационным войнам. По своей результативности информационное оружие сопоставимо с оружием массового поражения. Спектр действия информационного оружия широк: от нанесения вреда психическому здоровью людей до вне
47
сения вирусов в компьютерные сети и уничтожения информации. На суперкомпьютерах моделируются варианты возможных войн в XXI в. с использованием методов и технологии «несмертельного оружия».
В вооруженных силах НАТО значительное внимание уделяется роли «несмертельного оружия» и технологий, прежде всего информационному оружию и психолого-пропагандистским операциям в войнах XXI в., которые существенно изменяют характер применения сухопутных, военно-воздушных и военно-морских сил и геополитического и цивилизационного противоборства основных центров формирующегося многополярного мира.
Отличие видов и технологий «несмертельного оружия» от обычного военного оружия заключается в том, что оно акцентирует внимание на использовании алгоритмов и технологий, концентрирующих в себе базовые знания и направленных на поражение противника. Информационная война олицетворяет собой войну цивилизаций за выживание в условиях постоянно сокращающихся ресурсов. Информационное оружие поражает сознание человека, разрушает способы и формы идентификации личности по отношению к фиксированным общностям. Оно трансформирует память индивида, создавая личность с заранее заданными параметрами (тип сознания, искусственные потребности, формы самоопределения и т.д.), удовлетворяющими требования агрессора, выводит из строя системы управления государства-противника и его вооруженных сил.
Практика показала, что наибольшие потери вооруженные силы несут от применения против них несилового информационного оружия и, в первую очередь, от воздействия поражающих элементов, действующих на системы управления и психику человека. Информационное и консциентальное оружие воздействует на «идеальные» объекты (знаковые системы) или их материальные носители.
В настоящее время осуществляется глобальная информационно-культурная и информационно-идеологическая экспансия Запада, осуществляемая по мировым телекоммуникационным сетям (например, Интернет) и через средства массовой информации. Многие страны вынуждены принимать специальные меры для защиты своих граждан, своей культуры, традиций и духовных ценностей от чуждого информационного влияния. Возникает необходимость защиты национальных информационных ресурсов и сохранения конфиденциальности информационного обмена по мировым открытым сетям, так как на этой почве могут возникать политическая и экономическая конфронтации государств, новые кризисы в международных отношениях. Поэтому информационная безопасность, информационная война и информационное оружие в настоящее время оказались в центре всеобщего внимания.
48
Информационным оружием называются средства:
•	уничтожения, искажения или хищения информационных массивов;
•	преодоления систем зашиты;
•	ограничения допуска законных пользователей;
•	дезорганизации работы технических средств, компьютерных систем.
Атакующим информационным оружием сегодня можно назвать:
•	компьютерные вирусы, способные размножаться, внедряться в программы, передаваться по линиям связи, сетям передачи данных, выводить из строя системы управления и т.д.;
•	логические бомбы — программные закладные устройства, которые заранее внедряют в информационно-управляющие центры военной или гражданской инфраструктуры, чтобы по сигналу или в установленное время привести их в действие;
•	средства подавления информационного обмена в телекоммуникационных сетях, фальсификация информации в каналах государственного и военного управления;
•	средства нейтрализации тестовых программ;
•	различного рода ошибки, сознательно вводимые противником в программное обеспечение объекта.
Универсальность, скрытность, многовариантность форм программно-аппаратной реализации, радикальность воздействия, достаточный выбор времени и места применения, экономичность делают информационное оружие чрезвычайно опасным, так как оно легко маскируется под средства защиты (например, интеллектуальной собственности) и даже позволяет вести наступательные действия анонимно, без объявления войны.
Нормальная жизнедеятельность общественного организма определяется уровнем развития, качеством функционирования и безопасностью информационной среды. Производство и управление, оборона и связь, транспорт и энергетика, финансы, наука и образование, средства массовой информации — все зависит от интенсивности информационного обмена, полноты, своевременности, достоверности информации. Именно информационная инфраструктура общества — мишень информационного оружия. Но, в первую очередь, новое оружие нацелено на вооруженные силы, предприятия оборонного комплекса, структуры, ответственные за внешнюю и внутреннюю безопасность страны. Высокая степень централизации структур государственного управления российской экономикой может привести к гибельным последствиям в результате информационной агрессии. Темпы совершенствования информационного оружия (как, впрочем, и любого вида атакующего вооружения) превышают темпы развития технологий защиты, поэтому задача нейтрализации информационного оружия, отражения угрозы его применения должна рассматри
49
ваться как одна из приоритетных задач в обеспечении национальной безопасности страны.
Уничтожение определенных типов сознания предполагает разрушение и переорганизацию общностей, которые конституируют данный тип сознания.
Можно выделить пять основных способов поражения и разрушения сознания в консциентальной войне:
I)	поражение нейромозгового субстрата, снижающее уровень функционирования сознания, которое может происходить под действием химических веществ, длительного отравления воздуха, пищи, радиации;
2)	понижение уровня организации информационно-коммуникативной среды на основе ее дезинтеграции и примитивизации, в которой функционирует и «живет» сознание;
3)	оккультное воздействие на организацию сознания на основе направленной передачи мыслеформ субъекту поражения;
4)	специальная организация и распространение по каналам коммуникации образов и текстов, которые разрушают работу сознания (условно может быть обозначено как психотронное оружие);
5)	разрушение способов и форм идентификации личности по отношению к фиксированным общностям, приводящее к смене форм самоопределения и деперсонализации.
Воздействие по смене и преобразованию типов имиджиденти-фикаций (глубинного отождествления с той или иной позицией, представленной конкретным образом) и аутентизаций (чувства личной подлинности) осуществляют средства массовой информации, прежде всего, телевидение. Именно в этой области происходят сегодня все основные действия по разрушению российско-русского постсоветского сознания.	х
Конечная цель использования консциентального оружия — изымание людей из сложившихся форм мегаобщностей. Разрушение народа и превращение его в население происходит за счет того, что никто больше не хочет связывать и соотносить себя с тем полиэтносом, к которому он до этого принадлежал. Разрушение сложившихся имиджиндентификаций нацелено на разрушение механизмов включения человека в естественно сложившиеся и существующие общности и замену этих эволюционно-естественно сложившихся общностей одной полностью искусственной — общностью зрителей вокруг телевизора. Не важно, как человек при этом относится к тому, что он видит и слышит с экрана телевизора, важно, чтобы он был постоянным телезрителем, поскольку в этом случае на него можно направленно и устойчиво воздействовать. А вот в условиях формального мира и так называемых локальных войн консциентальная война весьма эффективна.
50
Контрольные вопросы
1.	Что такое Доктрина ИБ РФ?
2.	Перечислите четыре основные составляющие национальных интересов РФ в информационной сфере.
3.	Дайте определение ИБ РФ.
4.	Сформулируйте интересы государства, общества и личности в информационной сфере.
5.	Охарактеризуйте два основных рода информации, используемых при функционировании социальных, технических и организационно-технических систем.
6.	Что такое доступность информации?
7.	Чем определяется ценность информации для владельца?
8.	Что такое конфиденциальная информация, государственная и коммерческая тайна?
9.	Назовите три степени секретности.
10.	Назовите три категории ценности коммерческой информации.
11.	Что такое товарная ценность информации и каковы пути ее получения?
12.	Назовите основные методы определения количества информации.
13.	Приведите формулу Р. Хартли по определению количества информации.
14.	Что такое энтропийный подход? Приведите формулу К. Шеннона.
15.	Дайте характеристику оценки количества информации по вероятностной мере целесообразности управления. Приведите формулу А. А. Хар-кевича.
16.	Объясните, что такое тезаурусный подход.
17.	Что является предметом защиты в компьютерных сетях? Приведите особенности этого предмета.
18.	Перечислите основные виды угроз ИБ РФ.
19.	В чем заключается комплексное обеспечение И Б РФ?
20.	Перечислите четыре основных принципа обеспечения ИБ РФ.
21.	Сформулируйте основные направления международного сотрудничества Российской Федерации в области ИБ.
22.	Перечислите основные функции системы обеспечения ИБ РФ.
23.	Как подразделяются общие методы обеспечения ИБ РФ?
24.	Перечислите внешние источники угроз ИБ РФ.
25.	Перечислите внутренние источники угроз ИБ РФ.
26.	Каковы особенности обеспечения ИБ РФ в сферах экономики, внешней политики, внутренней политики, областях науки и техники, сфере духовной жизни, информационных и телекоммуникационных системах, в сфере обороны, правоохранительной и судебной сферах, в условиях чрезвычайных ситуаций?
Глава 2
ОРГАНИЗАЦИОННОЕ И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИБ
2.1. Правовое регулирование информационных потоков в различных видах деятельности общества
Процессы регулирования информационно-пропагандистского сопровождения любого вида деятельности общества и его структур на мировом и российском информационном пространстве являются обеспечивающей частью ИБ. Рассмотрение этой проблематики необходимо по следующим причинам.
Во-первых, средства массовой коммуникации в настоящее время трансформировались из сферы профессиональной деятельности журналистов в фактор эффективного влияния и стали политическим институтом. Однако область средств массовой коммуникации, информационного обмена и защиты процессов переработки информации является наименее кодифицированной в международном публичном праве и, соответственно, можно изучить предпосылки их направленного влияния для формирования позиций в интересах проводимой Российской Федерацией информационно^ политики.
Во-вторых, вопросы законодательной базы в области средств массовой информации (СМИ), допустимого уровня иностранного присутствия на внутрироссийском информационном пространстве являются в России в настоящее время наиболее злободневными, так как это — предметы внимания постоянного мониторинга экспертов Совета Европы и ОБСЕ; они интенсивно обсуждаются в компетентных ведомствах и парламенте Российской Федерации.
В-третьих, за последние три года в Российской Федерации принято несколько важных документов доктринального характера, которые влекут за собой существенные изменения и кодификацию правового поля в сфере средств массовой коммуникации, информационных отношений, информационно-пропагандистского обеспечения внешнеполитической деятельности нашего государства. Они могут существенно повлиять на постулируемую им позицию в данной области на международной арене.
52
В-четвертых, несмотря на то что регулирование информационных отношений (информация, средства и методы ее доведения для потребителя) является наименее разработанной областью права, как внутреннего, так и международного, за последние 13 лет в сфере внутреннего права массовой информации Россия значительно продвинулась на пути ликвидации отрыва, отделяющего ее от наиболее развитых в этом отношении стран мира, а в области международного права внесла значительный вклад в формирование принципов и норм нарождающейся отрасли права в области И Б.
Понятие информационного права возникло относительно недавно, 15 — 20 лет назад, хотя сами понятия «информация» и «информационные отношения» существовали издавна. Однако для человека любое явление существует лишь постольку, поскольку оно нашло свое место в иерархии понятий, описывающих окружающую человека и его мировосприятие действительность.
Правовой фактор приобретает особую роль и в связи с ростом значения информационно-пропагандистской деятельности и так называемой публичной дипломатии в условиях продолжающегося «информационного взрыва». Реалией сегодняшнего дня стало использование информации в качестве оружия, в том числе и оружия массового поражения. Угроза применения достижений в области информационных технологий в целях, не совместимых с задачами поддержания международного мира, например в качестве оружия терроризма, весьма реальна, что показали события, произошедшие 11 сентября 2001 г. в США. Это требует совместного принятия превентивных мер, в том числе и правового характера, для недопущения использования информационно-компьютерных технологий в целях ведения информационных войн, осуществления террористических ударов.
В качестве инструмента регулирования этих процессов может быть принято международное право массовой информации.
Международное право массовой информации — это совокупность специальных международных принципов и норм, регулирующих права и обязанности субъектов международного права в процессе использования (или санкционирования использования) средств массовой информации.
Информация (особенно массовая) является важным средством формирования национального и международного общественного мнения, неотъемлемым компонентом внутригосударственной и внешней политики. Распространение массовой информации за пределы границ государства местонахождения ее источника предполагает и международно-правовые ограничения свободы информации.
Правомерно и даже более оправдано использование термина «массовые коммуникации», который включает в себя не только распространение информации, но и взаимные контакты между
53
источниками информации и ее потребителями, т.е. обратную информационную связь.
Нормы данной отрасли права регламентируют как технические аспекты распространения массовой информации, так и вопросы ее содержания.
К настоящему моменту сформулирован ряд главных принципов, регулирующих международное использование средств массовой информации.
1.	Каждое государство имеет право на распространение массовой информации за пределами своих границ.
2.	Все народы имеют право на свободный доступ к сведениям, распространяемым с помощью средств массовой информации.
3.	Все государства имеют право развивать свои средства массовой информации и использовать их в трансграничном масштабе.
4.	Государства обязаны воздерживаться от распространения и пресекать распространение ряда антидемократических, реакционных идей, таких как пропаганда войны, расовая дискриминация, апартеид, порнография и др.
5.	Государства вправе противодействовать распространению через средства массовой информации идей, противоречащих основным принципам международного права.
6.	Государства обязаны воздерживаться от использования и пресекать использование национальных средств массовой информации для вмешательства во внутренние дела государств, а также от клеветнических кампаний, оскорбительной или враждебной пропаганды в отношении других государств.
7.	Государства обязаны поощрять распространение прогрессивных общедемократических идей.
8.	Государства обязаны осуществлять контроль за деятельностью национальных органов массовой информации, распространяющих идеи и сведения за границей.
В формировании правовой базы информационного права активное участие принимает Организация Объединенных Наций (ООН), в том числе Генеральная Ассамблея (ГА) ООН. Активную роль в этом процессе играют Комитет ООН по информации и ЮНЕСКО. Принципы и нормы, которые становятся ее основой, были зафиксированы во многих документах ООН. Однако ввиду того, что в настоящий момент происходит обособление этой отрасли международного права, его нормы и принципы рассредоточены по документам, регламентирующим смежные отрасли.
В проблеме международной информационной безопасности обозначились два различных подхода. США и поддерживающие их ряд стран НАТО пытаются свести общую проблему к частным направлениям информационной преступности и информацион
54
ного терроризма. Возможность создания информационного оружия и угроза возникновения информационных войн отодвигаются ими на задний план. Отрицается, соответственно, и разоруженческий аспект проблемы. Подобный подход позволяет сохранить свободу для дальнейших военных разработок в этой сфере, создания новых видов информационного оружия. В таком подходе США и развивающиеся страны (КНР, Индия, ЮАР, Египет, Пакистан) видят угрозу их изоляции от активного участия в решении проблемы и, кроме того, попытку консервации их уязвимости от информационной агрессии (например, Ирак и Югославия).
В соответствии с рекомендациями резолюции ГА ООН «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности» (2000 г.) в МИД России в качестве нового российского вклада в обсуждение этой темы в ООН был подготовлен проект документа «Общая оценка проблем информационной безопасности. Угрозы международной информационной безопасности». Данный документ передан в июне 2001 г. в Секретариат ООН и включен в доклад генерального секретаря по данной теме на 56-й сессии ГА ООН.
Таким образом, Россия играет одну из ключевых ролей в области разработки правовых механизмов регулирования проблематики информационного противоборства и, как следствие, международной И Б. Осознание российским политическим руководством насущной необходимости выработки общемировых правил игры на информационном поле, политическая воля и активные действия, предпринимаемые им в данном направлении, служат гарантией того, что нашей стране удастся улучшить свое нынешнее положение в данной сфере.
Распространение массовой информации с помощью электросвязи (радиовещание, международное телевизионное вещание через искусственные спутники Земли, компьютерные информационные сети) не поддается контролю со стороны государства, на территории которого население получает информацию. Но для обеспечения международного сотрудничества в этой сфере важно обеспечить техническую совместимость передающей и принимающей аппаратуры, а также исключить взаимные помехи, что обусловливает важность такого сотрудничества.
О незаконченности процесса выделения рассматриваемой отрасли международного права говорит и тот факт, что еще не получило никакого международно-правового осмысления появление сетей Интернет. Проблема правовой характеристики Интернета нуждается в специальном исследовании и соответствующем документально-правовом оформлении, которое бы отразило всю многогранность его природы, так как данное образование не может рассматриваться только как средство массовой информации в силу своей многофункциональной структуры.
55
По аналогии с теорией права можно выделить два подхода к проблеме правового регулирования в сети Интернет: первый пропагандирует абсолютную свободу, второй — верховенство законодательства в сети. Первый подход базируется на сетевых традициях и имеет очень значительное число приверженцев среди сетевого сообщества, второй подход не так распространен, более того, он встречает резкое неприятие части пользователей сети и организованный протест сторонников «Интернет-анархии» и «Интернет-фундаменталистов». Существует еще одна тенденция: большинство пользователей Интернета негативно относится к тому, чтобы государство контролировало содержание распространяемых материалов.
Россия входит в число стран — лидеров по объему информационного законодательства. Кроме положений Конституции РФ и инкорпорированных во внутреннее право норм международного характера одной из особенностей российской правовой системы является наличие в ней законов, содержащих право массовой информации в чистом виде (Федеральные законы «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ, «Об участии в международном информационном обмене» от 04.07.96 № 85-ФЗ).
Существует также большое количество законов, регулирующих разные стороны информационной деятельности применительно к конкретным явлениям: Закон РФ «О средствах массовой информации» от 27.12.91 № 2124-1, Федеральные законы «О государственной поддержке средств массовой информации и книгоиздания Российской Федерации» от 01.12.95 № 191-ФЗ, «О рекламе» от 18.07.95 № 108-ФЗ, Законы РФ «Об авторском праве и смежных правах» от 09.07.93 № 5352-1, «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1.
Имеется огромное количество указов Президента РФ и постановлений Правительства РФ, принято также значительное количество документов по вопросам телевидения и радиовещания, отдельным средствам массовой информации.
Концепция государственной информационной политики 1998 г., одобренная Государственной Думой и Постоянной палатой по государственной информационной политике Политического консультативного совета при Президенте РФ, в разд. 2.6 «Информационное право» предусматривает формирование правовой базы информационных отношений. Концепции развития законодательства, осуществляемые с 1995 г., активно влияют на законопроектный процесс в данной области. Формируется законодательная основа регулирования отношений в области информатики, что подразумевает и активное участие страны в формировании международных норм в этой сфере.
56
2.2.	Международные и отечественные правовые и нормативные акты обеспечения ИБ процессов переработки информации
Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала — за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.
Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.
Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, выделяя их как общие и для информационной политики.
Таким образом государственная информационная политика должна опираться на следующие базовые принципы:
•	открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение);
•	равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности);
•	системность (реализация процессов обеспечения ИБ через государственную систему);
•	приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);
•	социальная ориентация (основные мероприятия государственной информационной политики должны быть направлены на обеспечение социальных интересов граждан России);
•	государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы, финансируются преимущественно государством);
•	приоритетность права — законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы);
57
•	сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления);
•	интеграция с международными системами обеспечения ИБ.
2.2.1.	Международные правовые и нормативные акты обеспечения ИБ
В международной практике обеспечения ИБ основными направлениями являются:
•	нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и информационных технологий;
•	стандартизация процессов создания безопасных информационных систем.
Так, уже в 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC («Критерии оценки защищенности надежных систем»), или «Оранжевую книгу» (по цвету переплета), в которой были определены семь уровней безопасности (А 1 — гарантированная защита; Bl, В2, ВЗ — полное управление доступом; Cl, С2 — избирательное управление доступом, D — минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как «Красная книга» (по цвету переплета). В свою очередь, Агентство информационной безопасности ФРГ подготовило GREEN BOOK («Зеленая книга»), в которой рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.
В 1990 г. «Зеленая книга» была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в Европейский Союз (ЕС), где на ее основе были подготовлены ITSEC («Критерии оценки защищенности информационных технологий»), или «Белая книга», как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем и имеющий две схемы оценки: по.эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачи данных).
В «Белой книге» названы основные компоненты безопасности по критериям ITS ЕС:
58
1)	информационная безопасность;
2)	безопасность системы;
3)	безопасность продукта;
4)	угроза безопасности;
5)	набор функций безопасности;
6)	гарантированность безопасности;
7)	общая оценка безопасности;
8)	классы безопасности.
Согласно европейским критериям ITS ЕС, ИБ включает в себя шесть основных элементов ее детализации:
1)	цели безопасности и функции ИБ;
2)	спецификация функций безопасности:
•	идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе контроля целостности и функции для ограничения количества повторных попыток аутентификации);
•	управление доступом (в том числе функции безопасности, которые обеспечивают временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);
•	подотчетность (протоколирование);
•	аудит (независимый контроль);
•	повторное использование объектов;
•	точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));
•	надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т.е. безопасности данных, передаваемых по каналам связи);
•	обмен данными;
3)	конфиденциальность информации (защита от несанкционированного получения информации);
4)	целостность информации (защита от несанкционированного изменения информации);
5)	доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);
59
6)	описание механизмов безопасности.
Для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер KERBEROS, а для защиты компьютерных сетей — фильтрующие маршрутизаторы, сетевые анализаторы протоколов (экраны) типа FireWall/Plas, FireWall-1, пакеты фильтрующих программ и т.д.
Общая оценка безопасности системы по ITS ЕС состоит из двух компонентов: оценка уровня гарантированной эффективности механизмов (средств) безопасности и оценка уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).
При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности — их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие «эффективность» включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. По ITSEC декларируется три степени мощности: базовая, средняя и высокая. При проверке корректности анализируется правильность и надежность реализации функций безопасности. По 1TSEC декларируется семь уровней корректности — от ЕО до Е6.
В «Европейских критериях» установлено 10 классов безопасности (F-С/, F-C2, F-Bl, F-B2, F-B3, F-1N, F-AV, F-Dl, F-DC, F-DX). Первые пять классов безопасности аналогичны классам Cl, С2, Bl, В2, ВЗ американских критериев TCSEC. Класс F-1N предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AИпредназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процессами). Класс F-D1 ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DCхарактеризуется повышенными требованиями к конфиденциальности информации, а класс F-DX предназначен для систем с повышенными требованиями одновременно по классам F-D1 и F-DC.
Канада разработала СТСРЕС, США разработали новые «Федеральные Критерии» (Federal Criteria). Так как эти критерии яв-60
ляются несовместимыми между собой, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Common Criteria. Общие критерии дают набор критериев по оценке защищенности и устанавливают требования к функциональным возможностям и требования к гарантиям; семь уровней доверия (Уровни гарантий при оценке), которые может запросить пользователь (уровень EAL1 обеспечивает лишь небольшое доверие к корректности системы, а уровень EAL7 дает очень высокие гарантии); два понятия: «профиль защиты» и «цель безопасности».
2.2.2.	Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ
К основным задачам в сфере обеспечения и регулирования ИБ РФ относятся следующие:
•	формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан на информационную деятельность;
•	совершенствование законодательства Российской Федерации в сфере обеспечения ИБ;
•	определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ;
•	координация деятельности органов государственной власти по обеспечению ИБ;
•	создание условий для успешного развития негосударственной компоненты в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;
•	совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;
•	развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение во всех видах таких систем;
•	развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;
•	защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса;
61
•	духовное возрождение России, обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);
•	сохранение традиционных духовных ценностей при важнейшей роли Русской Православной церкви и церквей других конфессий;
•	пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;
•	повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — членов Содружества Независимых государств (СНГ);
•	создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;
•	противодействие угрозе развязывания противоборства в информационной сфере;
•	организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство.
Установление стандартов и нормативов в сфере обеспечения ИБ РФ является наиболее важной регулирующей функцией.
Девять государственных стандартов Российской Федерации (ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96) относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты процессов переработки информации:
•	системы тревожной сигнализации, комплектуемые извещателями различного принципа действия — 12 ГОСТов;
•	информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) — около 200 ГОСТов;
•	системы качества (в том числе стандарты серии 9000, введенные в действие на территории Российской Федерации) — больше 100 ГОСТов.
Значительная часть (около 60 %) стандартов на методы контроля и испытаний может быть признана не соответствующей требованию Закона РФ «Об обеспечении единства измерений» от
62
27.04.93 № 4871-1, как правило, в части погрешностей измерений. Отсутствуют стандарты в сфере информационно-психологической безопасности.
Одним из отечественных аналогов перечисленных стандартов является руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации».
Комплексный характер защиты процессов переработки информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:
•	ГОСТ 28147 — 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
•	ГОСТ Р 34.10 —94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
•	ГОСТ Р 34.11 —94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
•	ГОСТ Р 50739 — 95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
Проблема обеспечения безопасности носит комплексный характер. Для ее решения необходимо сочетание как правовых мер, так и организационных (например, в компьютерных информационных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, определяющую общее направление работ, и выделить на эти цели соответствующих ресурсы), и программно-технических (идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование).
2.3.	Организационное регулирование защиты процессов переработки информации
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. При рассмотрении вопросов ИБ такая деятельность относится к организационным методам защиты процессов переработки информации.
Организационные методы защиты процессов переработки информации включают в себя меры, мероприятия и действия, кото
63
рые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня ИБ.
Организационные методы защиты процессов переработки информации тесно связаны с правовым регулированием в области безопасности информации. На организационном уровне решаются следующие задачи обеспечения безопасности функционирования информации в КС:
•	организация работ по разработке системы защиты процессов переработки информации;
•	ограничение доступа на объект и к ресурсам КС;
•	разграничение доступа к ресурсам КС;
•	планирование мероприятий;
•	разработка документации;
•	воспитание и обучение обслуживающего персонала и пользователей;
•	сертификация средств защиты процессов переработки информации;
•	лицензирование деятельности по защите процессов переработки информации;
•	аттестация объектов защиты;
•	совершенствование системы защиты процессов переработки информации;
•	оценка эффективности функционирования системы защиты процессов переработки информации;
•	контроль выполнения установленных правил работы в КС.
Организационные методы являются стержнем комплексной системы защиты процессов переработки информации в КС. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты процессов переработки информации.
2.3.1.	Категорирование объектов и защита информационной собственности
Основным направлением по защите информационной собственности является охрана государственной, коммерческой, банковской, профессиональной и служебной тайн, персональных данных и интеллектуальной собственности.
Охрана государственной тайны. Государственная тайна — это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
64
Сведения могут считаться государственной тайной (могут быть засекречены), если:
•	они соответствуют перечню сведений, составляющих государственную тайну, входят в перечень сведений, подлежащих засекречиванию, и отвечают законодательству Российской Федерации о государственной тайне (принцип законности);
•	целесообразность засекречивания конкретных сведений установлена путем экспертной оценки вероятных экономических и иных последствий, возможности нанесения ущерба безопасности Российской Федерации исходя из баланса жизненно важных интересов государства, общества и личности (принцип обоснованности);
•	ограничения на распространение этих сведений и на доступ к ним установлены с момента их получения (разработки) или заблаговременно (принцип своевременности);
•	компетентные органы и их должностные лица приняли в отношении конкретных сведений решение об отнесении их к государственной тайне и засекречивании и установили в отношении них соответствующий режим правовой охраны и защиты (принцип обязательной защиты).
Охрана коммерческой тайны. Коммерческая тайна — это информация, которая имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к которой нет свободного доступа на законном основании и к которой принимаются меры по охране конфиденциальности. Она охраняется при содействии государства.
Основными субъектами права на коммерческую тайну являются обладатели коммерческой тайны, их правопреемники.
Обладатели коммерческой тайны — физические (независимо от гражданства) и юридические (коммерческие и некоммерческие организации) лица, занимающиеся предпринимательской деятельностью и имеющие монопольное право на информацию, составляющую для них коммерческую тайну.
Правопреемники — это физические и юридические лица, которым в силу служебного положения, по договору или на ином законном основании (в том числе по наследству) известна информация, составляющая коммерческую тайную другого лица.
В России к коммерческой тайне относилась промысловая тайна, но затем, в начале 1930-х гг., она была ликвидирована как правовой институт и в связи с огосударствлением отраслей экономики защищалась как государственная и служебная тайна.
К коммерческой тайне не может быть отнесена информация:
•	содержащаяся в учредительных документах;
•	содержащаяся в документах, дающих право заниматься предпринимательской деятельностью (регистрационные удостоверения, лицензии и т.д.);
65
•	содержащаяся в годовых отчетах, бухгалтерских балансах, материалах государственных статистических наблюдений и другой годовой бухгалтерской отчетности, включая аудиторские заключения, а также в иных формах, связанных с исчислением и уплатой налогов, обязательных платежей;
•	содержащая сведения об оплачиваемой деятельности государственных служащих, о задолженности работодателей по выплате заработной платы и другим выплатам социального характера, численности и кадровом составе работающих;
•	содержащаяся в годовых отчетах фондов об использовании имущества;
•	о реализации государственной программы приватизации и об условиях приватизации конкретных объектов;
•	о размерах имущества и вложенных средствах при приватизации;
•	подлежащая раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством Российской Федерации о ценных бумагах;
•	связанная с соблюдением экологического и антимонопольного законодательства, обеспечением безопасных условий труда, реализацией продукции, причиняющей вред здоровью населения, другими нарушениями законодательства Российской Федерации, законодательства субъектов Российской Федерации, а также содержащая данные о размерах причиненных при этом убытков;
•	о деятельности благотворительных организаций и иных некоммерческих организаций, не связанной с предпринимательской деятельностью;
•	о наличии свободных рабочих мест;
•	о хранении, использовании или перемещении материалов и применении технологий, представляющих опасность для жизни и здоровья граждан или окружающей среды;
•	о ликвидации юридического лица, порядке и сроке подачи заявлений или требований его кредиторами;
•	для которой определены ограничения по установлению режима коммерческой тайны в соответствии с федеральными законами и принятыми в целях их реализации подзаконными актами.
Охрана банковской тайны. Банковская тайна — это сведения о банковских операциях по счетам и сделкам в интересах клиентов, счетах и вкладах своих клиентов и корреспондентов, а также сведения о клиентах и корреспондентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни.
К основным объектам банковской тайны относятся следующие:
1)	тайна банковского вклада — сведения о всех видах вкладов клиента в кредитной организации;
66
2)	тайна частной жизни клиента или корреспондента — сведения, составляющие личную, семейную тайну и охраняемые законом как персональные данные этого клиента или корреспондента;
3)	тайна банковского счета — сведения о счетах клиентов и корреспондентов и действиях с ними в кредитной организации (о расчетном, текущем, бюджетном, депозитном, валютном, корреспондентском и тому подобных счетах, об открытии, о закрытии, переводе, переоформлении счетов и т.д.);
4)	тайна операций по банковскому счету — сведения о принятии и зачислении поступающих на счет клиента денежных средств, выполнении его распоряжений по перечислению и выдаче соответствующих сумм со счета, а также о проведении других операций и сделок по банковскому счету, предусмотренных договором банковского счета или законом.
Охрана профессиональной тайны. Профессиональная тайна — защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам держателя или другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.
Информация профессиональной тайны по критериям охраноспособности права может соответствовать следующим требованиям:
•	информация не относится к сведениям, составляющим государственную и коммерческую тайну;
•	информация стала известной или была доверена лицу лишь в силу исполнения им своих профессиональных обязанностей;
•	информация стала известной или была доверена лицу, не состоящему на государственной или муниципальной службе (в противном случае информация считается служебной тайной);
•	по федеральному закону имеется запрет на распространение доверенной или ставшей известной информации, которое может нанести ущерб правам и законным интересам доверителя.
В соответствии с этими критериями можно выделить следующие объекты профессиональной тайны.
1.	Врачебная тайна — информация, содержащая:
•	сведения о факте обращения за медицинской помощью, о состоянии здоровья, диагнозе заболевания и иные сведения, полученные при обследовании и лечении гражданина;
•	сведения о проведенных искусственном оплодотворении и имплантации эмбриона, а также о личности донора;
•	результаты обследования лица, вступающего в брак;
•	сведения о доноре и реципиенте при трансплантации органов и (или) тканей человека;
67
•	сведения о наличии психического расстройства, фактах обращения за психиатрической помощью и лечении в учреждении, оказывающем такую помощь, а также иные сведения о состоянии психического здоровья гражданина;
•	иные сведения в медицинских документах гражданина.
2.	Нотариальная тайна — сведения, доверенные нотариусу в связи с совершением нотариальных действий.
3.	Адвокатская тайна — сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи.
4.	Тайна связи — тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
5.	Тайна усыновления — сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.
6.	Тайна страхования — сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности.
7.	Тайна исповеди — сведения, доверенные гражданином священнослужителю на исповеди.
Охрана служебной тайны. Служебная тайна — защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.
Служебная тайна является видом конфиденциальной информации, и право на служебную тайну выступает самостоятельным объектом права. Для осуществления ее правовой охраны принят Закон РФ «О тайне» от 21.07.93 № 5485-1.
К основным объектам тайны относятся следующие виды информации:
•	служебная информация о деятельности федеральных государственных органов, доступ к которой ограничен федеральным законом в целях защиты государственных интересов: военная тайна; тайна следствия (данные предварительного расследования либо следствия); судебная тайна (тайна совещания судей, содержание дискуссий и результатов голосования закрытого совещания Конституционного суда РФ, материалы закрытого судебного заседания, тайна совещания присяжных заседателей или в силу служебной необходимости, порядок выработки и принятия решения, организация внутренней работы и т.д.);
•	охраноспособная конфиденциальная информация, ставшая известной в силу исполнения служебных обязанностей должност
68
ным лицом государственных органов и органов местного самоуправления: коммерческая тайна, банковская тайна, профессиональная тайна, а также конфиденциальная информация о частной жизни лица.
Информация служебной тайны должна отвечать критериям охраноспособности права:
•	являться собственной служебной тайной, т.е. должна быть отнесена федеральным законом к служебной информации о деятельности государственных органов, доступ к которой ограничен по закону или в силу служебной необходимости;
•	являться охраноспособной конфиденциальной информацией служебного характера (чужой тайной) другого лица (коммерческая тайна, банковская тайна, тайна частной жизни, профессиональная тайна);
•	не являться государственной тайной и не входить в перечень сведений, доступ к которым не может быть ограничен;
•	быть получена представителем государственного органа и органа местного самоуправления только в силу исполнения обязанностей по службе в случаях и порядке, установленных федеральным законом.
Информация, не отвечающая этим требованиям, не может считаться служебной тайной и не подлежит правовой охране. В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной информации ограниченного распространения:
•	сведения из актов законодательства, устанавливающих правовой статус государственных органов, организаций, общественных объединений, информация о правах, свободах и обязанностях граждан, порядке их реализации;
•	сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах; экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, производственных объектов, граждан и населения в целом;
•	сведения из описаний структур органов исполнительной власти, их функций, направлений и форм деятельности, информация об их адресе и месте расположения;
•	информация о порядке рассмотрения и разрешения заявлений физических и юридических лиц;
•	сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
•	информация из документов открытых фондов библиотек и архивов, информационных систем организаций, необходимая для реализации прав, свобод и обязанностей граждан.
69
Охрана персональных данных. В Европе для охраны и защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки личных данных о гражданах более 25 лет назад был введен особый институт правовой охраны личности — институт защиты персональных данных. Более чем в 20 европейских государствах приняты национальные законы о персональных данных, в ряде стран введены независимые уполномоченные по защите персональных данных, во всех странах Европейского Союза с 1998 г. создана единая унифицированная система защиты персональных данных, в том числе в секторе телекоммуникаций.
Объектом правоотношений здесь выступает право на персональные данные — информация (зафиксированная на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.
К персональным данным могут быть отнесены сведения, использование которые без согласия субъекта персональных данных может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам:
•	биографические и опознавательные данные (в том числе об обстоятельствах рождения, усыновления, развода);
•	сведения о семейном положении (в том числе о семейных отношениях);
•	сведения об имущественном, финансовом положении (кроме случаев, прямо установленных в законе);
•	личные характеристики (в том числе о личных привычках и наклонностях);
•	сведения о состоянии здоровья.
Субъектами права здесь выступают:
•	лица, к которым относятся соответствующие данные, и их наследники;
•	держатели персональных данных — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие на законных основаниях сбор, хранение, передачу, уточнение, блокирование, обезличивание, уничтожение персональных данных (баз персональных данных).
Для персональных данных и работы с ними предусмотрены следующие правила:
•	персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства;
•	данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме, за исключением случаев, прямо установленных в законе;
70
•	персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации;
•	персональные данные, предоставляемые держателем, должны быть точными; в случае необходимости они должны обновляться;
•	персональные данные должны храниться не дольше, чем этого требует цель, и подлежать уничтожению по достижении этой цели или по миновании надобности;
•	персональные данные охраняются в режиме конфиденциальной информации, исключающем их случайное или несанкционированное разрушение или случайную утрату, а также несанкционированный доступ к данным, их изменение, блокирование или передачу.
•	устанавливается специальный правовой режим использования персональных данных лиц, занимающих высшие государственные должности, и кандидатов на эти должности.
Охрана интеллектуальной собственности. К числу основных объектов интеллектуальной собственности относятся:
•	произведения науки, литературы и искусства;
•	результаты исполнительской деятельности артистов, режиссеров, дирижеров;
•	результаты творчества;
•	звукозаписи и записи изображения;
•	передачи радио- и телевизионных сигналов;
•	изобретения;
•	промышленные образцы;
•	профессиональные секреты (ноу-хау);
•	полезные модели;
•	селекционные достижения;
•	фирменные наименования и коммерческие обозначения правообладателя;
•	товарные знаки и знаки обслуживания;
•	наименования мест происхождения товаров;
•	другие результаты интеллектуальной деятельности и средства индивидуализации, на которые в соответствии с законом могут признаваться или закрепляться исключительные права.
2.3.2. Ответственность за нарушение законодательства в информационной сфере
Ответственность в действующем законодательстве оговорена в следующих случаях: неправомерное засекречивание; нарушение требований по составу предоставляемых сведений; неопубликова
71
ние сведений; нарушение права граждан на бесплатное получение информации; сокрытие (непредоставление) сведений об обстоятельствах, создающих опасность для жизни или здоровья людей; несвоевременное предоставление сведений; сокрытие информации; сообщение ложных (недостоверных) сведений; ограничение права на предоставление информации; искажение сведений; нарушение свободного международного информационного обмена.
За непредоставление информации гражданам, палатам Федерального собрания Российской Федерации и Счетной палате Российской Федерации (ст. 140 и 287), а также за сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (ст. 237), в Уголовном кодексе РФ, введенным в действие 13.06.96, предусмотрена ответственность.
Защита права на доступ к информации может осуществляться:
•	в форме, находящейся за пределами юрисдикции (самозащита своих прав и законных интересов);
•	в юрисдикционной форме (в административном или судебном порядке).
В административном порядке — через подачу жалобы лицом, чьи права нарушены, на должностное лицо (орган) в вышестоящую инстанцию, специальный орган — Судебную палату по информационным спорам при Президенте РФ.
В судебном порядке — лицо может выбрать любой способ защиты нарушенных прав через подачу иска (жалобы) для рассмотрения в гражданском, административном или уголовном судопроизводстве.
При рассмотрении иска в гражданском судопроизводстве потерпевший вправе использовать основные способы защиты гражданских прав, предусмотренных в ст. 12 Гражданского кодекса РФ, введенного в действие 30.11.96, в том числе требовать:
•	признания права;
•	прекращения действий, нарушающих право или создающих угрозу его нарушения;
•	признания недействительным акта государственного органа или органа местного самоуправления;
•	восстановления права;
•	возмещения убытков;
•	компенсации морального ущерба.
Случаи рассмотрения иска в административном судопроизводстве при нарушении права на доступ к объективной информации достаточно многочисленны.
Так, в Кодексе об административных правонарушениях, введенном в действие 30.12.2001, предусматривается административная ответственность за следующие нарушения:
72
•	нарушение права граждан на ознакомление со списком избирателей (ст. 5.1);
•	изготовление или распространение анонимных агитационных материалов (ст. 5.12);
•	умышленное уничтожение, повреждение агитационных печатных материалов (ст. 5.14);
•	непредоставление или неопубликование отчетов о расходовании средств на подготовку и проведение выборов (референдума) (ст. 5.17);
•	непредоставление либо неопубликование сведений об итогах голосования или о результатах выборов (ст. 5.25);
•	невыполнение обязанностей по регистрации в судовых документах операций с вредными веществами и смесями (ст. 8.16);
•	изготовление или эксплуатация технических средств, не соответствующих государственным стандартам или нормам на допускаемые уровни радиопомех (ст. 13.8);
•	непредоставление сведений федеральному антимонопольному органу (ст. 19.8);
•	непредоставление информации для составления списков присяжных заседателей (ст. 17.6);
•	невыполнение законных требований прокурора, в том числе на предоставление информации (ст. 17.7);
•	несообщение сведений о гражданах, состоящих или обязанных состоять на воинском учете (ст. 21.4);
•	нарушение порядка и сроков предоставления сведений о несовершеннолетних, нуждающихся в передаче на воспитание и др. (ст. 5.36);
•	нарушение порядка предоставления обязательного экземпляра документов и др. (ст. 13.23);
•	отказ в предоставлении гражданину информации (ст. 5.39);
•	злоупотребление свободой массовой информации (ст. 13.15);
•	воспрепятствование распространению продукции средства массовой информации (ст. 13.16);
•	воспрепятствование приему радио- и телепрограмм (ст. 13.18);
•	нарушение правил распространения обязательных сообщений (ст. 13.17).
В уголовном судопроизводстве рассматриваются иски, предусмотренные в Уголовном кодексе РФ, введенном в действие 13.06.96, за следующие нарушения:
•	отказ в предоставлении гражданину информации (ст. 140);
•	сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (ст. 237);
•	отказ в предоставлении информации Федеральному собранию Российской Федерации или Счетной палате Российской Федерации (ст. 287).
73
Контрольные вопросы
1.	Раскройте содержание основных принципов Доктрины ИБ РФ.
2.	Перечислите основные направления обеспечения ИБ в мировой практике.
3.	Сформулируйте основные задачи обеспечения ИБ РФ.
4.	Приведите основные функции государственной системы обеспечения ИБ РФ.
5.	Сформулируйте задачи обеспечения безопасности функционирования информации в КС.
6.	Каковы основные отечественные и зарубежные стандарты в области ИБ?
7.	Какая система называется безопасной, а какая — надежной?
8.	Что такое политика безопасности?
9.	Каковы основные предметные направления защиты информации?
10.	Что такое государственная тайна?
11.	Что такое коммерческая тайна?
12.	Что такое служебная тайна?
13.	Что такое профессиональная тайна?
14.	Что такое персональные данные?
15.	Что такое источники права на доступ к информации?
16.	Каковы уровни доступа к информации с точки зрения законодательства?
17.	Что такое информация ограниченного распространения?
18.	Каковы виды доступа к информации?
19.	В чем может заключаться ответственность за нарушение законодательства в информационной сфере?
Глава 3
МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ ОБЩЕСТВА И ЕГО СТРУКТУР
3.1.	Современные подходы к обеспечению решения проблем ИБ деятельности общества
Информационная сфера является сегодня системообразующим фактором для всех реальных сфер общества. С одной стороны, она в значительной мере определяет состояние экономической, оборонной, социальной, политической и других составляющих национальной безопасности и влияет на безопасность различных общественных структур и институтов. С другой стороны, ИБ представляет собой самостоятельную часть безопасности, роль и значение которой с каждым годом неуклонно возрастает. Особая роль ИБ объясняется теми глобальными процессами, которые характерны сегодня для социально-экономического развития цивилизации. Передовые, развитые в экономическом и технологическом отношении страны вступили в стадию постиндустриального общества, в котором основные производительные силы наряду с переработкой вещества и энергии заняты информационными процессами во всех сферах жизни и деятельности людей.
Количественные изменения объемов используемых обществом информационных ресурсов неизбежно повлекли за собой трансформацию их качественной роли. Так, еще в 1970-х гг. президент Американской академии наук Ф.Хандлер имел основания заявить, что экономика США основана не на естественных ресурсах, а на умах и применении научного знания. Примерно в то же время осознание социальной роли научного знания, технологических достижений и информационных ресурсов происходило в СССР (достаточно вспомнить многие директивные документы того времени, определяющие самую информатизованную сферу — науку как производительную силу общества).
Одной из главных глобальных проблем конца XX — начала XXI в. стала безопасность жизнедеятельности. Распространенные в общественном мнении идеи и мнения, действующие законы и нормативные акты выделяют несколько укрупненных структур
75
ных видов (направлений) безопасности. Чаще всего обсуждается военная или оборонная, экономическая, социально-политическая, экологическая ИБ, в последнее время — и техническая как безопасность техносферы. Очевидно, что такая классификация является, с одной стороны, базовой, с другой — условной. В зависимости от конкретной ситуации и особенностей геополитических условий существования государства и общества, разнообразия источников опасности и угроз указанные направления безопасности могут быть детализированы в зависимости от конкретного момента или периода времени. Также можно говорить о безопасности техносферы (энергосистем, транспортных систем, производственных систем и т.д.), продовольственной безопасности и т.д. Классификация видов ИБ жизнедеятельности государства представлена на рис. 3.1.
В настоящее время информация является не только специфическим и очень ценным товаром, но и основным стратегическим ресурсом. Инфраструктуру государств формируют территориальные и региональные телекоммуникационные и компьютерные сети, распределенные базы данных и знаний. Появляется новая отрасль общественного производства, охватывающая процессы и средства создания, распространения, обработки и использования (потребления) информации. В эту сферу постепенно вовлекается все большая часть трудоспособного населения. Кроме того, информационные технологии и средства широко внедряются во все сферы жизнедеятельности общества, включая не только традиционно информатизованные, такие как наука, образование, управление, военное дело, но и все иные — бизнес, быт, организация досуга и т.д. В процессе информатизации происходит кардинальная смена способов производства, мировоззрения людей, самого стиля и характера жизни, интенсивности общения. В потреблении информации во многих странах участвуют почти 100 % населения (и не только занятого производительным трудом). Это говорит о том, что информация стала продуктом самого массового производства и всеобщего потребления.
Прогресс в области информатизации закономерно привел к появлению новых понятий и, как следствие, новой терминологии. Сейчас уже говорят не только об информации как таковой, но и об информационном ресурсе (человечества, нации, страны и региона, отрасли экономики или знания, фирмы, предприятия), информационном пространстве, информационной среде или сфере, где циркулируют информационные потоки. Возникли и широко обсуждаются такие понятия, как «информационная борьба», «информационная война» и «информационное оружие», «информационная безопасность», «защита информации» и «защита от информации», «информационное противоборство» и «информационный терроризм», «информационные диверсии».
76
Виды ИБ жизнедеятельности государства
Рис. 3.1. Классификация видов И Б жизнедеятельности государства
Несанкционированное или незаконное извлечение информационных ресурсов противника (государства, конкурента, владельца информации) является одной из технологий информационного шпионажа.
Другая опасность в ИБ — это информационные взаимодействия с целью разрушения или дезорганизации информационных ресурсов противника или конкурента. Это дезинформация, информационный терроризм и информационные диверсии. При современном уровне развития информационных технологий такие воздействия могут осуществляться множеством способов и приводят или к разрушению (утрате) ценной информации, или к ее искажению, или к внедрению ложной информации в целях дезорганизации, дезориентации, создания условий для принятия неверных решений.
ИБ личности и общества связана с воздействиями в информационном пространстве. Здесь на первый план выходят воздействия на психику и сознание, в том числе общественное. Для такого воздействия разработаны и могут широко применяться методики, основанные на дезинформировании, информационном шантаже с использованием результатов электронного контроля за жизнедеятельностью людей, их политической деятельностью и личными планами, с использованием всей мощи современных средств массовой информации. Важность последнего вида ИБ привела к необходимости рассмотрения нового направления — информационно-психологической безопасности. Информационно-психологическую безопасность связывают с защищенностью граждан, отдельных групп и социальных слоев, массовых объединений людей и населения в целом от негативных информационно-психологических воздействий.
Наибольший интерес в информационном воздействии представляют системы критических приложений. Сегодня таковыми принято называть системы, нарушение которых приводит к непосредственной и резкой дезорганизации управления и нарушению функционирования защищаемой структуры. Все современные системы критических приложений достаточно компьютеризированы и имеют соответствующее программное обеспечение.
ИБ составляет важную и неотъемлемую часть информационной борьбы, которую можно рассматривать как противоборство в информационном пространстве с использованием «информационного оружия», которое, в свою очередь, является средством информационного воздействия на соответствующий объект (людей, системы управления и связи, средства хранения и обработки информации и т.д.). В отличие от традиционных средств вооружения, включая даже ядерное оружие, «информационное оружие» может в некоторых современных условиях оказаться даже более эффективным. В настоящее время практически нет ограничений
78
для применения этого оружия даже в мирное время. Так, злонамеренные воздействия на техническую систему могут быть оказаны уже на этапе ее проектирования и создания в виде преднамеренного внесения специальных дефектов диверсионного типа (например, программных закладок и вирусов) в математическое обеспечение.
Одной из важнейших проблем было и остается обеспечение социально-политической безопасности, которая предполагает защиту жизненно важных интересов социальных субъектов макро-и микроуровней, сохранение и развитие человеческого потенциала, поддержание эффективного стимулирования деятельности людей, систем их социализации и жизнеобеспечения, непреходящих ценностей, нравственности. Важно обеспечить информационную потребность по праву на получение и использование информации.
Современные информационные технологии позволяют эффективно воздействовать на психику людей, создавая новые формы манипулирования индивидуальным, групповым и массовым сознанием. Разумеется, такие формы информационно-психологической агрессии должны уравновешиваться эффективными мерами обеспечения соответствующей ИБ.
Как уже было отмечено, основу экономики развитого государства составляют информационные ресурсы. Понятие национальных информационных ресурсов сегодня претендует на роль новой экономической категории. Но информационные ресурсы — это непосредственный продукт интеллектуальной деятельности наиболее квалифицированной и творчески активной части трудоспособного населения страны. Ущерб, наносимый информационным ресурсам любой структуры (государства, фирмы), непосредственно затрагивает интересы экономической безопасности.
Важно также и то, что информационное пространство не имеет государственных границ, не имеет таких институтов защиты государственных интересов, какими являются пограничная и таможенная службы.
Сегодня одним из наиболее существенных объектов безопасности в оборонной сфере являются информационные ресурсы и информационная структура оборонного потенциала страны (вооруженных сил, военных и военно-промышленных объектов). Эти системы могут оказаться весьма уязвимыми с точки зрения воздействия информационного оружия как в военное, так и в мирное время. За счет скрытого внедрения в программное обеспечение программных закладок и вирусов средства сдерживания агрессора оказываются полностью или частично нейтрализованными к моменту наступления угрожаемого периода.
Одной из важнейших проблем глобального масштаба является сегодня проблема обеспечения экологической безопасности. Она
79
связана с защитой интересов личности, общества и государства от потенциальных и реальных угроз, создаваемых последствиями антропогенного воздействия на среду, а также от природных стихийных бедствий и катастроф. Проблема информатизации в обеспечении экологической безопасности весьма сложная: многоплановая, комплексная, многоаспектная. Она неразрывно связана с другими видами И Б жизнедеятельности государства (см. рис. 3.1).
Для оценки нагрузки на окружающую среду I в экологии пользуются формулой глобального развития Д.Медоуза:
I=NAT,	(3.1)
где N — численность населения; А — уровень благосостояния (потребление на душу населения); Т — технологический ущерб, наносимый при производстве единицы продукции с использованием данной технологии.
Это соотношение позволяет обнаружить прямую связь между информацией, информационными технологиями и нагрузкой на окружающую среду. Действительно, для уменьшения нагрузки на окружающую среду необходим переход к экологически чистым, энерго- и ресурсосберегающим, безотходным технологиям. А это возможно только в условиях коренной перестройки экономики за счет ее информатизации, разработки и широкого внедрения новых информационных технологий во все сферы экономики, в том числе в сферы материального и энергетического производства, всего социума человеческой жизнедеятельности.
В формуле (3.1) сомножитель А характеризует уровень благосостояния, т. е. информатику разумного стандарта потребления. Это должна быть своевременная, достоверная и объективная информация, освобожденная от сознательных и случайных искажений и подмен.
В технологическую часть И Б жизнедеятельности государства должны входить не только технические средства и технологии обеспечения ИБ, но и их реализация на крупных жизненно важных объектах функционирования государства: энергосистемах и транспортных системах, основных промышленных производствах и др.
Успешное решение проблем технического обеспечения И Б является основой стабильного и надежного функционирования всей системы И Б государства.
Создание и организация функционирования любых современных структур и систем (в частности, предприятий любых организационных форм и форм собственности), прежде всего требует обеспечения их информационного взаимодействия с внешней средой, которое должно быть максимально надежным и безопасным.
80
3.2.	Методология информационного противоборства
3.2.1.	Цели, задачи, признаки и содержание геополитического информационного противоборства
Целью ГИП является противостояние и противодействие информационной агрессии, а также нарушение ИБ враждебного государства. В обусловленных случаях она направлена на разрушение целостности (устойчивости) системы государственного и военного управления иностранных государств, эффективное информационное воздействие на их руководство, политическую элиту, системы формирования общественного мнения и принятия решений. Одна из важнейших целей ГИП — обеспечение ИБ РФ для завоевания информационного превосходства в мировом информационном пространстве.
Информационная борьба (в политической сфере) включает в себя три составные части:
1)	стратегический политический анализ;
2)	информационное воздействие;
3)	информационное противодействие.
При этом ведение информационной борьбы осуществляется по следующим уровням:
•	стратегический;
•	оперативный;
•	тактический.
Следует выделить два вида информационной борьбы: информационно-психологическую и информационно-техническую, которые воздействуют на социально-биологические и технические объекты (рис. 3.2).
На стратегическом уровне информационного геополитического противоборства в основном должны действовать высшие органы государственной власти России, а спецслужбы и крупный капитал должны действовать на оперативном и тактическом уровнях.
Воздействие — это действие, направленное на кого-нибудь с целью добиться чего-нибудь, внушить что-нибудь.
В психологии под воздействием понимается целенаправленный перенос движения и информации от одного участника взаимодействия к другому. Воздействие может быть непосредственное (контактное) и опосредованное (дистанционное, с помощью чего-либо).
Как уже отмечалось ранее, существуют определенные характеристики функционирования информации в обществе: размах циркуляции, время циркуляции, направление движения, эмоциональная окраска информации, способ переработки информации, цель переработки информации.
Именно воздействие является целью процессов переработки информации.
81
Рис. 3.2. Классификация объектов информационной борьбы
При ведении информационной борьбы объектами воздействия могут быть: психика людей, информационно-технические системы различного масштаба и назначения, система формирования, распространения и использования информационных ресурсов, система формирования общественного сознания (с помощью пропаганды и средств массовой информации), система формирования и функционирования общественного мнения, система принятия решений.
Объекты воздействия можно разделить на технические (в основном они находятся в сфере интересов информационно-технической борьбы) и социально-биологические (особое внимание им уделяется в ходе информационно-психологической борьбы). В роли технических объектов могут выступать системы управления и связи, финансово-экономической деятельности государства и т.д. Если же говорить о социально-биологических объектах, то к ним можно отнести отдельных индивидов, социальные группы, общество, государство, мировое сообщество, животный мир, геологические структуры и растительный мир. Основными социальными элементами общества являются социальные группы и отдельные индивиды.
Для защиты от негативных воздействий социальных объектов в ходе глобального ГИП необходимо создание системы информационно-психологического обеспечения как составной части национальной безопасности России. Данная система должна обеспечить защиту психики политической элиты и населения России от негативного информационно-психологического воздействия (т. е. защиту россиян от негативных информационных потоков геополитических противников России). Ее основная задача — обеспечение психологической безопасности населения и политической элиты России.
Информационно-психологическое воздействие (ИПВ) представляет собой целенаправленное производство и распространение специальной информации, оказывающей непосредственное влияние (положительное или отрицательное) на функционирование и развитие информационно-психологической среды общества, психику и поведение политической элиты и населения России.
Психологическое и пропагандистское воздействие является разновидностью информационно-психологического воздействия.
В связи с появлением и ускоренным развитием средств массовой информации резко усилилась роль общественного мнения, которое колоссальным образом стало влиять на политические процессы в обществе, особенности функционирования информационно-психологической среды общества. Поэтому система формирования общественного мнения также является одним из основных объектов информационно-психологического обеспечения.
Информационное оружие — это методы, устройства и средства, предназначенные для нанесения противоборствующей стороне
83
максимального урона в ходе информационной борьбы (путем опасных информационных воздействий).
В тех случаях, когда информационное оружие прямо или опосредованно используется против психики человека (или социальной группы), то речь должна идти об информационно-психологической борьбе. Практически можно назвать только три объекта воздействия, каждый из которых относится к определенному типу информационной борьбы (в чистом виде): информационно-технические системы, информационно-аналитические системы (не включающие в себя человека) и информационные ресурсы (см. рис. 3.2).
Источники информационных опасностей могут быть естественными (объективными) и умышленными.
Информационное противоборство, так же как и информационная война, включает в себя три составные части:
1)	стратегический политический и социально-экономический анализ;
2)	информационное воздействие;
3)	информационное противодействие.
Рассматривая теорию информационного противоборства в политической и социально-экономической сферах, следует учитывать, что она происходит на стратегическом, оперативном и тактическом уровнях.
Информационно-психологическое воздействие представляет собой целенаправленное производство и распространение специальной информации, оказывающей непосредственное влияние (положительное или отрицательное) на функционирование и развитие информационно-психологической среды общества, психику и поведение руководства различного уровня и населения России.
Психологическое и пропагандистское воздействия являются разновидностью информационно-психологического воздействия.
Необходимо отметить, что информационные воздействия опасны или полезны не столько сами по себе, сколько тем, что «запускают» мощные вещественно-энергетические процессы, управляют ими.
Суть колоссального влияния информации как раз и заключается в ее способности «точечно» контролировать социальные процессы, влиять на параметры, которые на много порядков выше самой управляющей информации. Особое значение имеет использование инфологем.
Инфологема — это ложная, искаженная или неполная информация, представляющая реальные события-идеологическими мифами, политическими пропагандистскими измышлениями. Ин-фологемы появляются на свет как результат сознательных, целенаправленных манипулятивных воздействий или, что значительно реже, — неосознаваемых заблуждений. Инфологемы способны к расширенному самовоспроизводству, самоумножению. Они фор
84
мируют картины мира в индивидуальном, групповом и массовом сознании, устойчивые стереотипы индивидуального и социального поведения, ценностные установки и ориентации будущих поколений.
Задача профессионала информационной войны — вовремя разглядеть инфологемы противника и своевременно отреагировать.
Производство инфологем всегда носит деструктивный характер. Они ложатся на благодатную почву взвинченной психологии масс, сходу вводятся в информационные каналы и легко перетекают в различные области духовной жизни. Особенно эффективны инфологемы во время выборов, т. е. в период обострения политической ситуации, неизбежного в ходе избирательного процесса. Тогда они являются основным продуктом деятельности политтехнологов. Политические консультанты, в том числе журналисты, предоставляющие свои материалы в печатные и электронные СМИ и Интернет, широко используют инфологемы предвыборного назначения. Один из часто встречающихся примеров — «фигура умолчания» (сообщается, что кандидат привлекался к суду, но ничего не говорится о сути и времени правонарушения). Вообще, тщательно дозированная информация может существенно исказить представления избирателей о кандидатах и их программах.
Большая часть социально-политических инфологем имеет две особенности:
1) ксенофобия, ненависть к чужому;
2) стремление найти врага, виновника своих бед.
В кризисных ситуациях избирательного процесса, чреватых неопределенным исходом, инфологемы выполняют следующие функции:
1)	охранная;
2)	аргументирующая;
3)	комментирующая;
4)	провозглашающая;
5)	отвлекающая;
6)	скрывающая;
7)	ложно ориентирующая (ориентирующая не в тех направлениях);
8)	дезориентирующая (подменяющая ориентиры).
3.2.2. Информационно-манипулятивные технологии
Используемые манипулятивные приемы, их варианты и видоизменения очень разнообразны.
Для определения «ядра» технологических элементов системы манипулятивного воздействия используется комплексный критерий, который основывается на учете сочетания трех основных факторов:
85
•	частоты использования приемов в различных манипулятивных технологиях;
•	широты их применения в разнообразных информационнокоммуникативных ситуациях;
•	степени действенности, связанной с повышением эффекта манипулятивного воздействия на человека.
С точки зрения истории справедливо отметить, что одной из первых попыток систематизации приемов ИПВ на массовое сознание с помощью пропаганды явилось описание в ряде зарубежных и отечественных источников технологий стереотипизации и «большой лжи», а также выделение следующих основных приемов ИПВ, достаточно широко известных специалистам как «азбука пропаганды»:
•	«приклеивание или навешивание ярлыков» (name calling);
•	«сияющие обобщения» или «блистательная неопределенность» (glittering generality);
•	«перенос» или «трансфер» (transfer);
•	«ссылка на авторитеты», «по рекомендации», «свидетельства» или «свидетельствование» (testimonial);
•	«свои ребята» или «игра в простонародность» (plain folks);
•	«перетасовка» или «подтасовка карт» (card stacking);
•	«общий вагон», «общая платформа» или «фургон с оркестром» (band wagon).
Они нашли широкое применение в рекламно-пропагандистских акциях и в настоящее время как технологии ИПВ активно используются и российскими средствами массовой коммуникации.
Рассмотрим технологии применения этих приемов.
«Приклеивание или навешивание ярлыков». Данный прием заключается в выборе оскорбительных эпитетов, метафор, названий, имен — так называемых ярлыков — для обозначения, именования человека, организации, идеи, любого социального явления. Эти «ярлыки» вызывают эмоционально негативное отношение окружающих, ассоциируются у них с низкими (бесчестными и социально неодобряемыми) поступками (поведением) и, таким образом, используются для того, чтобы опорочить личность, высказываемые идеи и предложения, организацию, социальную группу или предмет обсуждения в глазах аудитории.
«Сияющие обобщения» или «блистательная неопределенность». Этот прием заключается в замене названия, обозначения определенного социального явления, идеи, организации, социальной группы или конкретного человека более общим родовым именем, которое имеет положительную эмоциональную окраску и вызывает доброжелательное отношение окружающих. Он основан на эксплуатации положительных чувств и эмоций людей к определенным понятиям и словам, например таким, как «свобода», «демократия», «патриотизм», «содружество», «мир», «счастье»,
86
«любовь», «успех», «победа», «здоровье» и т.д. Такого рода слова, несущие позитивное психоэмоциональное воздействие, применяются для протаскивания решений и взглядов, оценок и действий, выгодных для конкретного лица, группы или организации.
«Перенос» или «трансфер». Суть данного приема заключается в искусном, ненавязчивом и незаметном для большинства людей распространении авторитета и престижа того, что ими ценится и уважается, на то, что ей преподносит источник коммуникации. Использованием «трансфера» инициируются ассоциации, формируются ассоциативные связи преподносимого объекта с кем-либо или чем-либо, имеющим ценность и значимость у окружающих. Используется также и негативный «трансфер» посредством побуждения к ассоциациям с явно отрицательными понятиями и социально неодобряемыми явлениями, событиями, действиями, фактами, людьми и т.д. Он используется для дискредитации конкретных лиц, идей, ситуаций, социальных групп и организаций.
«Ссылка на авторитеты», «по рекомендации», «свидетельства» или «свидетельствование». Этот прием заключается в приведении высказываний личностей, обладающих высоким авторитетом, или, наоборот, таких личностей, которые вызывают отрицательную реакцию у категории людей, подвергающихся манипулятивному воздействию. Используемые высказывания обычно содержат оценочные суждения в отношении людей, идей, событий, программ, организаций и выражают их осуждение или одобрение. Таким образом, у человека как объекта манипулятивного воздействия инициируется формирование соответствующего отношения — эмоционально-позитивного или отрицательного.
«Свои ребята» или «игра в простонародность». Иногда также используются такие названия, как «рубаха-парень», «простонародность», «простой». Цель данного приема заключается в попытках установления доверительных отношений с аудиторией как с близкими по духу людьми на основании того, что коммуникатор, его идеи, предложения, высказывания хороши, так как принадлежат простому народу. Достаточно часто этот прием используется для создания позитивного отношения к конкретному человеку, являющемуся в данном случае объектом рекламно-информационного продвижения, пропагандистской кампании по формированию спроектированного (сконструированного) для него имиджа — «человека из народа», и, таким образом, формирование к нему доверия и позитивного отношения.
«Перетасовка» или «подтасовка карт». Данный прием заключается в отборе и тенденциозном преподнесении только положительных или только отрицательных фактов и доводов при одновременном замалчивании противоположных. Его основная цель заключается в том, чтобы, используя односторонний подбор и
87
подачу фактов, свидетельств, доводов, показать привлекательность или, наоборот, неприемлемость какой-либо точки зрения, программы, идеи и т.д.
«Общий вагон», «общая платформа» или «фургон с оркестром». При использовании данного приема осуществляется подбор суждений, высказываний, фраз, требующих единообразия в поведении, создающих впечатление, будто так делают все. Сообщение, например, может начинаться словами: «Все нормальные люди понимают, что...» или «Ни один здравомыслящий человек не станет возражать, что...» и т.д. Посредством «общей платформы» у человека вызывается чувство уверенности в том, что большинство членов группы, определенной социальной общности, с которой, в частности, он себя идентифицирует или мнение которой значимо для него, принимают конкретные ценности, идеи, программы, разделяют предлагаемую точку зрения.
В технологиях ИПВ применяются множество других приемов, которые также имеют хорошую эффективность воздействия на людей.
1.	«Осмеяние». При использовании этой технологии осмеянию могут подвергаться как конкретные лица, так и взгляды, идеи, программы, организации и их деятельность, различные объединения людей, против которых идет борьба. Выбор объекта осмеяния осуществляется в зависимости от целей и конкретной информационно-коммуникативной ситуации.
2.	«Метод отрицательных групп отнесения». Технология пользования этим методом, независимо от содержания взглядов и идей, одинакова. В каждом случае утверждается, что данная совокупность взглядов является единственно правильной. Все те, кто разделяет эти взгляды, обладает какими-то ценными качествами, в определенном плане лучше тех, кто разделяет другие (часто противоположные или принципиально отличные от пропагандируемых).
3.	«Повторение лозунгов» или «повторение шаблонных фраз». Условием эффективности использования этой технологии является прежде всего «соответствующий лозунг», т. е. относительно краткое высказывание, сформулированное таким образом, чтобы привлекать внимание и воздействовать на воображение и чувства читателя или слушателя. При его конструировании используются психолингвистические процедуры и, в частности, символическая нагрузка фонем в используемых словах. Пользование приемом «повторения лозунгов» предполагает, что слушатель или читатель не будет задумываться ни над значением отдельных слов, используемых в лозунге, ни над правильностью всей формулировки в целом.
4.	«Эмоциональная подстройка». Эту технологию можно определить как способ создания настроения с одновременной передачей определенной информации. Настроение вызывается среди группы людей с помощью различных средств (соответствующее
88
внешнее окружение, определенное время суток, освещение, легкие возбуждающие средства, различные театрализованные формы, музыка, песни, и т.д.). На этом фоне передается соответствующая информация, но стремятся к тому, чтобы ее не было слишком много. В психологии существует специальный термин — «фасци-нация», которым обозначают условия повышения эффективности воспринимаемого материала благодаря использованию сопутствующих фоновых воздействий. Наиболее часто эта технология используется в театрализованных представлениях, игровых и шоу-программах, на религиозных (культовых) мероприятиях и т.д.
5.	«Продвижение информации через медиаторов». Данная технология, как показывают исследования, основывается на том, что процесс восприятия значимой информации и, в частности, определенных ценностей, взглядов, идей, оценок имеет нередко двухступенчатый характер. Это означает, что эффективное информационное воздействие на человека часто осуществляется не непосредственно от средств массовой коммуникации, а через значимых для него авторитетных людей.
В качестве медиаторов в различных ситуациях и для разных социальных групп и слоев могут выступать неформальные лидеры, политические деятели, представители религиозных конфессий, деятели культуры, науки, искусства, спортсмены, военные и т.д.
Манипулятивный эффект усиливается за счет вкрапления в развлекательные программы и интервью прямых или косвенных оценок лидеров, происходящих событий, что способствует оказанию желаемого влияния на подсознательном уровне психики человека.
6.	«Мнимый выбор». Методология данной технологии заключается в том, что слушателям или читателям сообщается несколько разных точек зрения по определенному вопросу, но так, чтобы незаметно представить в наиболее выгодном свете ту, которую хотят, чтобы она была принята аудиторией.
7.	«Инициирование информационного противоборства». Одной из эффективных технологий информационного воздействия на большие группы людей является инициирование вторичной информационной волны, суть которого заключается в проведении пропагандистской акции такого характера, что она заставляет осветить ее в ряде средств массовой коммуникации. Возможен вариант, когда не содержание самой акции, а ее освещение в некоторых средствах массовой коммуникации делается таким образом, что это заставляет значительно большое количество средств массовой коммуникации комментировать первоначальные сообщения, тем самым многократно усиливая мощность информационно-психологического воздействия. Происходит распространение информационного сообщения в других СМИ, т. е. создается так называемая первичная информационная волна. Основная же цель
89
использования этого приема заключается в создании вторичной информационной волны на уровне межличностного общения посредством инициирования соответствующих обсуждений, оценок, появления соответствующих слухов. Все это позволяет достичь и усилить эффект информационно-психологического воздействия на целевые аудитории.
Нельзя сказать, что указанные ранее способы и приемы позволяют убедить большинство людей в чем угодно. Безусловно, с их помощью можно достичь значительных результатов, особенно если это делается по тщательно спланированной и долговременной программе с привлечением высококвалифицированных компетентных специалистов. Использование манипулятивных приемов, включая комплексное и массированное их применение, имеет значительно меньший эффект в аудитории информированной, с устойчивой системой обоснованных взглядов, а также знающей технологию манипулятивного воздействия и обладающей некоторым опытом целенаправленной социально-психологической защиты.
8.	Слухи как технология информационного противоборства. Использование данной технологии имеет смысл выделить отдельно, так как она реализуется в результате применения комплекса различных приемов. Существует также ряд предпосылок социально-психологического характера, которые способствуют возникновению и распространению слухов среди людей. Психологические механизмы возникновения и распространения слухов давно привлекают внимание исследователей. Как правило, эффект от использования ложной информации носит кратковременный характер, в основном в тот период, пока пропагандистское воздействие осуществляется в условиях дефицита информации.
Проведенные специалистами эксперименты показали, что характер этих искажений непосредственно связан с имеющимися у людей социальными установками, так называемыми предиспози-ционными факторами — человек подсознательно настроен воспринимать в первую очередь именно то, что он ожидает. Кроме того, искажение также определяется особенностями и механизмами человеческого восприятия и отношений между людьми в процессе общения.
Система слухов предназначена для распространения информации любого толка и создания определенного настроения среди населения. Посредством слухов возможно отыгрывать клеветнические материалы или самим распространять «темы», снижающие рейтинг оппонента. Через сеть «слухи» задаются информационные поводы, которые в дальнейшем отыгрываются в СМИ. Например: «Население говорит что..., а правда ли это?». Существуют и другие формы, но все зависит от слуха и от того, что конкретно преследовалось при создании и распространении слуха.
90
Все слухи обсуждаются и получают четкую территориальную привязку по распространению и идеологическую направленность.
Основные направления системы слухов:
•	создание благоприятных условий для ведения пропаганды и агитации в чью-либо пользу;
•	повышение рейтинга объекта;
•	своевременная отработка информационных поводов;
•	привлечение внимания к изданиям;
•	создание условий для опровержения клеветнических нападок со стороны оппонентов;
•	искусственное создание информационных поводов как для защиты, так и для нападения;
•	возможное введение населения в заблуждение;
•	дискредитация противников.
Объекты распространения слухов:
•	непосредственные места работы;
•	садовые участки, дачи (если есть);
•	соседи по дому, знакомые;
•	любые мероприятия, посещаемые «слухачами».
Технологические процессы работы системы слухов:
1)	задается тема «слух»;
2)	прописывается сценарий;
3)	инструктором и сценаристом прорабатываются возможные варианты подачи слуха;
4)	осуществляется выезд на территорию и сбор людей для проведения обучения методикам подачи слуха;
5)	проводится инструктаж по порядку работы с заданным слухом;
6)	определяется время действия слуха.
Формы применения технологии системы слухов:
•	рассказ одного человека другому о том, что он где-то слышал или читал (в случае «читал» по заданию указывается издание);
•	обмен мнением о прочитанном «материале» в удобной для нас форме (при необходимости указывается издание);
•	рассказ о том, что я слышал от своего знакомого о... ТЕМА (форма рассказа — по секрету; применение выражений: «Я первый узнал из достоверных источников», «Это точно проверено»);
•	доверительная беседа с друзьями и знакомыми и перевод разговора на заданную тему с высказыванием НАШЕГО МНЕНИЯ, ИНФОРМАЦИИ;
•	беседа с домашними и близкими родственниками. Например: «Я ехал и слышал в транспорте, что спорили или говорили о... ТЕМА».
В соответствии с информационной характеристикой слухи подразделяются на четыре основных типа:
•	абсолютно недостоверные слухи;
91
•	недостоверные слухи с элементами правдоподобия;
•	правдоподобные слухи;
•	достоверные слухи с элементами неправдоподобия.
Используя экспрессивную характеристику и вызываемую общую эмоциональную реакцию, слухи подразделяются на следующие типы:
•	слухи-желания, когда распространяемая информация имеет целью или объективно приводит к разочарованию по поводу не-сбывшихся в последующем ожиданий и вызывает соответствующую деморализацию людей;
•	слухи-пугала, распространение которых наиболее эффективно, имеет благоприятную психологическую основу в среде с преобладающими настроениями тревоги, неуверенности и страха и обычно существенно деморализует людей, блокирует реализацию ими своих социальных обязанностей и дезорганизует целесообразную деятельность;
•	разобщающие агрессивные слухи, вносящие разлад во взаимоотношения людей, нарушающие привычные социальные связи и организационно-структурные образования подозрительностью и взаимным недоверием, неприязнью и ненавистью к отдельным лицам или группам людей.
По степени влияния на психику людей слухи также подразделяются:
•	на будоражащие общественное мнение определенных групп людей, но не вызывающие явно выраженных форм асоциального поведения;
•	вызывающие антиобщественное поведение некоторой части определенных социальных групп, разрушающие социальные связи и организационно-управленческие отношения между людьми и выливающиеся в массовые беспорядки, панику и т.д.
9. Провокации как технологии информационного противоборства. Еще в древние времена в борьбе конфликтующими сторонами использовались приемы первого уровня, в соответствии с которым при отсутствии или недостаточности событий, которые могут служить нужными информационными поводами, их целенаправленно создавали. Убийство послов, превращение мирных актов протеста в агрессивные массовые беспорядки благодаря действиям внедренных провокаторов, террористические акты, а также многие другие организованные действия проводятся с целью посеять панику и ужас.
Примечателен тот факт, что многие правила и приемы ведения психополитических войн, используемые еще древними цивилизациями, находят применение и сейчас несмотря на то, что мир вступил в третье тысячелетие. Второй уровень ИПВ манипулятивного характера касается использования различных средств и технологий во внутриполитической борьбе, экономической кон
92
куренции и деятельности организаций, находящихся в состоянии конфликтного противоборства. Третий уровень ИПВ включает в себя манипулирование людей друг другом в процессе межличностного взаимодействия. Экономические особенности рынка, прежде всего того, который имеет место в практике современной России и всего постсоветского пространства, буквально на глазах внес кардинальные изменения в поведение огромной части населения, подавляющее большинство которого оказалось не готово ни психологически, ни морально к жестким правилам выживания по законам индивидуализма.
Технические достижения XXI в. предоставили качественно новые возможности средствам массовой информации, превращающиеся в руках ограниченной части населения в мощный инструмент информационной экспансии. Подлинный плюрализм в средствах массовой информации, так же как влияние широких масс на информационную политику частных и государственных компаний, — явление редкое и, скорее, является исключением, чем правилом в силу отсутствия подлинной независимости СМИ. Вместе с тем мир стоит на пороге очередного прорыва в области распространения информации благодаря расширяющимся всемирным сетям кабельного и спутникового вещания, которые, в свою очередь, способствуют появлению новых технологий ИПВ.
Существующая в России система взглядов на информационнопсихологическое обеспечение при столкновении с реальной действительностью оказалась малоэффективной из-за отсутствия законодательно принятых теоретических основ, специальных подразделений и непрофессионализма исполнителей. Необходимы меры по организации финансирования и проведению государственный научно-исследовательских работ с целью создания эффективных технологий обеспечения психологической безопасности политической элиты и населения России в условиях ведения глобального информационно-психологического противоборства между ведущими странами мира.
10. «Организованный хаос» как технология информационного противоборства. Такая технология эффективна при применении как относительно государств, так и цивилизаций.
Суть этой технологии заключается во внесении деструктивных помех в бытие объекта применения как организованной общности и системы исторически сложившихся отношений (в систему управления и власти) для его дальнейшей самостоятельной дезинтеграции. Наиболее «продвинутый» вид этой технологии — перерождение элементов системы и ее подсистем путем изменения смысла й знака их функционирования.
Цель данной технологии — лишить противника не только воли к сопротивлению, но и ментально переродить его, с тем чтобы он воспринимал свою новую роль «осваиваемого пространства и ре
93
сурса» с радостью и энтузиазмом. Это самое страшное во всем спектре технологий и новейших операционных средств информационного противоборства, поскольку стиранию и перерождению подлежит как раз все то, что и делает нацию — нацией, народ — народом, цивилизацию (эту особую и высшую форму человеческой общности) — цивилизацией.
Основная технология изменения знака национальной культуры — это придание всем явлениям жизни и культуры товарной (отчуждаемой, меновой) формы, что приводит к превращению всех былых национальных святынь и ценностей в прозаический товар.
Все исторические традиции и сама история народа (объекта осваивания) подвергается осмеянию, оглуплению и иронической интерпретации.
Главными технологиями по дезавуированию прав народов внутри собственной страны, в том числе их права выступать в качестве полноправного политического суверена и в качестве единственного легитимного источника власти, являются:
1)	насильственная (принудительная) люмпенизация населения;
2)	«кланирование» политической жизни страны;
3)	всемогущество «административного ресурса власти», при котором воля народа ей просто не интересна, так как власть может всегда получить необходимый ей результат.
«Кланирование» населения страны приводит к тому, что выживать будут только члены кланов. Они же и будут продвигаться по жизни, как правило, в иерархии собственных кланов. Борьба кланов (их представителей и лоббистов) заменяет борьбу политических партий, т. е. представительную народную демократию. В этом случае оказывается ненужным и сам народ как основной носитель политической суверенности и единственный источник легитимности власти.
Эффективным методом внедрения технологии «организованного хаоса» и предпосылкой ее эффективности является снятие у нации (и ее элиты) знания и ощущения ведущейся против страны войны.
Хаотизация системы высшего управления осуществляется следующими путями:
•	изменение приоритетов государственного целеполагания;
•	депрофессионализация и недееспособность ее аппаратов;
•	создание атмосферы полной бесконтрольности и личной безответственности ее членов;
•	возможность любого произвола относительно любых граждан и структур государства.
Стратегия государства выстраивается вслед прочерченным планам личного обогащения элиты, а вся мощь государства направляется на реализацию этих планов и нетленность их результатов.
94
Хаотизация системы исполнения достигается теми же методами на всех уровнях, но кроме них применяются методы подмены исполнения национальных целей и задач обсуждением и выполнением функциональных задач всех ветвей власти. Втягиванием всего населения страны (через СМИ) в бесконечность обсуждений второстепенных проблем самой власти достигается полная информационная неразбериха в головах населения и непонимание им того, чем действительно должна заниматься власть.
Таким образом в государстве создается атмосфера полного отчуждения населения от власти.
Критерий «сокращения страданий» большинства, выработанный и принятый под воздействием конкретных природных и исторических условий поколениями советских людей, заменяется альтернативным критерием выбора жизнеустройства — «увеличением наслаждений» избранных.
Хаотизация системы обеспечения достигается:
•	в народном хозяйстве — изгнанием из национальной экономики ее обязательной социальной составляющей, а также созданием обстановки, в которой национальное развитие является невыгодным, а честный производительный труд — не престижным делом;
•	социальной сфере — недоступностью основных конституционно гарантированных прав для абсолютного большинства населения государства;
•	сфере культуры — насильственной «вестернизацией» и изменением (сломом) национальных святынь, ценностей и исторических корней, уничтожением самобытности и насильственным внедрением ценностей индивидуального процветания и культивированием их примата над ценностями коллективного существования;
•	сфере публичной политики — полным размыванием всего политического спектра, невозможностью появления новых ярких политических лидеров, явной (в прямом смысле) продажностью и зависимостью от власти всех официально существующих политических сил в стране, невозможностью организации нормального политического процесса и т.д.
Хаотизация системы корректировки достигается сращиванием силовых структур с организованной преступностью, преступной государственной кадровой политикой (выдвижением лояльных бездарей), полным «идеологическим развратом» самих органов безопасности и правопорядка, а также нежеланием власти реформировать силовые структуры государства и установить над ними дееспособный контроль, дезорганизацией контроля на предприятиях, умалением значения метрологического обеспечения производства.
95
3.2.3. Технологии информационного противоборства в Интернете и их анализ
В арену внутриполитической и социально-экономической борьбы превратился национальный российский сегмент Интернета. Специфическое свойство Интернета — возможность быстрого вбрасывания в глобальное информационное пространство как позитивных, так и негативных сведений (а в случае регистрации сайта за рубежом — подачи информации без раскрытия источников и заинтересованных сторон) — широко используется всеми политическими силами. Приведем несколько примеров.
1.	26 ноября 1998 г. на одном из серверов, предоставляющих пространство для создания бесплатных веб-страниц, появился сайт «Коготь, режущий покрывало скрытности и лжи», содержащий материалы слежки и прослушивания ряда видных российских политиков, бизнесменов и журналистов. Сайт просуществовал в публичном доступе около суток.
2.	В январе 1999 г. в сети появляется сайт анонимного агентства «Слуховое окно». Цель создателей, судя по всему, — практическая отработка и проведение специальных информационных операций в Интернете.
3.	19 февраля 1999 г. в Интернете появился сайт «Коготь-2». Сайт был зарегистрирован за пределами России. «Коготь-2» содержал материалы о политической элите Красноярского края, взаимоотношениях федеральных и региональных политиков.
4.	Российские специалисты информационного противоборства в политической сфере смело осваивают западные публичные сайты. Новый сайт «Коготь-7» внес специфику в процесс информационного противоборства. Дело в том, что в отличие от своих предшественников «Коготь-7» физически находился не в российской части сети, а на Интернет-сервере г. Прово (США), что недалеко от Солт-Лэйк-Сити, а потому у заинтересованных лиц было немного шансов добиться удаления «Когтя-7» из сети. В этом и заключается один из главных экспериментов, который ставят создатели сайта: «Коготь» продержался в сети чуть более суток, а «Слухи» — несколько дней; оба сайта физически размещались на российских серверах и были удалены их администраторами. Но на этот раз удалить сайт непросто. Это значит, что любители использовать Интернет для проведения специальных информационных операций после нескольких проб и ошибок, кажется, додумались до того, как относительно безопасно, а главное — на длительный срок размещать в сети «достоверные слухи» из мира политики и бизнеса.
Современный Интернет следует понимать не как техническое изобретение, а как сложившееся сообщество людей, с разной интенсивностью пользующихся компьютерными сетями. В этом
96
мировом сообществе могут и неминуемо должны проявиться политические интересы и пристрастия.
Интернет начинался и входил в жизнь своих адептов с двух исходных видов сетевого сервиса, которые можно отнести к асинхронным видам общения, не требующим одновременного пребывания общающихся людей в единой среде общения. Это, прежде всего, обмен электронной почтой (e-mail) — как правило, между двумя собеседниками, хотя возможны множественная рассылка некоего сообщения и подключение к микросреде общения некоторых (немногих) партнеров по общению. При массовом подключении партнеров по общению возникает другой сервис асинхронных обсуждений, включающий в себя электронные доски объявлений, листы рассылки, ньюсгруппы (компьютерные телеконференции) или эхо-конференции, а впоследствии и веб-фо-румы.
Сервис синхронного общения (или, как часто говорят, общения в реальном времени) также включает в себя средства общения в диаде, в малой группе или массового общения. Независимо от используемых программных средств («компьютерный пейджер»; ICQ, или так называемая аська; выходящее из моды IRC; общение между участниками групповых игр и т.д.) чаще всего говорят о среде синхронных чатов, хотя вполне допустимый синхронный обмен сообщениями по электронной почте чатом обычно не называют. Не ограничиваясь перепиской, пользователи Интернета осваивают передачу интерактивных видеоизображений вместе с голосовыми сообщениями — фактически это широкополосная передача информации, регистрируемой микрофоном и видеокамерой. Данный сервис применяется пока что в довольно ограниченном масштабе, по большей части транснациональными фирмами для проведения производственных совещаний.
Функции Интернета не ограничиваются коммуникацией. Одна из наиболее массовых функций (познавательная) представляет собой размещение на сайтах и страницах WWW информационных материалов, а также поиск информации. Размещение информационных источников под силу самым разным индивидам и (или) организациям. Это частные лица, которые обзавелись веб-страничкой, информационные агентства (наряду с самыми известными и популярными газетами, агентствами и студиями и т.д.), множество специализированных информационных служб с узкой «целевой» аудиторией, официальные органы и ведомства, общественные движения и службы, общедоступные собрания информации (библиотеки, архивы, издательства и т.д.) и вновь сформированные сетевые хранилища, каталоги и т.д. Все более широко информационные массивы включают наряду с текстовыми материалами изображения и звуковые носители информации (примерами могут служить репродукции музейных коллекций живо
97
писи, музыкальные собрания, кинофильмы и телефильмы, видеозаписи и т.д.).
Практически все функции и сервисы Интернета применяются для целей политической деятельности. Активность политических организаций в Интернете мало чем отличается от таковой активности в СМИ. Однако не раз замечено, что Интернет весьма оперативно «обживается» многочисленными маргинальными организациями и общественными движениями — малочисленными и (или) небогатыми, и (или) радикальными и др. Применение Интернета, во-первых, способствует частичному (исключительно в выгодном свете «неудобная» информация может не афишироваться) информированию о задачах, целях и методах действия таких организаций и движений; во-вторых, Интернет облегчает для членов таких сообществ быструю передачу тайной информации (например, инструкций, указаний, предостережений и т.д.). Понимание необходимости борьбы с законспирированными террористическими организациями побудило демократические страны пойти навстречу запросам спецслужб и расширить правовые возможности осуществлять перехват таких сообщений, тем не менее технически задача перехвата и расшифрования подозрительных сообщений не стала проще.
В отличие от большинства детей взрослые нарушители этики делают это вполне осознанно. Политическая реальность слишком часто расходится с эталонами этичного поведения.
Часто пользователи Интернет — участники акций — считают, что неэтичное поведение в нем будет скрыто. На практике оказывается, что на самом деле анонимность подобных акций — большая иллюзия. Дело в том, что подключение к Интернету в любой точке мира возможно только через сервер компании-провайдера, которая ведет подробную запись того, кто, с какого номера телефона, когда и к каким ресурсам сети обращался. Каким-то образом миновать попадание в так называемые логические файлы невозможно.
Жизнеспособность самого явления использования Интернет-сайтов для «вброса» компромата является фактом, и эта отнюдь не чистая технология будет существовать, пока на нее имеется политический «заказ». Этот способ относительно дешевый по сравнению с традиционными способами. Использование Интернета для этой цели возможно и в период проведения избирательной кампании любого уровня.
По масштабам ИПВ на электорат Интернет пока еще уступает традиционным печатным и электронным СМИ. Однако те преимущества, которыми он обладает, позволяют рассматривать его как важную составную часть всего идеологического и политического инструментария трансформации мирового и российского общественного сознания. Самой опасной чертой СМИ (и Интер
98
нета как СМИ), считают многие специалисты, является их способность подавать информацию таким образом, чтобы за видимой объективностью у большой массы людей формировалась требуемая (заказанная) картина реальности.
Сила и результативность ИПВ, осуществляемых посредством СМИ, прежде всего телевидения, объясняются сильным психологическим эффектом сопричастия к событиям, когда человек погружается в них «здесь и сейчас». Этот своеобразный эффект, получивший название «эффект CNN», оценивается многими как главное условие эффективности ИПВ посредством СМИ. Поскольку большинство радиовещательных станций и телевизионных каналов, новостных и политических программ представлено в Интернете, эффект CNN срабатывает также и для пользователей Интернета. При этом нельзя не отметить такой фактор, как отсутствие официальной (политической или нравственной) цензуры, свобода распространения и получения информации в Интернете.
В развитых странах и в некоторых крупных городах России отмечается тенденция предпочтительного получения информации из Интернета, чем посредством обычных СМИ. Объясняется это существенным сокращением времени на поиск информации. При этом пользователь сам отбирает нужную ему информацию. Обычные же СМИ нацелены на навязывание информации и максимально возможное управление подачей информации для достижения политических или иных целей.
Вполне легальным способом ИПВ на пользователей Интернета является распространение пропагандистских информационных материалов с помощью различных технологий привлечения внимания, организации виртуальных групп по интересам, сбора адресов электронной почты для организации массовых рассылок.
Существуют два пути распространения информации в Интернете:
I)	посещение пользователем сайта с необходимой информацией;
2)	получение пользователем информации на адрес своей электронной почты.
Увеличение посещаемости конкретного сайта достигается с помощью включения его Интернет-адреса в различные популярные поисковые системы. Другой технологией привлечения внимания пользователей является размещение баннеров на различных часто посещаемых сайтах.
Создание различных виртуальных групп по интересам в Интернете также служит легальным способом для проталкивания тех или иных идей. Образовавшаяся постоянная виртуальная группа свидетельствует о наличии людей, способных к восприятию продвигаемых идей, а рост численности группы показывает эффективность ИПВ.
99
Сбор адресов электронной почты в сети также создает основу для проведения целенаправленного воздействия на большие группы людей, поскольку позволяет создавать большие базы данных с информацией персонального характера, что дает возможность выделять группы влияния. В дальнейшем при необходимости этим группам можно высылать материалы пропагандистского характера.
Технологии быстрого распространения информации через компьютерные сети будут приобретать большее значение, так как они позволяют проводить целенаправленные информационно-пропагандистские мероприятия без контроля со стороны государства.
Сила ИПВ в Интернете умножается многократно благодаря новым технологиям мультимедиа и виртуальной реальности (ВР). Эти технологии поддерживают эмоциональную составляющую ИПВ, вовлекая пользователя в новые переживания по поводу прочитанного или услышанного. Нахождение в виртуальном пространстве вообще небезопасно для личности, поскольку имитация действительности есть своеобразный психологический инструмент воздействия на сознание и подсознание человека. Могут возникать и новые формы опосредованного социального контроля, основанные на замаскированном манипулировании сознанием, мягком подавлении психики. С практической точки зрения технологии ВР позволяют сделать ИПВ индивидуальным, ориентированным на манипуляцию сознания конкретной личности. Часто это происходит посредством изощренной рекламы того или иного лица или идеи, сопровождающейся продуманным визуальным фоном. Технологии ВР могут использоваться для создания любой реальной ситуации, сочетая элементы реального видеоизображения и элементы, созданные компьютерной графикой.
Однако в Интернете встречаются и специфические приемы, свойственные только сети: незаконное вмешательство посторонних лиц в работу корпоративных компьютерных систем, хакерский взлом с кражей паролей и рассылка подложных электронных писем, частичная или полная подмена «неприятельского» веб-сайта, например посредством кражи доменного имени, в результате чего пользователь попадает на ложную страницу, и многое другое.
3.3.	Области и объекты защиты информационной деятельности на предприятиях и в организациях
3.3.1.	Области и сферы обеспечения ИБ предприятий и организаций
Новые информационные технологии, глобальная компьютеризация и глобальные сети породили новые источники угроз для всей информационной среды, в которой существует и развивает
100
ся общество. Появление новых угроз вследствие этого сделало очень уязвимым многое из того, что ранее считалось добротно защищенным. Сегодня под прицел информационного оружия попадают стратегически важные объекты страны: экономические, объекты управления, оборонные и т.д. Это самая важная причина, вследствие которой старые методы и подходы, на которых базировались системы защиты информации — охрана государственной тайны, защита каналов передачи информации от перехватов, утечки, несанкционированного доступа, — в новых условиях отходят на второй план. Главным становится технологический прорыв в защите от новых видов информационного оружия — компьютерных вирусов, логических бомб, средств подавления.
Кроме того, в нашей стране произошли революционные экономические и социальные трансформации. Сегодня появились новые объекты защиты, на которые не обращалось практически никакого внимания в недавнем прошлом. Прежде всего, речь идет о правах. Например, право граждан на информацию. Реальной силой становится общественное мнение, которое в условиях складывающихся общественных отношений требует особого внимания к своему формированию. Угрозы стали распространяться и на духовную сферу. Поэтому сегодня подверженными информационным угрозам оказались сферы образования, культуры и науки.
Главная проблема заключается в том, что все время приходится находить баланс между интересами государства и интересами общества в целом.
Проблемой И Б является открывшаяся в последние годы глобальность информационных воздействий через сети типа Интернет. Решение ее особенно важно в настоящее время в связи с расширяющимся применением Интернет в организациях и на предприятиях.
Информационные угрозы прокладывают путь для реализации других видов угроз и, соответственно, для защиты интересов стран, которые пытаются на вас воздействовать.
Особенностью современных информационных взаимодействий являются изменения отношений собственности в нашей стране. Теперь многие аспекты безопасности предприятий и структур с негосударственной формой собственности должны решаться самими предприятиями. Среди этих аспектов можно выделить и обширный круг проблем обеспечения ИБ. В этой связи особую актуальность приобретают задачи максимально экономного расходования собственных ресурсов предприятия на такую непроизводительную сферу, какой на первый взгляд является сфера защиты информации.
Теперь уже стало известно, что незаконное (несанкционированное) использование, хищение или искажение деловой (бан
101
ковской, коммерческой, статистической) информации неизбежно ведет к тяжелым экономическим последствиям. Все сказанное ранее заставляет с особым вниманием отнестись к угрозам безопасности, исходящей от информационной сферы, и способам парирования информационных угроз правильному функционированию организационных, организационно-технических и технических систем в организациях. При этом вопросы обеспечения ИБ на предприятии должны быть решены на всех стадиях жизненного цикла его деятельности, начиная с предпроектного обследования объекта. В качестве объекта можно рассматривать комплекс автоматизированных информационных технологий (АИТ) экономического объекта.
Важное место среди организационных мероприятий по обеспечению безопасности переработки информации занимает охрана как предприятия, так и комплекса АИТ, на котором он расположен (территория здания, помещения, хранилища информационных носителей).
3.3.2.	Производственные и социальные объекты защиты информационной деятельности и обеспечения ИБ
К объектам ИБ относится то, что и прежде так или иначе защищалось от «постороннего» взгляда или вмешательства: информационные ресурсы, независимо от форм хранения, содержащие данные, составляющие государственную тайну и другие конфиденциальные сведения; информационные системы различных классов и разного назначения (библиотеки, архивы, базы и банки данных, средства теледоступа, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации); информационная инфраструктура и ее элементы; центры обработки и анализа информации; каналы информационного обмена и телекоммуникации; механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе сами системы и средства защиты процессов переработки информации. Из перечисленного видно, что большинство, если не все информационные системы, являющиеся объектами И Б, одновременно являются и организационными, организационнотехническими либо техническими системами.
Объектом защиты процессов переработки информации является компьютерная система или автоматизированная система обработки данных (АСОД), функционирующая на предприятии. В работах, посвященных защите процессов переработки информации в автоматизированных системах, до последнего времени использовался термин «автоматизированная система обработки данных», который все чаще заменяется термином «компьютерная система».
102
Компьютерная система — это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Наряду с термином «информация» применительно к КС часто используют термин «данные». Используется и другое понятие — «информационные ресурсы». В соответствии с Федеральным законом «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ под информационными ресурсами понимаются отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и других информационных системах).
Понятие «компьютерная система» очень широкое, оно охватывает следующие системы:
•	ЭВМ всех классов и назначений;
•	вычислительные комплексы и системы;
•	вычислительные сети (локальные, региональные и глобальные).
Предметом защиты в КС являются процессы переработки информации. Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также машинные носители. С помощью устройств ввода или систем передачи данных (СПД) информация попадает в КС. В системе информация хранится в запоминающих устройствах (ЗУ) различных уровней, преобразуется (обрабатывается) процессорами (ПЦ) и выводится из системы с помощью устройств вывода или СПД. В качестве машинных носителей используются бумага, магнитные ленты, диски различных типов. Ранее в качестве машинных носителей информации использовались бумажные перфокарты и перфоленты, магнитные барабаны и карты. Большинство типов машинных носителей информации являются съемными, т.е. могут сниматься с устройств и использоваться (бумага) или храниться (ленты, диски, бумага) отдельно от устройств.
При решении проблемы защиты процессов переработки информации в КС необходимо учитывать также человеческий фактор системы. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.
Понятие «объект защиты», или «объект», чаще трактуется в более широком смысле. Для сосредоточенных КС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные и программные средства, обслуживающий персонал, пользователей, но и помещения, здания и даже прилегающую к зданиям территорию.
Одними из основных понятий теории защиты информации являются понятия «безопасность процессов переработки информации в КС» и «защищенные КС».
103
Безопасность процессов переработки информации в КС — это такое состояние всех компонентов КС, при котором обеспечивается защита процессов переработки информации от возможных угроз на требуемом уровне. Компьютерные системы, в которых обеспечивается безопасность процессов переработки информации, называются защищенными.
Достигается ИБ проведением руководством соответствующего уровня политики ИБ. Основным документом, на основе которого проводится политика ИБ, является программа ИБ. Этот документ разрабатывается и принимается как официальный руководящий документ высшими органами управления государством, ведомством, организацией. В документе приводятся цели политики ИБ и основные направления решения задач защиты информации в КС. В программах ИБ содержатся также общие требования и принципы построения систем защиты информации в КС.
Под системой защиты процессов переработки информации в КС понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность этих процессов в КС в соответствии с принятой политикой безопасности.
Объектом обеспечения ИБ прежде всего является язык взаимодействия субъектов или в КС язык программирования. При этом язык Я может быть представлен по правилам математической логики произвольным конечным подмножеством Я правильных слов конечной длины из алфавита А. Можно считать, что любая информация представлена в виде слова в некотором языке Я и полагать, что состояние любого устройства в вычислительной системе достаточно полно описано словом в некотором языке. Это дает возможность отождествить слова и состояния устройств и механизмов вычислительной системы или произвольной электронной системы обработки данных (ЭСОД) и вести анализ данных в терминах некоторого языка.
В переработке информации особо выделим описания преобразований данных. Преобразование информации отображает слово, описывающее исходные данные, в другое слово. Описание преобразования данных также является словом. Примерами объектов, описывающих преобразования данных, являются программы для ЭВМ. Любое преобразование информации может быть статичным, т. е. храниться, или динамичным, т.е. быть задействованным в процессе.
В первом случае речь идет о хранении описания преобразования в некотором объекте (файле). В этом случае преобразование ничем не отличается от других данных. Во втором случае описание программы взаимодействует с другими ресурсами вычислительной системы — памятью, процессором, коммуникациями и др.
Тогда ресурсы системы, выделяемые для действия преобразования, можно называть доменами. Однако для осуществления пре
104
образования одних данных в другие необходимо придать этому преобразованию статус управления.
Тогда преобразование, которому передано управление, называется процессом. При этом подразумевается, что преобразование осуществляется в некоторой системе, в которой ясно, что значит передать управление.
В результате объект, описывающий преобразование, которому выделен домен и передано управление, т.е. процесс, называется субъектом. Таким образом, субъект — это пара (домен — процесс) и субъект для реализации преобразования использует информацию, содержащуюся в объекте О, т.е. осуществляет доступ R к объекту О.
На языковом уровне различают несколько вариантов доступов R.
Вариант 1. Доступ R субъекта 5 к объекту О на чтение обозначим через г данных в объекте О.
При этом доступе данные считываются в объекте О и используются в качестве информации в субъекте 5.
Вариант 2. Доступ R субъекта S к объекту' О на запись (w) данных в объекте О.
При этом доступе некоторые данные процесса 5 записываются в объект О. Здесь возможно стирание предыдущей информации.
Вариант 3. Доступ R субъекта 5 к объекту О на активизацию процесса, записанного в О как данные (ехе). При этом доступе формируется некоторый домен для преобразования, описанного в О, и передается управление соответствующей программе.
Возможное множество доступов в системе будем обозначать множество объектов в системе обработки данных — Оп а множество субъектов в этой системе — Sj. Ясно, что каждый субъект является объектом языка (который может в активной фазе сам менять свое состояние). Иногда, чтобы не было различных обозначений, связанных с одним преобразованием, описание преобразования, хранящееся в памяти, тоже называют субъектом, но не активизированным. Тогда активизация такого субъекта означает пару (домен —процесс).
Применяя теорию графов, можно описать эти варианты доступа к объекту О, в общем виде:
Л.7	„ r(w,exe)	• 1	. ,
-----J--->Sj----—-------->0,, i = 1, ..., т, j-\, ..., п.
В рассмотрении вопросов защиты информации специалисты принимают аксиому, которая положена в основу американского стандарта по защите («Оранжевая книга»). Ее можно сформулировать следующим образом: «Все вопросы безопасности процессов переработки информации описываются доступами субъектов к объектам».
105
Если гипотетически в рассмотрение включить такие процессы, как пожар, наводнение, физическое уничтожение и изъятие, то эта аксиома охватывает практически все известные способы нарушения ИБ. Тогда для дальнейшего рассмотрения вопросов безопасности и защиты процессов переработки информации достаточно рассматривать множество объектов и последовательности доступов.
Пусть время дискретно, Ot — множество объектов в момент I, St — множество субъектов в момент t. На множестве объектов Ot как на вершинах определим ориентированный граф доступов Gt следующим образом: дуга 5—£—>0 с меткой р с R принадлежит Gt тогда и только тогда, когда в момент t субъект 5 имеет множество доступов р к объекту О.
Согласно аксиоме, с точки зрения защиты процессов переработки информации, в процессе функционирования системы нас интересует только множество графов доступов {(7,}^. Обозначим через 3 = {6} множество возможных графов доступов. Тогда 3 можно рассматривать как фазовое пространство системы, а траектория в фазовом пространстве 3 соответствует функционированию вычислительной системы. В этих терминах удобно представлять себе задачу защиты информации в следующем общем виде. В фазовом пространстве 3 определены возможные траектории, в 3 выделено некоторое подмножество N неблагоприятных траекторий или участков таких траекторий, которых мы хотели бы избежать. Задача защиты процессов переработки информации заключается в том, чтобы любая реальная траектория вычислительного процесса в фазовом пространстве 3 не попала в множество N. Как правило, в любой конкретной вычислительной системе можно наделить реальным смыслом компоненты модели 3, 3 и N. Например, неблагоприятными могут быть траектории, проходящие через данное множество состояний З'с 3.
Чем может управлять служба защиты процессов переработки информации, чтобы траектории вычислительного процесса не вышли в № Практически такое управление возможно только ограничением на доступ в каждый момент времени. Разумеется, эти ограничения могут зависеть от всей предыстории процесса. Однако в любом случае службе защиты доступно только локальное воздействие. Основная сложность защиты переработки информации заключается в том, что, имея возможность использования набора локальных ограничений на доступ в каждый момент времени, мы должны решить глобальную проблему недопущения выхода любой возможной траектории в неблагоприятное множество N. При этом траектории множества ТУ не обязательно определяются ограничениями на доступы конкретных субъектов к конкретным объектам. Если в различные моменты вычислительного процесса субъект 5
106
получил доступ к объектам Os и О2, то запрещенный доступ к объекту О3 реально произошел, так как из знания содержания объектов О, и О2 можно вывести запрещенную информацию, содержащуюся в объекте О3.
Рассмотрим пример использования графов доступа Gj,.
Пусть в системе имеется группа пользователей Uj, один процесс 5 чтения на экране файла и набор файлов О,. В каждый момент работает один пользователь, потом система выключается и другой пользователь включает ее заново. Возможны следующие графы доступов:
Uj~>О„ / = 1, ..., т, j = l, 2, ..., п.
Множество таких графов — 3. Неблагоприятными считаются траектории, содержащие для некоторого i - 1, ..., т состояния объекта:
—Z-+S—!— и2—Z-+S—r-^>Oh Uj——г—эО,.
Таким образом, неблагоприятная ситуация возникает тогда, когда все пользователи могут прочитать один объект. Механизм защиты должен строить ограничения на очередной доступ исходя из множества объектов, с которыми уже ознакомились другие пользователи. В этом случае, очевидно, можно доказать, что обеспечивается безопасность информации в ограниченной области.
Наиболее просто решается задача в описанной системе, когда неблагоприятной является любая траектория, содержащая граф вида
В этом случае доказывается, что система будет защищена ограничением доступа на чтение пользователя U{ к объекту
3.4.	Технологии обеспечения безопасности обработки информации в управлении информационными объектами
3.4.1.	Современные подходы к технологиям и методам обеспечения ИБ на предприятиях
Государство в глазах общества представляет (или должно представлять) его интересы и выступает арбитром между основными группами интересов. При этом личная и общественная безопас
107
ность практически обеспечивается государством. Оно же должно обеспечивать соблюдение законных прав граждан и организаций на информацию, предотвращать неправомерное ограничение доступа к документам и сведениям, содержащим важную для граждан и организаций информацию, и другие действия, которые должны рассматриваться как угроза ИБ.
Современные автоматизированные информационные технологии, применяемые при управлении различных сфер деятельности предприятий и организаций, базируются на применении КС широкого спектра назначений — от локальных до глобальных, но все они с точки зрения обеспечения информационных взаимодействий различных объектов и субъектов обладают следующими основными признаками ИБ:
•	наличие информации различной степени конфиденциальности;
•	необходимость криптографической защиты процессов пользования информацией различной степени конфиденциальности при передаче данных;
•	иерархичность полномочий субъектов доступа и программ к автоматизированному рабочему месту (АРМ), файл-серверам, каналам связи и информации системы; необходимость оперативного изменения этих полномочий;
•	организация обработки информации в диалоговом режиме, режиме разделения времени между пользователями и режиме реального времени;
•	обязательное управление потоками информации как в локальных сетях, так и при их передаче по каналам связи на далекие расстояния;
•	необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
•	обязательное обеспечение целостности программного обеспечения и информации в АИТ;
•	наличие средств восстановления системы защиты процессов переработки информации;
•	обязательный учет магнитных носителей;
•	наличие физической охраны средств вычислительной техники и магнитных носителей.
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности переработки информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.
Существенное значение при проектировании придается пред-проектному обследованию объекта. На этой стадии:
•	устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИТ, оценивается уровень конфиденциальности и объемы;
108
•	определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
•	анализируется возможность использования имеющихся на рынке сертифицированных средств защиты процессов переработки информации;
•	определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
•	определяются мероприятия по обеспечению режима секретности на стадии разработки.
Среди организационных мероприятий по обеспечению безопасности переработки информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи.
Функционирование системы защиты переработки информации от несанкционированного доступа как комплекса программнотехнических средств и организационных (процедурных) решений предусматривает:
•	учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
•	ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
•	оперативный контроль за функционированием систем защиты секретной информации;
•	контроль соответствия общесистемной программной среды эталону;
•	приемку включаемых в АИТ новых программных средств;
•	контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей;
•	сигнализацию опасных событий и т.д.
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты переработки информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности переработки информации, какими бы совершенными эти программно-технические средства не были.
109
Системы защиты процессов переработки информации в АИТ основываются на следующих принципах:
•	комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающий оптимальное сочетание программно-аппаратных средств и организационных мер защиты и подтвержденный практикой создания отечественных и зарубежных систем защиты;
•	разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации;
•	полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации;
•	обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала;
•	обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты;
•	«прозрачность» системы защиты процессов переработки информации для общего, прикладного программного обеспечения и пользователей АИТ;
•	экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации систем защиты обработки информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты.
Все методы и средства обеспечения безопасности процессов переработки информации представлены на рис. 3.3. Они могут быть формальными и неформальными.
Рассмотрим основное содержание представленных средств и методов защиты процессов переработки информации, которые составляют основу механизмов защиты.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — метод защиты процессов переработки информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных,
НО
a
Рис. 3.3. Методы (а) и средства (б) обеспечения безопасности процессов переработки информации
программных и технических средств). Управление доступом включает в себя следующие функции защиты:
•	идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
•	опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
•	проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
•	разрешение и создание условий работы в пределах установленного регламента;
•	регйстрация (протоколирование) обращений к защищаемым ресурсам;
•	реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
111
Маскировка — метод защиты процессов переработки информации путем ее криптографического закрытия. Этот метод зашиты широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Регламентация — метод защиты процессов переработки информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемых процессов обработки информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение — такой метод защиты процессов переработки информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемых процессов обработки информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — такой метод защиты процессов переработки информации, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения безопасности процессов переработки информации реализуются на практике за счет применения различных средств защиты, таких как технические, программные, организационные, законодательные и морально-этические.
Средства обеспечения безопасности процессов переработки информации, используемые для создания механизма зашиты, подразделяются на формальные (выполняют защитные функции по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
К формальным средствам защиты относятся следующие:
•	технические, которые реализуются в виде электрических, электромеханических и электронных устройств. Технические средства защиты, в свою очередь, подразделяются на физические и аппаратные. Физические средства защиты реализуются в виде автономных устройств и систем (например, замки на дверях, за которыми размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу;
•	программные, которые представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты процессов обработки информации.
112
К неформальным средствам защиты относятся следующие:
•	организационные, которые представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты обработки информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация);
•	законодательные, которые определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил;
•	морально-этические, которые реализуются в виде всевозможных норм, сложившихся традиционно или складывающихся по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.
Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.
Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение, будь то данные, речь или графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи по незащищенным каналам связи такое сообщение может быть легко перехвачено или отслежено подслушивающим лицом посредством его умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к этому сообщению оно зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст. Когда же санкционированный пользователь получает сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.
Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (или битовой последовательностью), обычно называемым шифрующим ключом.
Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытая схема генератора ключа может пред
113
ставлять собой либо набор инструкций, команд, либо часть (узел) аппаратуры (hardware), либо компьютерную программу (software), либо все это вместе, но в любом случае процесс шифрования/ дешифрования единственным образом определяется выбранным специальным ключом. Поэтому, чтобы обмен зашифрованными сообщениями проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.
Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети для того, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
Шифрование может быть симметричным и асимметричным. Симметричное шифрование основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования — другой, являющийся секретным; при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием используются и другие механизмы безопасности:
•	цифровая (электронная) подпись;
•	контроль доступа;
•	обеспечение целостности данных;
•	обеспечение аутентификации;
•	постановка трафика;
•	управление маршрутизацией;
•	арбитраж, или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают в себя две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
114
Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.
Механизмы обеспечения целостности данных применяются как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.
Аутентификация может быть односторонней и взаимной. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.
Механизмы постановки трафика, называемые также механизмами заполнения текста, используются для реализации засекречивания потока данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам.
Механизмы арбитража, или освидетельствования, обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.
В АИТ при организации безопасности данных используется комбинация нескольких механизмов.
Методы и средства технологий защиты от угроз ИБ, представленные на рис. 3.4, подразделяются на три группы: предотвращение, парирование и нейтрализация.
115

Рис. 3.4. Общая классификация методов и средств технологий защиты от угроз ИБ
К группе технологий предотвращения угроз ИБ относятся технологии, осуществляющие упреждение и предупреждение от планирования проникновения, организации и реализации защиты объекта при начальном этапе нападения.
К группе технологий парирования угроз ИБ относятся методы и приемы, препятствующие или ограничивающие воздействие на защищенный объект.
К группе технологий нейтрализации угроз ИБ относятся средства устранения и ликвидации угроз, а также либо частичной, либо полной их нейтрализации в случае проникновения или диверсии с объектом.
3.4.2.	Технологии предотвращения угроз ИБ деятельности предприятий
Организационные и правовые методы защиты процессов переработки информации в КС. Они стоят на первом месте в технологиях предотвращения угроз ИБ. Надо учитывать, что наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемых процессов обработки информации.
Сегодня зарождается новая современная технология — технология защиты процессов переработки информации в компьютерных информационных системах и сетях передачи данных.
Классификация правовых и организационных методов и средств предотвращения угроз ИБ представлена на рис. 3.5.
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности обработки информации такая деятельность относится к организационным методам защиты процессов переработки информации.
Организационные методы защиты процессов переработки информации включают в себя меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности обработки информации.
На организационном уровне решаются следующие задачи обеспечения ИБ в КС:
•	организация работ по разработке системы защиты процессов переработки информации;
•	ограничение доступа на объект и к ресурсам КС;
117
Рис. 3.5. Классификация правовых и организационных методов и средств предотвращения угроз ИБ
•	разграничение доступа к ресурсам КС;
•	планирование мероприятий;
•	разработка документации;
•	воспитание и обучение обслуживающего персонала и пользователей;
•	сертификация средств защиты обработки информации;
•	лицензирование деятельности по защите процессов переработки информации;
•	аттестация объектов защиты;
•	совершенствование системы защиты процессов переработки информации;
•	оценка эффективности функционирования системы защиты;
•	контроль выполнения установленных правил работы в КС.
Государство должно обеспечить в стране защиту процессов переработки информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:
1)	выработать государственную политику безопасности в области ИТ;
2)	законодательно определить правовой статус компьютерных систем, информации, систем защиты процессов переработки информации, владельцев и пользователей информации и т.д.;
3)	создать иерархическую структуру государственных органов, вырабатывающих и воплощающих в жизнь политику безопасности ИТ;
4)	создать систему стандартизации, лицензирования и сертификации в области защиты процессов переработки информации;
118
5)	обеспечить приоритетное развитие отечественных защищенных информационных систем;
6)	повысить уровень образования граждан в области ИТ, воспитать у них патриотизм и бдительность;
7)	установить ответственность граждан за нарушения законодательства в области ИТ.
Политика государства РФ в области безопасности ИТ должна быть единой. Исходя из этой позиции в Российской Федерации вопросы ИБ нашли отражение в «Концепции национальной безопасности Российской Федерации», утвержденной Указом Президента РФ от 17.12.97 № 1300, азатем в Доктрине ИБ РФ. В «Концепции национальной безопасности Российской Федерации» определены важнейшие задачи государства в области ИБ (см. гл. 1).
Усилия государства должны быть направлены на воспитание ответственности у граждан за неукоснительное выполнение правовых норм в области ИБ. Необходимо использовать все доступные средства для формирования у граждан патриотизма, чувства гордости за принадлежность к стране, коллективу. Важной задачей государства является также повышение уровня образования граждан в области ИТ. Большая роль в этой работе принадлежит образовательной системе государства, государственным органам управления, средствам массовой информации.
Правовые методы защиты процессов переработки информации основываются на законодательной базе обеспечения информацией, которая определяется социально-экономическими изменениями в обществе, происшедшими в последние годы. Они требовали законодательного регулирования отношений, складывающихся в области ИТ. В связи с этим был принят Федеральный закон «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ.
Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является Закон РФ «О государственной тайне» от 21.07.93 № 5485-1. Отношения, связанные с созданием программ и баз данных, регулируются Законами РФ «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 и «Об авторском праве и смежных правах» от 09.07.93 № 5352-1.
Очень важным правовым вопросом является установление юридического статуса КС и, особенно, статуса информации, получаемой с применением КС. Статус информации, или ее правомочность, служит основанием для выполнения (невыполнения) определенных действий. Например, в одних АСУ соответствующее должностное лицо имеет юридическое право принимать решения только на основании информации, полученной из АСУ. В других АСУ для принятия решения необходимо получить подтверждающую информацию по другим каналам. В одной и той же АСУ
119
Рис. 3.6. Структура государственных органов обеспечения ИБ в РФ
решение может приниматься как с получением подтверждающей информации, так и без нее.
Примером может служить организация перевода денег с помощью АСУ. До определенной суммы перевод осуществляется автоматически при поступлении соответствующей заявки. Для перевода крупной суммы выполняются дополнительные процедуры проверки правомочности такой операции. Для этого может быть затребована дополнительная информация, в том числе и по дублирующей системе, а окончательное решение о переводе денег может принимать должностное лицо.
Правовой статус информации устанавливается с учетом ее стоимости (важности) и степени достоверности, которую способна обеспечить компьютерная система.
Другие законодательные акты (законы РФ, указы и распоряжения Президента РФ, а также организационно-методические и руководящие документы Государственной технической комиссии при Президенте РФ) указывают на организационно-правовую реализацию ИБ путем комплексной защиты информационной деятельности в России.
Организация такой защиты на государственном уровне проводится в соответствии со структурой государственных органов обеспечения ИБ в Российской Федерации (рис. 3.6) (см. гл. 2).
В министерствах и ведомствах создаются иерархические структуры обеспечения безопасности информации, которые, как правило, совпадают с организационной структурой министерства (ведомства). Называться они могут по-разному, но функции вы
120
полняют сходные. Одними из основных задач таких структур являются воспитание патриотизма и бдительности, повышение уровня образования и ответственности граждан в области ИТ.
Методы предотвращения угроз несанкционированного изменения инфраструктуры КС. Они касаются процессов деформации структурного построения системы. Здесь несанкционированному изменению могут быть подвергнуты алгоритмическая, программная и техническая структуры КС на этапах ее разработки и эксплуатации. На этапе эксплуатации необходимо выделить работы по модернизации КС, представляющие повышенную опасность для ИБ.
Особенностью защиты от несанкционированного изменения структур (НИС) КС является универсальность методов, позволяющих наряду с умышленными воздействиями выявлять и блокировать непреднамеренные ошибки разработчиков и обслуживающего персонала, а также сбои и отказы аппаратных и программных средств. Обычно НИС КС, выполненные на этапе разработки и при модернизации системы, называют закладками.
Для предотвращения угроз данного класса на различных этапах жизненного цикла КС решаются различные задачи. Классификация методов и средств предотвращения угроз несанкционированного изменения инфраструктур КС представлена на рис. 3.7.
Рис. 3.7. Классификация методов и средств предотвращения угроз несанкционированного изменения инфраструктур КС
121
z
x Г“г/' —Г —- F(x, z, yi)
Рис. 3.8. Функциональная структура черного ящика как модели КС
На этапе разработки и при модернизации КС основной задачей является исключение ошибок и возможности внедрения закладок. На этапе эксплуатации выявляются закладки и ошибки, а также обеспечивается целостность, неизменность структур.
Технологии использования и аппаратное сопровождение описаны в гл. 5.
Особые требования предъявляются к квалификации специалистов, занятых разработкой технического задания и алгоритмов, осуществляющих контроль над ходом разработки и привлекаемых к сертификации готовых продуктов.
Представление любой системы в виде иерархической блочной структуры позволяет представлять любой блок в виде черного ящика (рис. 3.8).
Блок осуществляет преобразование вектора X входных воздействий при наличии вектора внешних условий /и с учетом состояния блока Yt. Функциональное преобразование F (х, z, У,) переводит блок в состояние, характеризуемое состоянием Yr + l, где х e X, z е Z, у e Y.
Блочная структура системы позволяет упростить контроль функционирования системы, использовать стандартные отлаженные и проверенные блоки, допускает параллельную разработку всех блоков и дублирование разработки.
Под дублированием разработки алгоритма программы или устройства понимается независимая (возможно, разными организациями) разработка одного и того же блока. Сравнение блоков позволяет, во-первых, выявить ошибки и закладки, а во-вторых, выбрать наиболее эффективный блок.
Проверка адекватности функционирования алгоритма, программы, устройства реализуется путем моделирования процессов, использования упрощенных (усеченных) алгоритмов, решения обратной задачи (если она существует), а также с помощью тестирования.
Тестирование является универсальным средством проверки как адекватности, так и работоспособности блоков. Если число входных воздействий и внешних условий конечно и может быть задано при испытании блока за приемлемое для практики время, а также известны все требуемые реакции блока, то адекватность функционирования блока может быть однозначно подтверждена, т. е. в блоке полностью отсутствуют ошибки и закладки. Обнаруже
122
ние ошибок и закладок тестированием осложняется тем, что числовое значение входного множества по оценкам специалистов может достигать 1О7О...Ю100. Поэтому для тестирования по всей области входных воздействий потребуется практически бесконечное время. В таких случаях используется вероятностный подход к выборке входных воздействий. Но такая проверка не может гарантировать отсутствия закладок и ошибок.
Принцип многослойной фильтрации предполагает поэтапное выявление ошибок и закладок определенного класса. Например, могут использоваться фильтрующие программные средства для выявления возможных временных, интервальных, частотных и других типов закладок.
Автоматизация процесса разработки существенно снижает возможности внедрения закладок. Это объясняется, прежде всего, наличием большого числа типовых решений, которые исполнитель изменить не может, формализованностью процесса разработки, возможностью автоматизированного контроля принимаемых решений.
Контроль установленного порядка разработки предполагает регулярный контроль над действиями исполнителей, поэтапный контроль алгоритмов, программ и устройств, приемосдаточные испытания.
Методы предотвращения угроз шпионажа и диверсий. Они реализуют традиционный подход к обеспечению ИБ объектов. При защите процессов переработки информации в КС от традиционного шпионажа и диверсий используются те же средства и методы защиты, что и для защиты других объектов, на которых не используются КС. Классификация методов и средств предотвращения угроз шпионажа и диверсий представлена на рис. 3.9.
Применение системы охраны объекта основывается на следующих положениях.
Рис. 3.9. Классификация методов и средств предотвращения угроз шпионажа и диверсий
123
Объект, на котором производятся работы с ценной конфиденциальной информацией, имеет, как правило, несколько рубежей защиты:
1)	контролируемая территория;
2)	здание;
3)	помещение;
4)	устройство, носитель информации;
5)	программа;
6)	информационные ресурсы.
От шпионажа и диверсий необходимо защищать первые четыре рубежа и обслуживающий персонал. Подробнее технологии и схемы рубежной защиты от шпионажа и диверсий рассмотрены в гл. 4.
Система охраны объекта (СОО) КС создается с целью предотвращения несанкционированного проникновения на территорию и в помещения объекта посторонних лиц, обслуживающего персонала и пользователей.
Состав системы охраны зависит от охраняемого объекта. В общем случае СОО КС должна включать в себя:
•	инженерные конструкции;
•	охранную сигнализацию;
•	средства наблюдения;
•	подсистему доступа на объект;
•	дежурную смену охраны.
Организация работ с конфиденциальными информационными ресурсами предусматривает работы с документами. Для предотвращения таких угроз, как хищение документов, носителей информации, атрибутов систем защиты, изучение отходов носителей информации и создание неучтенных копий документов, необходимо определить порядок учета, хранения, выдачи, работы и уничтожения носителей информации. Применяют организационные методы работы с конфиденциальными информационными ресурсами. Обеспечение такой работы в учреждении реализуется путем организации специальных подразделений конфиденциального делопроизводства либо ввода штатных или нештатных должностей сотрудников. Работа с конфиденциальными информационными ресурсами осуществляется в соответствии с законами РФ и ведомственными инструкциями. В каждой организации должны быть:
•	разграничены полномочия должностных лиц по допуску их к информационным ресурсам;
•	определены и оборудованы места хранения конфиденциальных информационных ресурсов и места работы с ними;
•	установлен порядок учета, выдачи, работы и сдачи на хранение конфиденциальных информационных ресурсов;
•	назначены ответственные лица с определением их полномочий и обязанностей;
124
•	организован сбор и уничтожение ненужных документов и списанных машинных носителей;
•	организован контроль над выполнением установленного порядка работы с конфиденциальными ресурсами.
Противодействие наблюдению осуществляется в оптическом и инфракрасном диапазонах.
Наблюдение в оптическом диапазоне злоумышленником, находящимся за пределами объекта с КС, малоэффективно. С расстояния 50 м даже совершенным длиннофокусным фотоаппаратом невозможно прочитать текст с документа или монитора. Так, телеобъектив с фокусным расстоянием 300 мм обеспечивает разрешающую способность лишь 15 х 15 мм. Кроме того, угрозы такого типа легко парируются с помощью:
•	использования оконных стекол с односторонней проводимостью света;
•	применения штор и защитного окрашивания стекол;
•	размещения рабочих столов, мониторов, табло и плакатов таким образом, чтобы они не просматривались через окна или открытые двери.
Для противодействия наблюдению в оптическом диапазоне злоумышленником, находящимся на объекте, необходимо, чтобы:
•	двери помещений были закрытыми;
•	расположение столов и мониторов ЭВМ исключало возможность наблюдения документов или выдаваемой информации на соседнем столе или мониторе;
•	стенды с конфиденциальной информацией имели шторы.
Противодействие наблюдению в инфракрасном диапазоне, как правило, требует применения специальных методов и средств: защитных костюмов, ложных тепловых полей и т.д.
Противодействие подслушиванию осуществляется при помощи методов, которые подразделяются на два класса:
1) методы защиты речевой информации при передаче ее по каналам связи;
2) методы защиты от прослушивания акустических сигналов в помещениях.
Речевая информация, передаваемая по каналам связи, защищается от прослушивания (закрывается) с использованием методов аналогового скремблирования и дискретизации речи с последующим шифрованием.
Под скремблированием понимается изменение характеристик речевого сигнала таким образом, что полученный модулированный сигнал, обладая свойствами неразборчивости и неузнаваемости, занимает такую же полосу частот спектра, как и исходный открытый.
Обычно аналоговые скремблеры преобразуют исходный речевой сигнал путем изменения его частотных и временных характеристик.
125
Рис. 3.10. Частотная инверсия сигнала: а — исходный сигнал; б — преобразованный сигнал
Применяют следующие способы частотного преобразования сигнала:
•	частотная инверсия спектра сигнала;
•	частотная инверсия спектра сигнала со смещением несущей частоты;
•	разделение полосы частот речевого сигнала на поддиапазоны с последующей перестановкой и инверсией.
Частотная инверсия спектра сигнала заключается в зеркальном отображении спектра C(f) исходного сигнала (рис. 3.10, о) относительно выбранной частоты fQ спектра. В результате низкие частоты преобразуются в высокие, и наоборот (рис. 3.10, б).
Такой способ скремблирования обеспечивает невысокий уровень защиты, так как частота /0 легко определяется. Устройства, реализующие такой метод защиты, называют маскираторами.
Частотная инверсия спектра сигнала со смещением несущей частоты обеспечивает более высокую степень защиты.
Способ частотных перестановок заключается в разделении спектра исходного сигнала на поддиапазоны равной ширины (до 10... 15 поддиапазонов) с последующим их перемешиванием в соответствии с некоторым алгоритмом. Алгоритм зависит от ключа — некоторого числа (рис. 3.11).
Рис. 3.11. Частотная перестановка сигнала: а — исходный сигнал; б — преобразованный сигнал
126
Рис. 3.12. Временная перестановка при скремблировании: а — исходный кадр; б — преобразованный кадр
При временном скремблировании квант речевой информации (кадр) перед отправлением запоминается и разбивается на сегменты одинаковой длительности.
Сегменты перемешиваются аналогично частотным перестановкам (рис. 3.12). При приеме кадр подвергается обратному преобразованию.
Комбинации временного и частотного скремблирования позволяют значительно повысить степень защиты речевой информации. За это приходится платить существенным повышением сложности скремблеров.
Дискретизация речевой информации с последующим шифрованием обеспечивает наивысшую степень защиты. В процессе дискретизации речевая информация представляется в цифровой форме. В таком виде она преобразуется в соответствии с выбранными алгоритмами шифрования, которые применяются для преобразования данных в КС.
Защита акустических сигналов в помещениях КС является важным направлением противодействия подслушиванию. Существует несколько методов защиты от прослушивания акустических сигналов:
•	звукоизоляция и звукопоглощение акустического сигнала;
•	зашумление помещений или твердой среды для маскировки акустических сигналов;
•	защита от несанкционированной записи речевой информации на диктофон;
•	обнаружение и изъятие закладных устройств.
Предотвращение угрозы подслушивания с помощью закладных подслушивающих устройств осуществляется методами радиоконтроля помещений, поиска неизлучающих закладок и подавления закладных устройств. Программно-аппаратные средства реализации этих методов подробно описаны в гл. 5.
Защита от злоумышленных действий обслуживающего персонала и пользователей имеет большое значение для функционирования, так как они составляют по статистике 80 % случаев злоумышленных воздействий на информационные ресурсы и совершаются людьми, имеющими непосредственное отношение к эксплуата
127
ции КС. Такие действия либо осуществляются под воздействием преступных групп (разведывательных служб), либо побуждаются внутренними причинами (зависть, месть, корысть и т.д.).
Для блокирования угроз такого типа руководство организации с помощью службы безопасности должно выполнять следующие организационные мероприятия:
•	добывать всеми доступными законными путями информацию о своих сотрудниках, людях или организациях, представляющих потенциальную угрозу информационным ресурсам;
•	обеспечивать охрану сотрудников;
•	устанавливать разграничение доступа к защищаемым ресурсам;
•	контролировать выполнение установленных мер безопасности;
•	создавать и поддерживать в коллективе здоровый нравственный климат.
Руководство должно владеть, по возможности, полной информацией об образе жизни своих сотрудников. Основное внимание при этом следует обращать на получение информации о ближайшем окружении, соответствии легальных доходов и расходов, наличии вредных привычек, об отрицательных чертах характера, о состоянии здоровья, степени удовлетворенности профессиональной деятельностью и занимаемой должностью. Для получения такой информации используются сотрудники службы безопасности, психологи, руководящий состав учреждения. С этой же целью осуществляется взаимодействие с органами МВД России и спецслужбами. Сбор информации необходимо вести, не нарушая законы и права личности.
Вне пределов объекта охраняются, как правило, только руководители и сотрудники, которым реально угрожает воздействие злоумышленников.
В организации, работающей с конфиденциальной информацией, обязательно разграничение доступа к информационным ресурсам. В случае предательства или других злоумышленных действий сотрудника ущерб должен быть ограничен рамками его компетенции. Сотрудники учреждения должны знать, что выполнение установленных правил контролируется руководством и службой безопасности.
Далеко не последнюю роль в парировании угроз данного типа играет нравственный климат в коллективе. В идеале каждый сотрудник является патриотом коллектива, дорожит своим местом, его инициатива и отличия ценятся руководством.
Методы предотвращения угроз несанкционированного доступа в КС. Они являются наиболее практичными и распространенными для пользовательской практики. Для осуществления несанкционированного доступа (НСД) злоумышленник не применяет никаких аппаратных или программных средств, не входящих в состав КС. Он осуществляет доступ, используя:
128
Методы и средства предотвращения несанкционированного доступа в КС
	Разграничения доступа к информации
	Идентификация и аутентификация пользователей
	Разграничение доступа к файлам, каталогам, дискам
	Контроль целостности программных средств и информации
	Создание функционально замкнутой среды пользователя
	Защита процесса загрузки ОС
	Блокировка ПЭВМ на время отсутствия пользователя
	Криптографическое преобразование информации
	Регистрация событий
	Регулярная очистка памяти
Защиты от копирования программных средств		Защиты от исследования программных средств
	1	L		1	
____CZZ
Затрудняющие считывание информации
	Переписывание информации со стандартных носителей на нестандартные, и наоборот
	Нестандартная разметка носителя информации
	Перепрограммирование ВЗУ, аппаратные регулировки и настройки
	Позиционирование в накопителях на магнитных дисках путем нумерования в обратном направлении
►	Изменение алгоритма подсчета контрольной суммы
	Исключение возможности автоматизированного подбора кода
-	Препятствующие использованию сканированной информации	-	Противодействие дизассемблированию		-
	Хранение данных и прог-		Шифрование		
			Архивация		
►	рамм в преобразованном криптографическими методами виде	►	Использование самоге-нерирующих кодов		
	Использование блока		«Обман» дизассемблера		№
	контроля среды размещения программы				
	Изменение системной информации и структуры физических повреждений на ГДМ: отверстий, нестандартное форматирование, пометка секторов как деффективных и т.д.				
	Использование частичных алгоритмов технологий защиты от несанкционированного использования программ в «чужой» среде				
►	Применение электронных ключей				
Применение случайных переходов
Модификация кодов программы
Противодействие трассировке
Изменение среды функционирования
Рис. 3.13. Классификация методов и средств предотвращения несанкционированного доступа в КС
129
•	знания о КС и умения работать с ней;
•	сведения о системе защиты информации;
•	сбои, отказы технических и программных средств;
•	ошибки, небрежность обслуживающего персонала и пользователей.
Методы и средства предотвращения несанкционированного доступа в КС разнообразны. Их классификация представлена на рис. 3.13.
Для защиты информации от НСД создается система разграничения доступа к информации. Получить несанкционированный доступ к информации при наличии системы разграничения доступа (СРД) можно только при сбоях и отказах КС, а также используя слабые места в комплексной системе защиты информации. Чтобы использовать слабые места в системе защиты, злоумышленник должен о них знать.
Одним из путей добывания информации о недостатках системы защиты является изучение механизмов защиты. Злоумышленник может тестировать систему защиты путем непосредственного контакта с ней. В этом случае велика вероятность обнаружения системой защиты попыток ее тестирования. В результате этого службой безопасности могут быть предприняты дополнительные меры защиты, из которых выделяют:
•	методы и средства разграничения доступа к информации;
•	методы и средства защиты от исследования и копирования информации.
Более привлекателен для злоумышленников второй подход. Сначала получается копия программного средства системы защиты или техническое средство защиты, а затем производится исследование в лабораторных условиях. Кроме того, создание неучтенных копий на съемных носителях информации является одним из распространенных и удобных способов хищения информации. Этим способом осуществляется несанкционированное тиражирование программ. Скрытно получить техническое средство защиты для исследования гораздо сложнее, чем программное, и такая угроза блокируется средствами и методами, обеспечивающими целостность технической структуры КС.
Для блокирования несанкционированного исследования и копирования информации КС используется комплекс средств и мер защиты, которые объединяются в систему защиты от исследования и копирования информации (СЗИК).
Методы и средства предотвращения случайных угроз КС. Они подразделяются на шесть групп (рис. 3.14).
Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. Оно обеспечивает защиту информации как от случайных угроз, так и от преднамеренных воздействий.
130
В зависимости от ценности информации, особенностей построения и режимов функционирования КС могут использоваться различные методы дублирования информации, которые классифицируются по различным признакам.
По времени восстановления информации методы дублирования информации подразделяются на оперативные и неоперативные. К оперативным методам дублирования информации относятся методы, которые позволяют использовать дублирующую информацию в реальном масштабе времени. Это означает, что переход к использованию дублирующей информации осуществляется за время, которое позволяет выполнить запрос на использование информации в режиме реального времени для данной КС. Все методы, не обеспечивающие выполнение этого условия, относятся к неоперативным методам дублирования информации.
По виду ко п ир о в а н ия методы дублирования информации могут быть:
•	полного копирования;
•	зеркального копирования;
•	частичного копирования;
•	комбинированного копирования.
При полном копировании дублируются все файлы.
При зеркальном копировании любые изменения основной информации сопровождаются такими же изменениями дублирующей информации. При таком дублировании основная информация и дубль всегда идентичны.
Частичное копирование предполагает создание дублей определенных файлов, например файлов пользователя. Одним из видов частичного копирования, получившим название инкрементного копирования, является метод создания дублей файлов, измененных со времени последнего копирования.
Комбинированное копирование допускает комбинации, например, полного и частичного копирования с различной периодичностью их проведения.
По числу копий методы дублирования информации подразделяются на одноуровневые и многоуровневые.
Как правило, число уровней не превышает трех.
По применяемым для дублирования средствам методы дублирования информации подразделяются на использующие:
•	дополнительные внешние запоминающие устройства (ВЗУ);
•	специально выделенные области памяти на несъемных машинных носителях;
•	съемные носители информации.
По виду дублирующей информации методы дублирования информации подразделяются:
•	на методы со сжатием информации;
•	методы без сжатия информации.
131

По удаленности нос ите л е й основной и дублирующей информации методы дублирования информации подразделяются на методы сосредоточенного и рассредоточенного дублирования.
Для определенности целесообразно считать методами сосредоточенного дублирования информации такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным.
Повышение надежности КС является одним из эффективных способов предотвращения случайных угроз КС.
Под надежностью понимается свойство системы выполнять возложенные на нее задачи в определенных условиях эксплуатации и установленный период времени. При наступлении отказа компьютерная система не может выполнять все предусмотренные документацией задачи, т. е. переходит из исправного состояния в неисправное. Если при наступлении отказа компьютерная система способна выполнять заданные функции, сохраняя значения основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии.
С точки зрения обеспечения ИБ необходимо сохранять хотя бы работоспособное состояние КС. Для решения этой задачи необходимо обеспечить высокую надежность функционирования алгоритмов, программ и технических (аппаратных) средств.
Поскольку алгоритмы в КС реализуются за счет выполнения программ или аппаратным способом, то надежность алгоритмов отдельно не рассматривается. В этом случае считается, что надежность КС обеспечивается надежностью программных и аппаратных средств.
Надежность КС достигается на этапах их разработки, производства и эксплуатации.
Для программных средств рассматриваются этапы разработки и эксплуатации. Этап разработки программных средств является определяющим при создании надежных компьютерных систем.
На этом этапе основными направлениями повышения надежности программных средств являются:
•	корректная постановка задачи на разработку;
•	использование прогрессивных технологий программирования;
•	контроль правильности функционирования.
Корректность постановки задачи достигается в результате совместной работы специалистов предметной области и высокопрофессиональных программистов-алгоритмис.тов:
В настоящее время для повышения качества программных продуктов используются современные технологии программирования (например, CASE-технология). Эти технологии позволяют значительно сократить возможности внесения субъективных ошибок разработчиков. Они характеризуются высокой автоматизацией про
134
цесса программирования, использованием стандартных программных модулей, тестированием их совместной работы.
Контроль правильности функционирования алгоритмов и программ осуществляется на каждом этапе разработки и завершается комплексным контролем, охватывающим все решаемые задачи и режимы.
На этапе эксплуатации программные средства дорабатываются, в них устраняются замеченные ошибки, поддерживается целостность программных средств и актуальность данных, используемых этими средствами.
Надежность технических средств (ТС) КС обеспечивается на всех этапах. На этапе разработки выбираются элементная база, технология производства и структурные решения, обеспечивающие максимально достижимую надежность КС в целом.
Велика роль в процессе обеспечения надежности ТС и этапа производства. Главными условиями выпуска надежной продукции являются высокий технологический уровень производства и организация эффективного контроля качества выпускаемых ТС.
Удельный вес этапа эксплуатации ТС в решении проблемы обеспечения надежности КС в последние годы значительно снизился. Для определенных видов вычислительной техники, таких как персональные ЭВМ, уровень требований к процессу технической эксплуатации снизился практически до уровня эксплуатации бытовых приборов. Особенностью нынешнего этапа эксплуатации средств вычислительной техники является сближение эксплуатации технических и программных средств (особенно средств общего программного обеспечения). Тем не менее роль этапа эксплуатации ТС остается достаточно значимой в решении задачи обеспечения надежности КС и, прежде всего, надежности сложных компьютерных систем.
Применение отказоустойчивых КС — важный инструмент для предотвращения случайных угроз. Отказоустойчивость — это свойство КС сохранять работоспособность при отказах отдельных устройств, блоков, схем.
Известны три основных подхода к созданию отказоустойчивых систем:
•	простое резервирование информации или отдельных блоков;
•	помехоустойчивое кодирование информации;
•	создание адаптивных систем.
Любая отказоустойчивая система обладает избыточностью. Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование основано на использовании устройств, блоков, узлов, схем, модулей и файлов программ только в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на раз
135
личных уровнях — на уровнях устройств, блоков, узлов, модулей, файлов и т.д. Резервирование отличается также и глубиной. Для целей резервирования может использоваться один резервный элемент и более. Уровни и глубина резервирования определяют возможность системы предотвратить отказы, а также аппаратные затраты.
Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в КС дополняется определенным объемом специальной контрольной информации. Наличие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств КС, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодирования зависят от степени избыточности.
Помехоустойчивое кодирование наиболее эффективно при парировании самоустраняющихся отказов, называемых сбоями. Помехоустойчивое кодирование при создании отказоустойчивых систем, как правило, используется в комплексе с другими подходами повышения отказоустойчивости.
Наиболее совершенными системами, устойчивыми к отказам, являются адаптивные системы. В них достигается разумный компромисс между уровнем избыточности, вводимым для обеспечения устойчивости (толерантности) системы к отказам, и эффективностью использования таких систем по назначению.
В адаптивных системах реализуется так называемый принцип элегантной деградации, который предполагает сохранение работоспособного состояния системы при некотором снижении эффективности функционирования в случаях отказов ее элементов.
Оптимизация взаимодействия пользователей и обслуживающего персонала с КС подразумевает применение организационно-социальных методов и средств для предотвращения случайных угроз.
Одним из основных направлений защиты процессов переработки информации в КС от непреднамеренных угроз являются сокращение числа ошибок пользователей и обслуживающего персонала и минимизация последствий этих ошибок. Для достижения этих целей необходимы:
•	научная организация труда;
•	воспитание и обучение пользователей и персонала;
•	анализ и совершенствование процессов взаимодействия системы человек—машина (ЭВМ).
Научная организация труда предполагает:
•	оборудование рабочих мест;
•	оптимальный режим труда и отдыха;
136
•	дружественный интерфейс (связь, диалог) человека с КС.
Для оптимизации взаимодействия пользователей и обслуживающего персонала используют методы эргономики, оптимального сочетания режима труда и отдыха, современные методы упрощения взаимодействия человека с компьютерной системой в рамках совершенствования диалога, воспитание и обучение пользователей по соблюдению правил ИБ как на уровне государства, так и на уровне предприятия, фирмы, корпорации.
Важной задачей оптимизации взаимодействия человека с КС является также анализ этого процесса и его совершенствование. Анализ должен проводиться на всех жизненных этапах КС и направляться на выявление слабых звеньев. Слабые звенья заменяются или совершенствуются как в процессе разработки новых КС, так и в процессе модернизации существующих.
Минимизация ущерба от аварий и стихийных бедствий является группой методов и средств предотвращения случайных угроз и их последствий в работе КС.
Стихийные бедствия и аварии могут причинить огромный ущерб объектам КС. Предотвратить стихийные бедствия человек пока не в силах, но уменьшить последствия таких явлений во многих случаях удается. Минимизация последствий аварий и стихийных бедствий для объектов КС может быть достигнута путем:
•	правильного выбора места расположения объекта;
•	учета возможных аварий и стихийных бедствий при разработке и эксплуатации КС;
•	организации современного оповещения о возможных стихийных бедствиях;
•	обучение персонала борьбе со стихийными бедствиями и авариями, методам ликвидации их последствий.
Объекты КС по возможности должны располагаться в тех районах, где не наблюдается таких стихийных бедствий, как наводнения и землетрясения. Объекты необходимо размещать вдалеке от таких опасных объектов как нефтебазы и нефтеперерабатывающие заводы, склады горючих и взрывчатых веществ, плотин и т.д.
На практике далеко не всегда удается расположить объект вдалеке от опасных предприятий или районов, в которых возможны стихийные бедствия. Поэтому при разработке, создании и эксплуатации объектов КС необходимо предусмотреть специальные меры. В районах возможных землетрясений здания должны быть сейсмостойкими. В районах возможных затоплений основное оборудование целесообразно размещать на верхних этажах зданий. Все объекты должны снабжаться автоматическими системами тушения пожара. На объектах, для которых вероятность стихийных бедствий высока, необходимо осуществлять распределенное дублирование информации и предусмотреть возможность перераспределения
137
функций объектов. На всех объектах должны предусматриваться меры на случай аварии в системах электропитания. Для объектов, работающих с ценной информацией, требуется иметь аварийные источники бесперебойного питания и подвод электроэнергии производить не менее чем от двух независимых линий электропередачи.
Использование источников бесперебойного питания обеспечивает, по крайней мере, завершение вычислительного процесса и сохранение данных на внешних запоминающих устройствах. Для малых КС такие источники способны обеспечить работу в течение нескольких часов.
Потери информационных ресурсов могут быть существенно уменьшены, если обслуживающий персонал будет своевременно предупрежден о надвигающихся природных катаклизмах. В реальных условиях такая информация часто не успевает дойти до исполнителей.
Персонал должен быть обучен действиям в условиях стихийных бедствий и аварий, а также уметь восстанавливать утраченную информацию.
Блокировка ошибочных операций — это методический прием высокоэффективного исключения случайных угроз КС.
Ошибочные операции или действия могут вызываться отказами аппаратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциальности информации. Ошибочная запись в оперативную память (ОП) и на ВЗУ, нарушение разграничения памяти при мультипрограммных режимах работы ЭВМ, ошибочная выдача информации в канал связи, короткие замыкания и обрыв проводников — вот далеко не полный перечень ошибочных действий, которые представляют реальную угрозу безопасности информации в КС.
Для блокировки ошибочных действий используются технические и аппаратно-программные средства (подробно они представлены в гл. 5).
Криптографические методы предотвращения угроз в КС. Криптографические методы предотвращения угроз в КС являются наиболее эффективными способами защиты ИТ и систем. Под криптографическим преобразованием информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий.
Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на пять групп:
138
•	кодирование;
•	сжатие-расширение;
•	стенография;
•	шифрование-дешифрование;
•	рассечение и разнесение.
Классификация криптографических методов и средств предотвращения угроз ИБ представлена на рис. 3.15.
Процесс кодирования информации заключается в замене смысловых конструкций исходной информации (слов, предложений) кодами. Кодирование может быть символьным и смысловым. При символьном кодировании в качестве кодов могут использоваться сочетания букв, цифр, букв и цифр. При смысловом кодировании и обратном преобразовании используются специальные таблицы или словари. Кодирование информации целесообразно применять в системах с ограниченным набором смысловых конструкций. Такой вид криптографического преобразования применим, например, в командных линиях АСУ.
Недостатками кодирования конфиденциальной информации является необходимость хранения и распространения кодирово-чных таблиц, которые необходимо часто менять во избежание раскрытия кодов статистическими методами обработки перехваченных сообщений.
Сжатие-расширение информации может быть отнесено к методам криптографического преобразования информации с определенными оговорками. Целью сжатия является сокращение объема информации. Но сжатая информация не может быть прочитана или использована без обратного преобразования. Учитывая доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации. Даже если держать в секрете алгоритмы, то они могут быть сравнительно легко раскрыты статистическими методами обработки информации. Поэтому сжатые файлы конфиденциальной информации подвергаются последующему шифрованию. Для сокращения времени целесообразно совмещать процесс сжатия и шифрования информации.
Процедуры рассечения и разнесения текстов, символов и знаков как элементы сжатия и расширения могут носить смысловой либо механический характер.
В отличие от других методов криптографического преобразования информации методы стенографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации. В компьютерных системах практическое использование стенографии только начинается, но проведенные исследования показывают ее перспективность. В основе всех методов стенографии лежит маскирование закрытой информации среди открытых файлов. Обработка
139
I
	Кодирование
т
	Сжатие-расширение
	Символьное — применение сочетаний букв,
-*	цифр, букв и цифр различных кодовых алфавитов
	
	Смысловое — использование специальных таблиц и словарей
-*~| Механическое*]
Рассечение и разнесение
—| Смысловое ]
Рис. 3.15. Классификация криптографических методов и средств предотвращения угроз ИБ
мультимедийных файлов в КС открыла практически неограниченные возможности перед стенографией.
Существует несколько методов скрытой передачи информации. Одним из них является метод внедрения скрытой информации — скрытия файлов при работе в операционной системе MS DOS. За текстовым открытым файлом записывается скрытый двоичный файл, объем которого много меньше текстового файла. В конце текстового файла помещается метка EOF (комбинация клавиш [Control] и [Z]). При обращении к этому текстовому файлу стандартными средствами ОС считывание прекращается по достижению метки EOF и скрытый файл остается недоступен. Для двоичных файлов никаких меток в конце файла не предусмотрено. Конец такого файла определяется при обработке атрибутов, в которых хранится длина файла в байтах. Доступ к скрытому файлу может быть получен, если файл открыть как двоичный. Скрытый файл может быть зашифрован. Если кто-то случайно обнаружит скрытый файл, то зашифрованная информация будет воспринята как сбой в работе системы.
Графическая и звуковая информация представляется в числовом виде. Так, в графических объектах наименьший элемент изображения может кодироваться одним байтом. В младшие разряды определенных байтов изображения в соответствии с алгоритмом криптографического преобразования помещаются биты скрытого файла. Если правильно подобрать алгоритм преобразования и изображение, на фоне которого помещается скрытый файл, то человеческому глазу практически невозможно отличить полученное изображение от исходного. Очень сложно выявить скрытую информацию и с помощью специальных программ. Наилучшим образом для внедрения скрытой информации подходят изображения местности: фотоснимки со спутников, самолетов и т.д. С помощью средств стенографии могут маскироваться текст, изображение, речь, цифровая подпись, зашифрованное сообщение. Комплексное использование стенографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия конфиденциальной информации.
Основным видом криптографического преобразования информации в КС является шифрование или дешифрование. Под шифрованием понимается процесс преобразования открытой информации в зашифрованную информацию (шифртекст) или процесс обратного преобразования зашифрованной информации в открытую. Процесс преобразования открытой информации в закрытую получил название зашифрование, а процесс преобразования закрытой информации в открытую — расшифрование.
За многовековую историю использования шифрования информации человечеством изобретено множество методов шифрования, или шифров. Методом шифрования, или шифром, называется
141
совокупность обратимых преобразований открытой информации в закрытую в соответствии с алгоритмом шифрования. Большинство методов шифрования не выдержали проверку временем, а некоторые используются до сих пор. Появление ЭВМ и КС инициировало процесс разработки новых шифров, учитывающих возможности использования ЭВМ как для зашифрования/расшиф-рования информации, так и для атак на шифр. Атака на шифр {криптоанализ) — это процесс расшифрования закрытой информации без знания ключа и, возможно, при отсутствии сведений об алгоритме шифрования.
Современные методы шифрования должны отвечать следующим требованиям:
•	способность шифра противостоять криптоанализу (криптостойкость) должна быть такой, чтобы его вскрытие могло быть осуществлено только путем решения задачи полного перебора ключей;
•	криптостойкость обеспечивается не секретностью алгоритма шифрования, а секретностью ключа;
•	шифртекст не должен существенно превосходить по объему исходную информацию;
•	ошибки, возникающие при шифровании, не должны приводить к искажениям и потерям информации;
•	время шифрования не должно быть большим;
•	стоимость шифрования должна быть согласована со стоимостью закрываемой информации.
Криптостойкость шифра является основным показателем его эффективности. Она измеряется временем или стоимостью средств, необходимых криптоаналитику для получения исходной информации по шифртексту, при условии, что ему неизвестен ключ.
Сохранить в секрете широко используемый алгоритм шифрования практически невозможно. Поэтому алгоритм не должен иметь скрытых слабых мест, которыми могли бы воспользоваться криптоаналитики. Если это условие выполняется, то криптостойкость шифра определяется длиной ключа, так как единственный путь вскрытия зашифрованной информации — перебор комбинаций ключа и выполнение алгоритма расшифрования. Таким образом, время и средства, затрачиваемые на криптоанализ, зависят от длины ключа и сложности алгоритма шифрования.
В качестве примера удачного метода шифрования можно привести шифр DES (Data Encryption Standard), применяемый в США с 1978 г. в качестве государственного стандарта. Алгоритм шифрования не является секретным и был опубликован в открытой печати. За все время использования этого шифра не было обнародовано ни одного случая обнаружения слабых мест в алгоритме шифрования.
В конце 1970-х гг. использование ключа длиной в 56 бит гарантировало, что для раскрытия шифра потребуется несколько лет
142
непрерывной работы самых мощных по тем временам компьютеров. Прогресс в области вычислительной техники позволил значительно сократить время определения ключа путем полного перебора. Согласно заявлению специалистов Агентства национальной безопасности США 56-битный ключ для DES может быть найден менее чем за 453 дня с использованием суперЭВМ Cray T3D, которая имеет 1024 узла и стоит 30 млн долл. Используя чип FPGA (Field Programmable Gate Array — программируемая вентильная матрица) стоимостью 400 долл., можно восстановить 40-битный ключ DES за 5 ч. Потратив 10 000 долл, на 25 чипов FPGA, 40-бит-ный ключ можно найти в среднем за 12 мин. Для вскрытия 56-бит-ного ключа DES при опоре на серийную технологию и затратах в 300 000 долл, требуется в среднем 19 дней, а если разработать специальный чип, то 3 ч. При затратах в 300 млн долл. 56-битные ключи могут быть найдены за 12 с. Расчеты показывают, что в настоящее время для надежного закрытия информации длина ключа должна быть не менее 90 бит.
Методы шифрования-дешифрования подразделяются на две группы: методы шифрования с симметричными ключами и системы шифрования с открытыми ключами (см. рис. 3.15).
К методам шифрования с симметричными ключами относятся следующие:
•	методы замены;
•	методы перестановки;
•	аналитические методы;
•	аддитивные методы (гаммирование);
•	комбинированные методы.
К системам шифрования с открытыми ключами относятся следующие:
•	система RSA;
•	система Эль-Гамаля;
•	криптосистема Мак-Элиса.
3.4.3.	Методы и средства парирования угроз
Методы и средства парирования угроз подразделяются на три группы (см. рис. 3.4):
•	парирование угроз от электромагнитных излучений и наводок;
•	внедрение комплексной системы защиты КС;
•	применение методов и средств защиты процессов переработки информации в защищенной КС.
Парирование угроз от электромагнитных излучений и наводок. Эти методы, в свою очередь, подразделяются на две группы: пассивные и активные (рис. 3.16).
Пассивные методы обеспечивают уменьшение уровня опасного сигнала или снижение информативности сигналов. Активные
143
методы направлены на создание помех в каналах побочных электромагнитных излучений и наводок, затрудняющих прием и выделение полезной информации из перехваченных злоумышленником сигналов.
Для блокирования угрозы воздействия на электронные блоки и магнитные запоминающие устройства мощными внешними электромагнитными импульсами и высокочастотными излучениями, приводящими к неисправности электронных блоков и стирающими информацию с магнитных носителей информации, используют экранирование защищаемых средств.
Защита от побочных электромагнитных излучений и наводок осуществляется как пассивными, так и активными методами.
Пассивные методы парирования угроз от электромагнитных излучений и наводок подразделяются на три группы: экранирование; снижение мощности излучений и наводок; снижение информативности сигналов.
Рис. 3.16. Классификация методов и средств парирования угроз от электромагнитных излучений и наводок
144
Экранирование является одним из самых эффективных методов защиты процессов переработки информации от электромагнитных излучений. Под экранированием понимается размещение элементов КС, создающих электрические, магнитные и электромагнитные поля, в пространственно-замкнутых конструкциях. Способы экранирования зависят от особенностей полей, создаваемых элементами КС при протекании в них электрического тока.
Характеристики полей зависят от параметров электрических сигналов в КС. Так, при малых токах и высоких напряжениях в создаваемом поле преобладает электрическая составляющая. Такое поле называется электрическим {электростатическим). Если в проводнике протекает ток большой величины при малых значениях напряжения, то в поле преобладает магнитная составляющая, а поле называется магнитным. Поля, у которых электрическая и магнитная составляющие соизмеримы, называются электромагнитными.
Снижение мощности излучений и наводок и информативности сигналов осуществляется способами защиты от пассивных электромагнитных излучений (ЭМИ) и наводок, объединенных в эту группу, которые реализуются с целью снижения уровня излучения и взаимного влияния элементов КС.
К данной группе относятся следующие методы:
•	изменение электрических схем;
•	использование оптических каналов связи;
•	изменение конструкции;
•	использование фильтров;
•	гальваническая развязка в системе питания.
Изменение электрических схем осуществляется для уменьшения мощности побочных излучений. Это достигается за счет использования элементов с меньшим излучением, уменьшения крутизны фронтов сигналов, предотвращения возникновения паразитной генерации, нарушения регулярности повторений информации.
Перспективным направлением борьбы с побочными ЭМИ является использование оптических каналов связи. Для передачи информации на большие расстояния успешно используются волоконно-оптические кабели. Передачу информации в пределах одного помещения (даже больших размеров) можно осуществлять с помощью беспроводных систем, использующих излучения в инфракрасном диапазоне. Оптические каналы связи не порождают ЭМИ. Они обеспечивают высокую скорость передачи и не подвержены воздействию электромагнитных помех.
Изменение конструкции сводится к изменению взаимного расположения отдельных узлов, блоков, кабелей и сокращению длины шин.
145
Использование фильтров является одним из основных способов защиты от побочных ЭМИ и наводок. Фильтры устанавливаются как внутри устройств, систем для устранения распространения и возможного усиления наведенных побочных электромагнитных сигналов, так и на выходе из объектов линий связи, сигнализации и электропитания. Фильтры рассчитываются таким образом, чтобы они обеспечивали снижение сигналов в диапазоне побочных наводок до безопасного уровня и не вносили существенных искажений полезного сигнала.
Полностью исключается попадание побочных наведенных сигналов во внешнюю цепь электропитания при наличии генераторов питания, которые обеспечивают гальваническую развязку между первичной и вторичной цепями.
Использование генераторов позволяет также подавать во вторичную цепь электропитание с другими параметрами (по сравнению с первичной цепью). Так, во вторичной цепи может быть изменена частота. Генераторы питания за счет инерционности механической части позволяют сглаживать пульсации напряжения и кратковременные отключения в первичной цепи.
Активные методы парирования угроз от электромагнитных излучений и наводок предполагают применение генераторов шумов, различающихся принципами формирования маскирующих помех. В качестве маскирующих используются случайные помехи с нормальным законом распределения спектральной плотности мгновенных значений амплитуд (гауссовские помехи) и прицельные помехи, представляющие собой случайную последовательность сигналов помехи, идентичных побочным сигналам.
Эффективно применение пространственного и линейного зашумления. Пространственное зашумление осуществляется за счет излучения с помощью антенн электромагнитных сигналов в пространство.
Применяется локальное пространственное зашумление для защиты конкретного элемента КС и объектовое пространственное зашумление для защиты от побочных электромагнитных излучений КС всего объекта. При локальном пространственном зашумлении используются прицельные помехи. Антенна находится рядом с защищаемым элементом КС. Объектовое пространственное зашумление осуществляется, как правило, несколькими генераторами со своими антеннами, что позволяет создавать помехи во всех диапазонах побочных электромагнитных излучений всех излучающих устройств объекта.
Пространственное зашумление должно обеспечивать невозможность выделения побочных излучений на фоне создаваемых помех во всех диапазонах излучения; уровень создаваемых помех не должен превышать санитарных норм и норм по электромагнитной совместимости радиоэлектронной аппаратуры.
146
Рис. 3.17. Классификация методов и средств комплексной системы защиты КС
Рис. 3.18. Классификация методов и средств защиты процессов переработки информации в защищенной КС
148
При использовании линейного зашумления генераторы прицельных помех подключаются к токопроводящим линиям для создания в них электрических помех, которые не позволяют злоумышленникам выделять наведенные сигналы.
Внедрение комплексной системы защиты КС. Это очень эффективный метод парирования угроз. Классификация методов и средств комплексной системы защиты КС представлена на рис. 3.17.
Применение методов и средств защиты процессов переработки информации в защищенной КС. Классификация методов и средств защиты процессов переработки информации в защищенной КС представлена на рис. 3.18. Более подробно эти методы и средства рассмотрены в гл. 4, 5.
3.4.4.	Методы и средства нейтрализации угроз
Методы и средства нейтрализации угроз подразделяются на три группы (см. рис. 3.4):
•	методы и средства борьбы с компьютерными вирусами;
•	методы и средства защиты хранения и обработки информации в базах данных КС;
•	комплексные организационно-технические методы и средства устранения или нейтрализации угроз.
Методы и средства борьбы с компьютерными вирусами. Методы и средства борьбы с компьютерными вирусами представлены на рис. 3.19. Их применение рассмотрено в гл. 5.
Методы и средства защиты хранения и обработки информации в базах данных КС. Классификация методов и средств защиты хранения и обработки информации в базах данных КС представлена на рис. 3.20.
Базы данных рассматриваются как надежное хранилище структурированных данных, снабженное специальным механизмом для их эффективного использования в интересах пользователей (процессов). Таким механизмом является система управления базой данных. Под системой управления базой данных понимаются программные или аппаратно-программные средства, реализующие функции управления данными, такие как просмотр, сортировка, выборка, модификация, выполнение операций определения статистических характеристик и т.д. Базы данных размещаются:
•	на компьютерной системе пользователя;
•	специально выделенной ЭВМ (сервере).
Как правило, в компьютерной системе пользователя размещаются личные или персональные базы данных, которые обслуживают процессы одного пользователя.
Метод блокировки ответа при неправильном числе запросов предполагает отказ выполнения запроса, если в нем содержится больше определенного числа совпадающих записей из предыду-
149
Методы и средства борьбы с компьютерными вирусами
I
Обнаружение вирусов в КС
Профилактика заражения КС вирусами
.... — 3________________
Удаление последствий заражения КС вирусами
£
Сканирование информации для поиска сигнатуры вируса
Использование оффициально полученного ПО
Обнаружение изменений при помощи программ-ревизоров
Применение дублирования информации
Применение эвристического анализа с помощью анализаторов
Использование резидентских сторожей
Регулярное использование антивирусных программ
Восстановление системы после воздействия известных вирусов — использование программы-фага
Организация проверки новых носителей и файлов на отсутствие загрузочных и файловых вирусов
с помощью программ-сканеров,
эвристического анализа и резидентских сторожей
-----___________ Восстановление файлов и загрузочных секторов, зараженных известными вирусами
Использование резервной копии или дистрибутива
Уничтожение файла и восстановление его вручную
Применение вакцинирования программы
Использование аппаратно-программных антивирусных средств
Использование запретов на выполнение макрокоманд текстовыми и табличными редакторами MS Word, MS Excel
Организация проверок новых сменных носителей информации и вводимых файлов на специальной ЭВМ
Использование блокировок записи информации на носителе (при необходимости)
Рис. 3.19. Классификация методов и средств борьбы с компьютерными вирусами
щих запросов. Таким образом, данный метод обеспечивает выполнение принципа минимальной взаимосвязи вопросов. Этот метод сложен в реализации, так как необходимо запоминать и сравнивать все предыдущие запросы.
Метод коррекции данных и искажения ответа заключается в незначительном изменении точного ответа на запрос пользователя. Для того чтобы сохранить приемлемую точность статистической информации, применяется так называемый свопинг данных. Сущность его заключается во взаимном обмене значений полей записи, в результате чего все статистики /-го порядка, включа
150
ющие i атрибутов, оказываются защищенными для всех /, меньших или равных некоторому числу. Если злоумышленник сможет выявить некоторые данные, то он не сможет определить, к какой конкретно записи они относятся.
Применяется также метод разделения баз данных на группы. В каждую группу может быть включено не более определенного числа записей. Запросы разрешены к любому множеству групп, но запрещены к подмножеству записей из одной группы. Применение этого метода ограничивает возможности выделения данных злоумышленником на уровне не ниже группы записей. Метод разделения баз данных не нашел широкого применения из-за сложности получения статистических данных, обновления и реструктуризации данных.
Эффективным методом противодействия исследованию баз данных является метод случайного выбора записей для обработки. Такая организация выбора записей не позволяет злоумышленнику проследить множество запросов.
Метод контекстно-ориентированной защиты заключается в назначении атрибутов доступа (чтение, вставка, удаление, обновление, управление и т.д.) элементам базы данных (записям, полям, группам полей) в зависимости от предыдущих запросов пользователя. Например, пусть пользователю доступны в отдельных запросах поля: «Идентификационные номера» и «Фамилии сотрудников», а также «Идентификационные номера» и «Размер заработной платы». Сопоставив ответы по этим запросам, пользователь может получить закрытую информацию о заработной плате конкретных работников. Для исключения такой возможности пользователю следует запретить доступ к полю «Идентификатор сотрудника» во втором запросе, если он уже выполнил первый запрос.
Рис. 3.20. Классификация методов и средств защиты хранения и обработки информации в базах данных КС
151
Одним из наиболее эффективных методов является контроль поступающих запросов на наличие «подозрительных» запросов или комбинации запросов. Анализ подобных попыток позволяет выявить возможные каналы получения несанкционированного доступа к закрытым данным.
Комплексные организационно-технические методы и средства устранения или нейтрализации угроз. К ним относятся: применение современных технологий программирования, автоматизированных систем разработки программных средств (ПС), применение комплексных контрольно-испытательных стендов, организация защиты аппаратных средств на этапах разработки, производства и эксплуатации и т.д.
Современные технологии программирования предполагают высокую степень автоматизации процессов создания, отладки и тестирования программ. Применение стандартных модулей позволяет упростить процесс создания программ, поиска ошибок и закладок.
Для разработки программных средств, свободных от ошибок и закладок, необходимо выполнение следующих условий:
•	использование объектно-ориентированного программирования;
•	наличие автоматизированной системы разработки программных средств;
•	применение комплексного контрольно-испытательного стенда;
•	наличие аппаратных средств для обнаружения закладок;
•	организация защиты КС.
Одним из перспективных направлений создания программного обеспечения повышенной безопасности является использование объектно-ориентированного программирования, идущего на смену структурному программированию.
Применение объектно-ориентированного программирования (ООП) позволяет разделить фазы описания и фазы реализации абстрактных типов данных. Два выделенных модуля допускают раздельную компиляцию. В модуле описания задаются имена и типы внутренних защищенных и внешних данных, а также перечень процедур (методов) с описанием типов и количества параметров для них. В модуле реализации находятся собственно процедуры, обрабатывающие данные. Такое разделение повышает надежность программирования, так как доступ к внутренним данным возможен только с помощью процедур, перечисленных в модуле описания. Это позволяет определять большую часть ошибок в обработке абстрактного типа данных на этапе компиляции, а не на этапе выполнения. Анализ программных средств на наличие закладок облегчается, так как допустимые действия с абстрактными данными задаются в модуле описания, а не в теле процедур.
Одним из центральных понятий ООП является понятие «класс». С помощью этого понятия осуществляется связывание определен
152
ного типа данных с набором процедур и функций, которые могут манипулировать с этим типом данных.
Преимущество ООП заключается также в предоставлении возможности модификации функционирования, добавления новых свойств или уничтожении ненужных элементов, не изменяя того, что уже написано и отлажено. Пользователю достаточно определить объекты, принадлежащие к уже созданным классам, и посылать им сообщения. При этом контроль безопасности программного продукта сводится к анализу модулей описания классов. Если класс из библиотеки классов не удовлетворяет разработчика, то он может создать класс, производный от базового, произвести в нем необходимые изменения и работать с объектами полученного производного класса. Если данные и методы базового класса не должны быть доступны в производных классах, то их следует описать как внутренние.
Автоматизированные системы разработки программных средств — одно из эффективных средств защиты процессов переработки информации не только на этапе разработки, но и при эксплуатации программных продуктов. Особенного эффекта можно добиться в процессах нейтрализации угроз как от закладок, так и от непреднамеренных ошибок персонала.
Автоматизированная система (АС) создается на базе локальной вычислительной сети (ЛВС). В состав ЛВС входят рабочие станции программистов и сервер администратора. Программисты имеют полный доступ только к информации своей ЭВМ и доступ к ЭВМ других программистов в режиме чтения. С рабочего места администратора возможен доступ в режиме чтения к любой ЭВМ разработчиков.
База данных алгоритмов разрабатываемого программного средства находится на сервере администратора и включает в себя архив утвержденных организацией-разработчиком и контролирующей организацией алгоритмов программного средства в виде блок-схем, описания на псевдокоде для их контроля администратором.
На сервере администратора располагается база данных листингов программ разрабатываемого программного средства, включающая в себя архив утвержденных организацией-разработчиком и контролирующей организацией программ для их контроля администратором с применением программ сравнения листингов и поиска измененных и добавленных участков программ.
На сервере администратора находится также база данных эталонных выполняемых модулей программ разрабатываемого программного средства для их контроля с применением программ поиска изменений в этих модулях.
Программы контроля версий листингов программ и сравнения выполняемых модулей должны быть разработаны организацией, не связанной ни с организацией-разработчиком, ни с контроли
153
рующей организацией и должны контролировать программы любого назначения.
Контроль за безопасностью разработки может осуществляться следующим образом. Администратор в соответствии со своим графиком без уведомления разработчиков считывает в базы данных листинги программ и выполняемые модули. С помощью программ сравнения администратор выявляет и анализирует изменения, которые внесены разработчиком, по сравнению с последним контролем.
По мере разработки выполняемых модулей в базе администратора накапливаются готовые к сдаче заказчику эталонные образцы выполняемых модулей, сохранность которых контролируется администратором.
Применение такой организации работ позволяет администратору выявлять закладки и непреднамеренные ошибки на всех стадиях разработки программного средства. Администратор не может сам внедрить закладку, так как у него нет права на модификацию программ, разрабатываемых программистами.
Одним из наиболее эффективных путей обнаружения закладок и ошибок в разрабатываемых программных средствах является применение комплексного контрольно-испытательного стенда разрабатываемой системы. Он позволяет анализировать программные средства путем подачи многократных входных воздействий на фоне изменяющихся внешних факторов, с помощью которых имитируется воздействие возможных закладок. Таким образом, контрольно-испытательный стенд может рассматриваться как детальная имитационная модель разрабатываемой системы, позволяющая обеспечивать всесторонний анализ функционирования разрабатываемого программного средства в условиях воздействия закладок.
Контрольно-испытательный стенд должен отвечать следующим требованиям:
•	должен быть построен как открытая система, допускающая модернизацию и наращивание возможностей;
•	должен обеспечивать адекватность структуры и информационных потоков структуре и информационным потокам реальной системы;
•	должен удовлетворять взаимозаменяемость программных модулей модели и реальной системы;
•	должен позволять проводить как автономные испытания модулей, так и всего программного средства в целом.
Контрольно-испытательный стенд может содержать следующие блоки:
•	модуль системы, который состоит из программных блоков и программных модулей реальной системы;
•	модуль конфигурации модели системы, осуществляющий регистрацию и динамическое включение программных модулей
154
реальной системы и блоков программных модулей из соответствующих баз данных;
•	база данных моделей угроз — для накопления и модификации моделей угроз, представленных в формализованном виде;
•	модуль формирования входных воздействий, учитывающий возможные угрозы, ограничения на входную информацию и результаты тестирования на предыдущем шаге;
•	модель внешних воздействий, предназначенная для учета воздействий, внешних по отношению к моделируемой системе;
•	модуль анализа результатов тестирования.
Выполняемые модули программных средств проверяются в процессе сертификации на специальных аппаратно-программных стендах, способных имитировать функционирование испытываемого программного средства на допустимом множестве входных и внешних воздействий. При контроле выполняется операция, обратная транслированию — дизассемблирование. Для упрощения анализа выполняемых модулей применяются также отладчики, программы-трассировщики, которые позволяют проконтролировать последовательность событий, порядок выполнения команд.
Наличие аппаратных средств для обнаружения закладок на этапе разработки, производства и эксплуатации является эффективными приемами устранения и нейтрализации угроз.
Аппаратные закладки могут внедряться не только в процессе разработки и модернизации, но и в процессе серийного производства, транспортирования и хранения аппаратных средств.
Для защиты от внедрения аппаратных закладок кроме следования общим принципам защиты необходимо обеспечить всестороннюю проверку комплектующих изделий, поступающих к разработчику (производителю) извне.
Комплектующие изделия должны подвергаться тщательному осмотру и испытанию на специальных стендах. Испытания, по возможности, проводятся путем подачи всех возможных входных сигналов во всех допустимых режимах.
Если полный перебор всех комбинаций входных сигналов практически невозможен, то используются вероятностные методы контроля. Чаще всего вероятностное тестирование осуществляется путем получения комбинаций входных сигналов с помощью датчика случайных чисел и подачи этих сигналов на тестируемое и контрольное изделие. В качестве контрольного используется такое же изделие, как и тестируемое, но проверенное на отсутствие закладок, ошибок и отказов. Выходные сигналы обоих изделий сравниваются. Если они не совпадают, то принимается решение о замене тестируемого изделия.
При испытаниях изделий путем подачи детерминированных последовательностей входных сигналов и сравнения выходных сигналов с эталонами часто используются методы сжатия выход
155
ных сигналов (данных). Это позволяет сократить объем памяти, необходимый для размещения эталонов выходных сигналов.
Для исследования неразборных конструкций (микросхем, конденсаторов, резисторов, печатных плат и др.) используются рентгеновские установки. При необходимости осуществляется послойное рентгеновское исследование изделий.
В процессе производства основное внимание уделяется автоматизации технологических процессов и контролю за соблюдением технологической дисциплины. Особо ответственные операции могут производиться под наблюдением должностных лиц с последующим документальным оформлением.
Этапы разработки, производства и модернизации аппаратных средств КС завершаются контролем на наличие конструктивных ошибок, производственного брака и закладок.
Блоки и устройства, успешно прошедшие контроль, хранятся и транспортируются таким образом, чтобы исключалась возможность внедрения закладок.
Организация защиты КС от несанкционированного доступа и изменения ее структур в процессе эксплуатации обеспечивается методологией разграничения доступа к оборудованию (см. подразд. 3.4.2).
При эксплуатации КС неизменность аппаратной и программной структур обеспечивается за счет предотвращения несанкционированного доступа к аппаратным и программным средствам, а также за счет организации постоянного контроля за целостностью этих средств.
Несанкционированный доступ к аппаратным и программным средствам может быть исключен или существенно затруднен при выполнении следующего комплекса мероприятий:
•	охрана помещений, в которых находятся аппаратные средства КС;
•	разграничение доступа к оборудованию;
•	противодействие несанкционированному подключению оборудования;
•	защита внутреннего монтажа, средств управления и коммутации от несанкционированного вмешательства;
•	противодействие внедрению вредительских программ.
Подробно методы и программно-аппаратные средства ограничения доступа к компонентам для вычислительных сетей, а также другие организационно-технические приемы обеспечения безопасности процессов переработки информации рассмотрены в гл. 5.
Контрольные вопросы
1.	Каковы основные эволюционные подходы к обеспечению ИБ деятельности общества?
156
2.	Дайте определение информационного оружия.
3.	Приведите формулу Д. Медоуза. Что она характеризует и каковы области ее применения?
4.	Сформулируйте основные проблемы ИБ.
5.	Перечислите основные объекты и субъекты защиты процессов переработки информации.
6.	Сформулируйте три варианта доступа субъекта к объекту.
7.	Перечислите основные признаки И Б объектов и субъектов.
8.	Перечислите основные принципы защиты процессов переработки информации в АИТ.
9.	Приведите классификацию организационных и правовых методов и средств предотвращения угроз ИБ.
10.	Приведите классификацию методов предотвращения угроз шпионажа и диверсий.
11.	Приведите классификацию методов предотвращения угроз несанкционированного доступа в КС.
12.	Приведите классификацию методов предотвращения случайных угроз.
13.	Приведите классификацию криптографических методов предотвращения угроз.
14.	Приведите классификацию основных методов и средств парирования угроз.
15.	Перечислите четыре основные группы методов и средств защиты процессов переработки информации в защищенной КС.
16.	Приведите основную классификацию методов и средств нейтрализации угроз.
Глава 4
МЕТОДОЛОГИЧЕСКОЕ И ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ИБ ФУНКЦИОНИРОВАНИЯ ПРЕДПРИЯТИЙ
4.1.	Методологические основы технического обеспечения защиты процессов переработки информации и контроля ее эффективности
4.1.1.	Системы оповещения о попытках вторжения
Объектами, методами и средствами несанкционированного съема информации могут являться:
•	здания, сооружения и строительные конструкции (стены, потолки, полы, оконные и дверные проемы, оконные стекла, системы отопления и водоснабжения, воздуховоды); при проведении переговоров и совещаний конфиденциального характера — по виброакустическому каналу;
•	подвижные объекты (автомобильный и персональный, железнодорожный, водный и воздушный транспорт); при проведении конфиденциальных бесед — по виброакустическому каналу;
•	средства слаботочной техники (аппаратура связи, звукоусиления, аудио- и телеаппаратура, электрочасы, радиотрансляции, аппаратура пожарной и охранной сигнализации, электрические пишущие машинки, кондиционеры и др.) как при их использовании, так и в случае их обычного нахождения в помещениях, предназначенных для проведения мероприятий закрытого характера, — по электроакустическим преобразованиям и за счет побочных электромагнитных излучений и наводок (ПЭМИН);
•	средства вычислительной техники (изображение с монитора передается по эфиру на значительное расстояние) — за счет ПЭМИН;
•	система электропитания и заземления (по этим цепям возможен перехват информации, которая обрабатывается устройствами (звукоусиления, связи с секретарем ПК и т.д.)), — за счет ПЭМИН;
•	акустика (речь, звуки) из помещений, автомашины и т.д. — за счет акустических радиомикрофонов («жучков») по радиоканалу и по проводам, лазерных устройств перехвата;
•	телефонные переговоры — за счет телефонных «жучков» по радиоканалу и по проводам;
158
•	сообщения по факсу — за счет перехвата через побочные излучения и наводки и по линиям связи;
•	«подарки» и «сувениры», мебель, интерьер с вмонтированными в них «жучками»;
•	акустика (речь) лиц на расстоянии с помощью направленных микрофонов;
•	радиопереговоры по сетям сотовой связи.
Техническими средствами защиты являются такие, с помощью которых защита объекта реализуется техническим устройством, комплексом или системой. Достоинствами технических средств являются широкий круг решаемых задач, высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.
Основными недостатками технических средств защиты являются высокая стоимость многих средств, необходимость регулярного проведения регламентных работ и контроля, возможность подачи ложных тревог.
Технические средства классифицируются:
•	по сопряженности с основными средствами АСОД;
•	выполняемым функциям защиты;
•	степени сложности устройств защиты.
По сопряженности с основными средствами Л СОД технические средства подразделяются:
•	на автономные — средства, выполняющие свои защитные функции независимо от функционирования средств АСОД, т.е. полностью автономно;
•	сопряженные — самостоятельные устройства, осуществляющие защитные функции совместно с основными средствами;
•	встроенные — средства, которые конструктивно включены в состав аппаратуры технических средств АСОД.
По выполняемым функциям защиты технические средства могут быть:
•	внешней защиты — защищают от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств АСОД;
•	опознавания — специфическая группа средств, предназначенных для опознавания людей по различным индивидуальным характеристикам;
•	внутренней защиты — защищают от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации.
По степени сложности устройств защиты технические средства можно подразделить:
•	на простые устройства — несложные приборы и приспособления, выполняющие отдельные процедуры защиты;
159
•	сложные устройства — комбинированные агрегаты, состоящие из некоторого количества простых устройств и способные к осуществлению сложных процедур защиты;
•	системы — законченные технические комплексы, способные осуществлять некоторую комбинированную процедуру защиты, имеющую самостоятельное значение.
Определяющей является классификация по выполняемым функциям защиты, а классификации по сопряженности с основными средствами АСОД и степени сложности устройств защиты отражают, главным образом, особенности конструктивной и организационной реализации средств.
Современный комплекс защиты территории охраняемых объектов должен включать в себя следующие основные компоненты:
•	система оповещения о попытках вторжения;
•	оптическая (обычно телевизионная) система опознавания нарушителей;
•	механическая система защиты;
•	оборонительная система (звуковая и световая сигнализация, применение в случае необходимости оружия);
•	связная инфраструктура;
•	центральный пост охраны, осуществляющий сбор, анализ, регистрацию и отображение поступающих данных, а также управление периферийными устройствами;
•	персонал охраны (патрули, дежурные на центральному посту).
В современных системах оповещения (системах тревожной сигнализации) о попытках вторжения на охраняемую территорию используются датчики нескольких типов. Функциональная схема аварийной, пожарной и охранной сигнализации системы оповещения приведена на рис. 4.1.
В системах защиты периметра территории без ограды используются микроволновые, инфракрасные, емкостные, электрические и магнитные датчики.
Рис. 4.1. Функциональная схема аварийной, пожарной и охранной сигнализации системы оповещения:
1 — пожарные датчики; 2 — аварийные датчики; 3 — охранные датчики; 4 — экологические датчики; 5 — датчики напряжения питания; 6 — радиоканал; 7 — датчики зашиты аппаратуры
160
С помощью микроволновых и инфракрасных датчиков формируется протяженная контрольная зона барьерного типа. Действие систем с микроволновыми датчиками основывается на контроле интенсивности высокочастотного направленного излучения передатчика, которое воспринимается приемником. Срабатывание сигнализации происходит при прерывании этого направленного излучения. Ложные срабатывания могут быть обусловлены перемещением в контролируемой зоне животных, воздействием растительности, атмосферных осадков, передвижением транспортных средств, а также воздействием посторонних передатчиков.
При использовании инфракрасных систем оповещения между передатчиком и приемником появляется монохроматическое световое излучение в невидимой области спектра. Срабатывание сигнализации происходит при прерывании одного или нескольких световых лучей. Ложные срабатывания могут быть обусловлены перемещением в контролируемой зоне животных, сильным туманом или снегопадом.
Принцип действия емкостной системы оповещения основывается на формировании электростатического поля между параллельно расположенными так называемыми передающими и воспринимающими проволочными элементами специального ограждения. Срабатывание сигнализации происходит при регистрации определенного изменения электростатического поля, имеющего место при приближении человека к элементам ограждения. Ложные срабатывания могут быть обусловлены перемещением животных, воздействием растительности, обледенением элементов ограждения, атмосферными воздействиями или загрязнением изоляторов.
Электрические системы оповещения базируются на использовании специального ограждения с токопроводящими проволочными элементами. Критерием срабатывания сигнализации является регистрация изменений электрического сопротивления токопроводящих элементов при прикосновении к ним. Ложные срабатывания могут происходить по вине животных, растительности или в связи с загрязнением изоляторов.
Принцип действия систем с магнитными датчика-м и предполагает контроль параметров магнитного поля. Срабатывание сигнализации происходит при регистрации искажений, которые обусловлены появлением в зоне действия датчиков предметов из ферромагнитного материала. Ложное срабатывание может происходить из-за изменений характеристик почвы, обусловленных, например, продолжительным дождем.
При наличии механической системы защиты территории (например, ограды, расположенной по периметру) применяются системы оповещения с вибрационными датчиками; датчиками звука, распространяющегося по твердым телам; акустическими
161
датчиками; электрическими переключателями, а также системы с электрическими проволочными петлями.
Вибрационные датчики закрепляются непосредственно на элементах ограды. Срабатывание сигнализации происходит при появлении на выходе датчиков сигналов, которые обусловлены вибрациями элементов ограды. Ложные срабатывания могут происходить из-за сильного ветра, дождя или града.
Датчики звука также устанавливаются непосредственно на элементы ограды и контролируют распространение по ним звуковых колебаний. Срабатывание сигнализации происходит при регистрации так называемых шумов прикосновения к элементам ограды. Ложные срабатывания могут происходить из-за сильного ветра, дождя, града или срывающихся с элементов ограды сосулек.
В системах оповещения с акустическими датчиками контролируются звуковые колебания, передаваемые через воздушную среду. Срабатывание сигнализации происходит при регистрации акустических сигналов, имеющих место при попытках перерезать проволочные элементы ограды. Ложные срабатывания могут происходить из-за сильного ветра, дождя, града, различных посторонних шумов.
Действие систем с электрическими переключателями основано на регистрации изменения состояния переключателей, вмонтированных в ограду, которое происходит при соответствующем изменении натяжения проволочных элементов или нагрузки на направляющие трубки ограды. Ложные срабатывания сигнализации могут быть вызваны очень сильным ветром при недостаточном натяжении элементов ограды.
Если в системах оповещения в качестве чувствительных элементов применяются изолированные токопроводящие проволочные элементы, то срабатывание сигнализации происходит при перерезании или деформации этих элементов. Ложные срабатывания могут произойти при возникновении неисправности в сети электропитания.
Для контроля участков почвы по периметру охраняемой территории применяются системы оповещения с датчиками звука, распространяющегося по твердым телам, а также с датчиками давления.
В системах оповещения с датчиками звука регистрируются звуковые и сейсмические колебания. Срабатывание сигнализации происходит при регистрации сотрясений почвы, например ударного шума. Ложные срабатывания могут быть вызваны перемещением достаточно крупных животных, движением транспорта вблизи охраняемой территории.
В системах оповещения с датчиками давления используются пневматические или емкостные датчики давления, 162
позволяющие регистрировать изменения нагрузки на почву. Срабатывание сигнализации происходит при регистрации соответствующего роста давления, например ударного. Ложные срабатывания могут быть вызваны перемещением достаточно крупных животных, разгерметизацией пневматических датчиков или коррозией.
Повышение вероятности обнаружения нарушителя системой оповещения обязательно сопровождается увеличением числа ложных срабатываний. Таким образом, разработка систем оповещения прежде всего связана с поиском рационального компромисса относительно соотношения величин названных показателей. Из этого следует, что дальнейшее совершенствование систем оповещения должно быть направлено на повышение вероятности обнаружения и снижение интенсивности ложных срабатываний путем использования нескольких систем оповещения различного принципа действия в едином комплексе и применения в этих системах микропроцессорных анализаторов.
4.1.2.	Системы опознавания нарушителей
Обязательным условием надежного функционирования всего комплекса защиты охраняемой территории является анализ поступающих сообщений о проникновении для точного определения их вида и причин появления. Это условие может быть выполнено при использовании систем опознавания. Наиболее широкое распространение в подобных системах получили телевизионные установки дистанционного наблюдения. Несомненно, что объект со стационарными постами охраны обладает более высокой защищенностью, однако при этом значительно возрастают затраты на его охрану. Так, при необходимости круглосуточного наблюдения требуется трехсменная работа персонала охраны. В этих условиях телевизионная техника становится средством повышения эффективности работы персонала охраны, прежде всего, при организации наблюдения в удаленных, опасных или труднодоступных зонах. Функциональная схема телевизионной системы опознавания нарушителей и центрального поста охраны объекта приведена на рис. 4.2.
Вся контролируемая системой опознавания зона разграничивается на отдельные участки протяженностью не более 100 м, на которых устанавливается, по крайней мере, одна передающая телекамера. При срабатывании датчиков системы опознавания, установленных на определенном участке контролируемой зоны, изображение, передаваемое соответствующей телекамерой, автоматически выводится на экран монитора на центральном посту охраны. Кроме того, при необходимости должно быть обеспечено дополнительное освещение данного участка. Внимание дежурного охран-
163
Рис. 4.2. Функциональная схема телевизионной системы опознавания нарушителей и центрального поста охраны объекта:
1 — телевизионная камера; 2 — контроллер; 3 — рабочая станция; 4 — интерфейсный модуль: 5 — средства связи и управления; 6 — резервная рабочая станция; 7 — аварийное питание; 8 — принтер; 9 — радиоинтерфейс
ника должно быть как можно быстрее привлечено к выведенному на экран монитора изображению.
Фактические причины срабатывания сигнализации во многих случаях могут быть идентифицированы только при условии достаточно высокой оперативности дежурного охранника. Данное положение имеет место прежде всего при действительных попытках вторжения на охраняемую территорию и преднамеренных обманных действиях злоумышленников. Одним из перспективных путей выполнения сформулированного ранее условия является применение устройства видеопамяти, которое обеспечивает автоматическую запись изображения сразу же после срабатывания сигнализации. При этом дежурному охраннику предоставляется возможность вывести из устройства памяти на экран монитора первые кадры изображения и идентифицировать причину срабатывания датчиков системы оповещения.
В ряде телесистем наблюдения применены передающие камеры, ориентация которых может дистанционно меняться дежурным охранником. При включении сигнализации тревоги служащий охраны должен ориентировать телекамеру на тот участок, на котором сработали датчики системы оповещения. Однако практический опыт показывает, что такие телеустановки менее эффек
164
тивны по сравнению с жестко ориентированными передающими телекамерами.
Отличительной особенностью некоторых объектов является их большая протяженность.
Большое количество площадок таких объектов может быть расположено на значительном удалении друг от друга, что серьезно удорожает монтаж и эксплуатацию оборудования. В этих случаях можно применить систему малокадрового телевидения типа Slowscan. Она функционирует на больших расстояниях, имеет невысокую стоимость и совместима с любой существующей замкнутой телевизионной системой, которая уже установлена на объекте. Для передачи видеокадров и команд в этой системе используется телефонная сеть общего пользования. Особые преимущества в системах охраны имеют камеры на приборах с зарядовой связью (ПЗС). По сравнению с обычными камерами на ЭЛТ они обладают меньшими габаритными размерами, более высокой надежностью, практически не нуждаются в техническом обслуживании, отлично работают в условиях низкой освещенности, обладают чувствительностью в инфракрасной области спектра. Наиболее важным является то, что видеоинформация на чувствительном элементе такой камеры сразу представлена в цифровой форме и без дополнительных преобразований пригодна для дальнейшей обработки. Это дает возможность легко идентифицировать различия или изменения элементов изображения, реализовать в камере встроенный датчик перемещений. Подобная камера со встроенным детектором и маломощным инфракрасным осветителем может вести наблюдение охраняемой территории и при проявлении нарушителя в поле зрения распознавать изменения элементов изображения, а также подавать сигнал тревоги.
Обязательной составной частью комплексной системы защиты любого вида объектов является охранное освещение. Различают два вида охранного освещения: дежурное (или постоянное) и тревожное.
Дежурное освещение предназначается для постоянного, непрерывного использования во внерабочие часы, в вечернее и ночное время как на территории объекта, так и внутри зданий. Дежурное освещение оборудуется с расчетом его равномерности по всему пространству охраняемых зон объекта.
Для дежурного охранного освещения используются обычные уличные (вне здания) и потолочные (внутри здания) светильники. На посту охраны объекта должен находиться силовой рубильник включения внешнего дежурного освещения или устройство автоматического включения внешнего освещения с наступлением темного времени суток.
Тревожное освещение включается сотрудниками охраны вручную или автоматически при поступлении сигнала тревоги от си
165
стемы сигнализации. Если тревожное освещение располагается по периметру территории, то по сигналу тревоги могут включаться светильники либо только в том месте, откуда поступил сигнал тревоги, либо по всему периметру территории.
Для тревожного освещения обычно используют прожектор большой мощности или несколько прожекторов средней мощности (до 1000 Вт). Так же как и сигнализация, дежурное освещение должно иметь резервное электропитание на случай аварии или выключения электросети. Наиболее распространенный способ резервирования дежурного освещения — установка светильников, имеющих собственные аккумуляторы. Такие светильники постоянно подключены к электросети (для подзарядки аккумуляторов), а в случае ее аварии автоматически включаются от собственного аккумулятора.
4.1.3.	Механическая защита объекта
Основой любой механической системы защиты являются механические или строительные элементы, создающие для лица, пытающегося проникнуть на охраняемую территорию, реальное физическое препятствие. Важнейшей характеристикой механической системы защиты является время сопротивления — время, которое требуется злоумышленнику для преодоления механической системы защиты. Исходя из требуемой величины названной характеристики должен производиться и выбор типа механической системы защиты. Функциональная схема механической защиты объекта приведена на рис. 4.3.
Как правило, механическими, или строительными, элементами служат стены и ограды. Если позволяют условия, то могут применяться рвы и ограждения из колючей проволоки. Такие элементы могут сочетаться в различных комбинациях в одной системе механической защиты. В настоящее время на важных охраняемых объектах используются системы механической защиты с тройной изгородью, специальными элементами, затрудняющими попытки перебраться через ограждения, и применением S-образных мотков колючей проволоки.
Рис. 4.3. Функциональная схема механической системы защиты объекта: 1 — приемопередатчик; 2 — контроллер
166
При использовании многорядных механических систем защиты датчики оповещения о попытке вторжения целесообразно располагать между внутренним и внешним ограждением. При этом внутреннее ограждение должно обладать повышенным временем сопротивления.
Для контроля участков охраняемой территории фирмой Multisafe AG разработана система оповещения Multiplain, датчики которой работают на принципе регистрации разности давления. Датчик состоит из двух полых тел с избыточным давлением, которые соединены между собой через специальный преобразователь разности давлений. При возникновении даже незначительной разницы давлений в этих телах в преобразователе срабатывает контакт, через который может коммутироваться цепь включения тревожной сигнализации. При использовании указанного датчика достаточно просто локализовать участок, на котором сработал чувствительный элемент. Кроме того, преобразователь оснащен устройством автоматического восстановления нулевой точки, что исключает срабатывание контакта при медленных изменениях давления, которые могут быть обусловлены различными возмущающими воздействиями, например колебаниями температуры.
Датчик также нечувствителен к колебаниям и вибрациям, обусловленным движением автомобильного или железнодорожного транспорта. Чувствительная часть рассматриваемого устройства конструктивно выполнена в виде набора специальных ковриков, которые могут устанавливаться под слоем гравия, дерна, земли или под плитами пешеходных дорожек. Срабатывание контактов в преобразователях происходит при изменении нагрузки не менее чем на 30 кгс. Таким образом, система оповещения не реагирует на перемещение мелких животных по контролируемому участку территории. Предварительная нагрузка за счет маскировочного покрытия ковриков может достигать 250 кгс/м2 без влияния на их чувствительность.
Для предотвращения вторжения на охраняемую территорию используются оборонительные системы, в которых применяются осветительные или звуковые установки. Субъект, пытающийся проникнуть на охраняемую территорию, информируется о том, что он обнаружен охраной. Таким образом, на него оказывается целенаправленное психологическое воздействие. Кроме того, использование осветительных установок обеспечивает благоприятные условия для действий охраны. Функциональная схема оборонительной системы защиты объекта приведена на рис. 4.4.
Для задержания преступника охрана предпринимает соответствующие оперативные меры или вызывает милицию (полицию). Если злоумышленнику удалось скрыться, то для успеха последующего расследования важное значение приобретает информация, которая может быть получена с помощью рассмотренной ранее системы опознавания.
167
Рис. 4.4. Функциональная схема оборонительной системы защиты объекта:
1 — контроллер; 2 — дымопенные средства; 3 — оружие; 4 — громкоговорители; 5 — сирены
В особых случаях функции оборонительной системы выполняет специальное ограждение, через которое пропущен ток высокого напряжения.
Частью механической системы защиты объекта являются механические и электрические замки. Механический замок — оптимальное средство преграды доступа в здание (помещение), занимаемое небольшой организацией или посещаемое малым количеством
людей. Он удобен, экономичен и обеспечивает необходимый уровень защиты помещения или объекта.
При выборе требуемой модели замка следует прежде всего учитывать условия эксплуатации и необходимый уровень защиты. Существует множество замков повышенной секретности, висячих замков, которые могут устанавливаться в местах, требующих дополнительной защиты (на воротах, складах и т.д.).
Гарантией правильной эксплуатации замковых устройств является управление ключами к ним, которое представляет собой наиболее важный аспект безопасности. Без эффективного управления ключами даже самый надежный замок теряет способность обеспечивать защиту. Отслеживать круг лиц, имеющих доступ в определенные помещения, и сохранять информацию о том, какие и у каких сотрудников находятся ключи, можно также легко, как и вести обычную картотеку. Существуют программы для персональных компьютеров, которые позволяют поддерживать информацию о наличии ключей у служащих. Правда, соответствие этой информации реальности следует периодически контролировать.
Управление задвижкой электрического замка осуществляется вручную путем нажатия кнопок либо автоматически. Для отпирания двери с кнопочными замками (клавиатурой) требуется набрать правильный буквенно-цифровой код. Клавиатуру совместно с электрозамком обычно называют бесключевым средством контроля доступа. Недостатком кнопочных систем является возможность выявления кода путем подсматривания процесса его набора, анализа потертостей и загрязнений на кнопках и т.д. Функциональная схема и виды электромеханических устройств, системы управления доступом на огражденный объект приведены на рис. 4.5.
В системах повышенной защищенности клавиатура может быть дополнена системой считывания карточек. Недостатком систем
168
Рис. 4.5. Функциональная схема и виды электромеханических устройств системы управления доступом на огражденный объект:
1 — радиоконтроллер
контроля доступа по карточкам является возможность их утери, хищения, передачи другому лицу. Альтернативой системам контроля доступа по карточкам являются системы с так называемыми электронными ключами. Системы этого типа установлены в сотнях конторских зданий и гостиниц по всему миру. Они работают по принципу восприятия кода посредством оптического инфракрасного устройства. Записанный в ключе код представляет собой последовательность отверстий, выбитых на металле. Главные достоинства электронных ключей — невысокая стоимость, долговечность, удобство и простота эксплуатации.
Каналами связи в системе охранной сигнализации могут быть специально проложенные проводные линии, телефонные линии объекта, телеграфные линии и радиосвязь. Наиболее распространенные каналы связи — многожильные экранированные кабели, которые для повышения надежности и безопасности работы сигнализации помещают в металлические или пластмассовые трубы или металлические рукава. Энергоснабжение системы охранной сигнализации должно обязательно резервироваться, тогда в случае выхода его из строя функционирование сигнализации не прекращается за счет автоматического подключения резервного (аварийного) энергоисточника.
4.1.4.	Автоматизация технического контроля защиты потоков информации
Автоматизация технического контроля защиты потоков информации и объекта обеспечивается системой управления доступом и организацией автоматизированной системы контроля доступом (АСКД).
169
При выборе системы контроля доступа рекомендуется:
•	определить количество необходимых контрольно-пропускных пунктов исходя из числа пропускаемых через них служащих, которые требуется проконтролировать с максимальной скоростью во время пиковой нагрузки;
•	оценить требуемую степень безопасности организации. Ее можно повысить, например, путем дополнения устройства считывания карточек средствами ввода персонального кода;
•	предусмотреть средства аварийного выхода;
•	оценить ассигнования, необходимые на приобретение, установку и эксплуатацию системы контроля доступа.
При выборе варианта системы наряду с оценкой требуемого уровня безопасности и стоимости в сопоставлении с решаемыми задачами по контролю доступа важно убедиться в том, что система достаточно проста в эксплуатации, обладает нужной гибкостью при изменении предъявляемых к ней требований, что ее можно наращивать, не теряя сделанных инвестиций. При выборе системы желательно заглянуть минимум на два года вперед.
Руководству организации рекомендуется останавливать свой выбор на той системе, принцип действия которой ему понятен. Следует учитывать также уровень технического обслуживания, репутацию изготовителя и поставщика оборудования.
Работа современных АСКД основана на анализе идентификационных документов.
В последнее время в банковских АСОД стали применяться системы электронных платежей на основе пластиковых идентификационных карточек (ПИК), которые называют также кредитными карточками, смарт-картами или пластиковыми деньгами. Предназначены ПИК для осуществления взаимодействия человека с АСОД, поэтому они могут быть определены как аппаратное средство АСОД в виде прямоугольной пластиковой карточки, предназначенное для идентификации субъекта системы и являющееся носителем идентифицирующей и другой информации.
Типичный идентификационный документ имеет многослойную структуру и размеры, аналогичные стандартному формату кредитных карточек. Носитель идентификационной информации расположен между двумя защитными пленками из пластика.
В современных АСКД достаточно широко применяются магнитные карточки, носителем идентификационной информации в которых является полоска намагниченного материала. Следует отметить, однако, что такие документы не обладают высокой степенью защищенности в отношении попыток их подделки.
Применение голографического способа кодирования позволяет достичь повышенного уровня защищенности идентификационных документов от подделки или фальсификации. Пропуска этого вида содержат голограммы, которые представляют собой запись
170
эффекта интерференции между двумя или более когерентными полями.
Трехмерные голограммы позволяют записывать с высокой плотностью информацию, содержащуюся в изображении. На 1 мм2 голограммы может быть записано до миллиона бит информации.
Практическая идентификация пользователей заключается в установлении и закреплении за каждым пользователем АСОД уникального идентификатора (признака) в виде номера, шифра, кода и т.д. Это связано с тем, что традиционный идентификатор вида фамилия —имя — отчество не всегда приемлем, хотя бы в силу возможных повторений и общеизвестности. Поэтому в различных автоматизированных системах широко применяется персональный идентификационный номер (ПИН-код).
Любая ПИК используется в качестве носителя информации, необходимой для идентификации, и информации, используемой в других целях. Эта информация представляется в различных формах: графической, символьной, алфавитно-цифровой, кодированной, двоичной. Множество форм представления информации на ПИК объясняется тем, что карточка служит своеобразных связующим звеном между человеком (пользователем) и машинной системой, для которых характерны различные формы представления информации. Например, на карточку графически наносят специальный логотип, рисунок, фотографию, фамилию владельца, серийный номер, срок годности, штрих-код и т.д.
Логотип — графический символ организации, выпускающей карточку. Он служит своеобразным знаком обслуживания, т. е. обозначением, дающим возможность отличать услуги одной организации от однородных услуг другой организации. Очевидно, что логотип должен обладать различительной способностью и не повторять общеупотребительные обозначения (гербы, флаги и т.д.). Для обеспечения безопасности изображение, в том числе голографическое или видимое только в инфракрасных лучах, наносят на специальном оборудовании, что существенно затрудняет подделку карточки.
Другим средством повышения безопасности визуальной информации служит тиснение, или выдавливание (эмбоссирование), некоторых идентификационных характеристик пользователя на поверхности идентификационной карточки (ИК).
Эти характеристики с помощью специального устройства (импринтера) могут отпечатываться и дублироваться на бумажном носителе (слипе) для дальнейшего учета.
В настоящее время нашли широкое применение магнитные, полупроводниковые и оптические карточки (перечислены в порядке снижения распространенности).
Можно условно выделить три связанные области применения ПИК:
171
1)	электронные документы;
2)	контрольно-регистрационные системы;
3)	системы электронных платежей.
Карточки как средство контроля, разграничения и регистрации доступа к объектам, устройствам, информационным ресурсам АСОД используются при создании контрольно-регистрационных охранных систем. Например, известны разнообразные электронные замки к помещениям и аппаратуре. Разграничение доступа к данным ПЭВМ реализовано на уровне предъявления ключ-кар-ты, содержащей идентификационные данные пользователя и его электронный ключ.
Наиболее прост процесс изготовления так называемых печатных и тисненых голограмм, которые могут наноситься на уже имеющиеся идентификационные документы. Более сложна технология получения рефлексных голограмм, что и определяет обеспечиваемую ими повышенную степень защищенности документов от попыток подделки.
В последние годы заметно выросли масштабы применения в различных системах контроля доступа пропусков со встроенными интегральными схемами (ИС).
Использование пропусков с ИС позволяет проводить контроль доступа с высоким уровнем надежности, однако стоимость таких документов пока существенно выше, чем карточек с магнитной полосой.
Существенным недостатком многих систем контроля доступа рассматриваемого вида является то, что при проходе на территорию объекта или выходе с его территории владелец пропуска должен каждый раз вынимать документ из кармана и приближать его к устройству считывания. В последние годы разработаны более совершенные бесконтактные системы, в которых расстояние между пропуском и устройством считывания составляет 40... 100 см. При применении этих систем не приходится останавливаться, доставать пропуск и приближать его к устройству считывания, что обусловливает большие удобства для пользователей и более высокую пропускную способность.
В настоящее время выпускается несколько типов рассматриваемых бесконтактных систем. В некоторых из них кроме периферийных устройств считывания используется также и центральный блок, который выполняет основные процедуры по проверке правомочий доступа на охраняемый объект предъявителя пропуска и формирует сигналы управления механизмами блокировки прохода.
В банках и других организациях с повышенными требованиями к безопасности находят все более широкое распространение биометрические системы контроля доступа, что можно объяснить снижением их стоимости. В число биометрических систем контро
172
ля доступа входят системы проверки по форме кисти, ладони, рисунку кожи пальцев, сетчатке глаза, динамике подписи и голосу. Все биометрические системы характеризуются высоким уровнем безопасности, прежде всего, потому, что используемые в них данные не могут быть утеряны пользователем, похищены или скопированы. В силу своего принципа действия биометрические системы отличаются малым быстродействием и низкой пропускной способностью. Тем не менее они представляют собой единственное решение проблемы контроля доступа на особо важные объекты с малочисленным персоналом.
На крупных предприятиях возникает потребность в объединенных АСКД. Такие АСКД могут связывать воедино устройства считывания карточек и кнопочные устройства доступа со средствами пожарной и тревожной сигнализации и замкнутыми телевизионными системами. Многие АСКД позволяют распечатывать записи по каждому сигналу тревоги, а также осуществлять сбор данных по времени посещения помещений сотрудниками, по разрешенным входам в помещения, по попыткам несанкционированного входа, по полученным сигналам тревоги и их подтверждению.
Примером комплексного решения охранной защиты и обеспечения контроля доступа является охранная система МИККОМ AS 101. Данная система представляет собой компьютеризованную автономную систему и предназначена для защиты от несанкционированного доступа в производственные и служебные помещения защищаемых объектов. Она является новым поколением изделий подобного назначения и отличается расширенными функциональными возможностями: управление работой системы может осуществляться с периферийных кодовых устройств с помощью индивидуальных электронных карточек пользователей, предусмотрено графическое отображение плана объекта, обеспечиваются повышенные сервисные возможности протоколов и баз данных системы, значительно повышена надежность системы.
Система обеспечивает:
1)	автоматическую выдачу сообщений о несанкционированных попытках проникновения в охраняемые объекты, попытках хищений из шкафов и сейфов, оборудованных датчиками охранной сигнализации, возгораниях в помещениях, оборудованных датчиками пожарной сигнализации;
2)	съем информации с датчиков различных типов (контактных, инфракрасных, радиотехнических и т.д.). Число датчиков, обслуживаемых системой, в зависимости от характера охраняемого объекта может составлять от 1 до 4 тыс.;
3)	автоматическую постановку и снятие с охраны отдельных зон (ворот, комнат, коридоров, гаражей и т.д.) с центрального пульта;
173
4)	автоматическую постановку и снятие с охраны отдельных помещений по индивидуальным кодам пользователей (с использованием индивидуальных карточек) с регистрацией кода, Ф.И.О. владельца карточки, времени и места;
5)	автоматическую подачу команд на внешние исполнительные устройства (разблокировку замков, включение видеокамер, сирен и т.д.);
6)	организацию системы доступа в закрытые помещения (разблокировку замков) по индивидуальным карточкам владельцев;
7)	экстренный вызов службы охраны в помещения объекта;
8)	автоматический вывод информации на дисплей оператора, в том числе графического плана охраняемого объекта с указанием расположения датчиков, установленных и снятых с охраны, места проникновения нарушителя (или его попытки), выхода из строя отдельных узлов системы и т.д.;
9)	запись, хранение, просмотр и распечатку всей информации (время постановки той или иной зоны под охрану, время и место нарушения, время и место выхода из рабочего состояния датчиков, информация о работе оператора и т.д.);
10)	автоматический непрерывный контроль за рабочим состоянием датчиков и узлов системы, автоматическое обнаружение попыток их несанкционированного вскрытия, повреждений линий связи;
11)	автономное питание всех периферийных узлов системы, в том числе энергопотребляющих датчиков.
Благодаря своей модульной структуре и гибкости программного обеспечения система может быть использована для охраны широкого класса объектов, различающихся по расположению и числу охраняемых зон, числу и типу используемых датчиков, необходимому набору сервисных функций, может также совмещать функции охранной и противопожарной сигнализации и т.д.
В базовый состав системы входят:
•	центральный пульт управления (ЦПУ) на базе ПЭВМ IBM PC с принтером — 1 шт.;
•	блок питания и обработки сигналов (БПОС) — 1 шт.;
•	блок уплотнения (БУ) сигналов датчиков — от 1 до 256 бит;
•	устройства ввода кода (УВК) с индивидуальных карточек — от 1 до 512 шт.;
•	средства обнаружения (контактные и бесконтактные датчики) — от 16 до 4096 шт.;
•	четырехпроводные линии сбора/передачи информации и электропитания — от 1 до 8.
При необходимости система может дополняться ретрансляторами, позволяющими увеличить протяженность линий связи. Система отвечает требованиям стандартов Международной электротехнической комиссии и соответствующих отечественных ГОСТов.
174
Питание системы осуществляется от промышленной сети переменного тока напряжением 220 В (10... 15 %), частотой 50 Гц (допускается питание от сети с частотой 60 Гц). Предусмотрено применение агрегата бесперебойного питания (АБП), обеспечивающего автоматическое переключение на резервное питание при пропадании основного и обратно.
Диапазон рабочих температур узлов системы:
•	ЦПУ, БПОС: +1...+40°С;
. БУ, УВК: -10...+40°C.
Специализированное программное обеспечение позволяет формировать базы данных о конфигурации охраняемого объекта, расположении датчиков и охранных зон, списке пользователей системы — владельцев индивидуальных карточек с их индивидуальными кодами и полномочиями по установке и снятию с охраны тех или иных зон или по проходу в те или иные закрытые помещения.
При необходимости система может быть дополнена аппаратными и программными средствами, позволяющими:
•	графически отображать план объекта с поэтажной разбивкой и указанием установленных под охрану и снятых с охраны помещений, а также сработавших датчиков и охраняемых зон;
•	анализировать базы данных пользователей;
•	обрабатывать информацию из протокола системы.
Программное обеспечение позволяет формировать или корректировать конфигурацию объекта, базы данных, графический план без привлечения специалистов предприятия-изготовителя.
Технические средства защиты должны быть сертифицированы. В России в настоящий момент сертификаты Государственной технической комиссии при Президенте РФ имеют следующие средства:
•	устройство защиты информации от перехвата за счет излучений, возникающих при ее выводе на дисплей ПЭВМ (шифр «Салют»), разработанное научно-производственным государственным предприятием «Гамма» и фирмой «Криптон»;
•	техническая доработка ПЭВМ в целях снижения уровня побочных электромагнитных излучений и наводок (ПЭМИН), произведенная научно-производственным концерном «Научный центр»;
•	техническая доработка ПЭВМ в целях снижения уровня ПЭМИН, произведенная акционерным обществом «Российское научное товарищество»;
•	средство активной защиты — генератор шума с диапазоном частот от 0,1 до 1000 МГц (шифр «ГШ-1000»), разработанное ЦНИИ машиностроения Российской коммерческой ассоциации;
•	средство активной защиты (шифр «ГШ-К-1000»), разработанное специальным конструкторским бюро Института радиоэлектроники Российской Академии наук;
175
•	защитное устройство подавления опасных сигналов в однофазных и трехфазных сетях электропитания (шифр «ФСПК-200 (100)»), разработанное научно-производственным предприятием «Элком»;
•	устройство защиты от прослушивания помещения через телефонный аппарат, находящийся в режиме вызова (шифр «УЗТ»), разработанное товариществом с ограниченной ответственностью «Предприятие ЛиК»;
•	устройство защиты от прослушивания помещений через телефонный аппарат (PA0019301) (шифр «Корунд»), разработанное товариществом с ограниченной ответственностью «РЕНОМ»;
•	телевизионная система наблюдения (шифр «Виконт»), разработанная научно-производственным объединением «Альфа-Прибор»;
•	устройство защиты ПЭВМ от перехвата ПЭМИН объектов вычислительной техники 2-й и 3-й категории в диапазоне частот 10...1000 МГц (ИТСВ, 469435.006-02 ТУ) (шифр «Салют»), разработанное фирмой «Криптон».
4.2.	Комплексный и системный подходы к обеспечению ИБ объектов, технических средств и физических лиц
4	.2.1. Методология и содержание обеспечения ИБ при комплексном и системном подходах
В подразд. 4.1 был рассмотрен объектовый подход к проблеме ИБ деятельности объектов и отдельных частей, а также технические, организационные и методологические аспекты реализации защиты процессов переработки информации. На практике процессы обеспечения ИБ деятельности предприятий необходимо рассматривать гораздо шире, так как деятельность коллектива предприятия распространяется как на внутреннюю сферу чисто производственных взаимодействий, так и на внешнюю, которая включает в себя информационно-психологические взаимодействия на рынке, социальной и общественной жизни личного и фирменного характера в постоянно перемещающемся информационном поле. Это накладывает на методологию рассмотрения процессов обеспечения И Б всей жизнедеятельности коллектива, фирмы, региона, государства определенные требования.
Рассмотрим условия комплексного и системного подходов к организации ИБ функционирования предприятия.
Одним из вариантов реализации такого подхода являются технологии ИБ объектов, технических средств и физических лиц ООО «Петровка-Р» Ассоциации безопасности «Петровка».
В зависимости от требований к уровню защиты объекта применяются различные средства блокирования и контроля каналов
176
утечки информации. Существуют три уровня мероприятий по защите информации: достаточный (необходимый), повышенный и предельный.
При комплексном подходе перечень и содержание работ и мероприятий для их организации может быть представлен в следующем виде.
1.	Исследование и анализ возможных технических каналов утечки информации ограниченного доступа из выделенных в объекте помещений.
2.	Разработка моделей доступности защищаемых объектов для технического проникновения к информации ограниченного доступа.
3.	Проведение в помещениях организации и ее работников (офисах, кабинетах, квартирах, дачах) практических работ по обнаружению:
•	радиоизлучающих средств негласного получения информации (СНПИ);
•	СНПИ, установленных на телефонных линиях связи;
•	СНПИ, использующих для передачи информации различные проводные коммуникации;
•	СНПИ, работающих в инфракрасном диапазоне волн;
•	не работающих на момент проверки (выработавших ресурс или дистанционно управляемых) СНПИ;
•	сложных СНПИ, работающих в режиме адаптивной дельта-модуляции (АДМ) с задержкой сигнала, с подмешиванием цифрового псевдослучайного потока (обнаружение производится аппаратно-программным комплексом «Поиск-01», использующим принцип разнесенного приема с элементами искусственного интеллекта и аппаратурой подповерхностного радиолокационного зондирования «Раскан-3» с выводом изображения внутреннего состояния обследуемых поверхностей (стен, потолков и т.д.) на монитор компьютера);
•	акустических, виброакустических и других технических каналов утечки речевой информации (через смежные стены, окна, по системам центрального отопления и вентиляции);
•	а также снятие информации через вибрацию стекол с помощью лазерных средств негласного получения информации.
При осуществлении таких работ проверке подвергаются конструктивные ограждения помещений (пол, потолок, стены), мебель, предметы интерьера, входящие и выходящие проводные коммуникации и их оконечные устройства (электросеть, телефонные линии связи, системы охранной и пожарной сигнализации, единой часофикации и т.д.), средства оргтехники, бытовая аудио-и видеоаппаратура, подарки и сувениры, иные технические средства, установленные или хранящиеся в помещениях.
177
4.	Проведение работ по поиску СНПИ в автомашинах организации и ее работников.
5.	Контроль радиоэфира во время ответственных совещаний и переговоров, проводимых предприятием с целью выявления фактов утечки информации по радиоканалу.
6.	Осуществление аппаратурных проверок, в том числе методов нелинейной радиолокации и неразрушающего контроля (подповерхностная радиолокация, рентгеноскопия):
•	технических средств, устанавливаемых в помещениях объекта, на наличие в них СНПИ или каналов утечки информации;
•	проводных коммуникаций, телефонов, компьютеров и других средств бытовой и оргтехники на наличие ПЭМИН, создающих возможность утечки обрабатываемой или передаваемой информации ограниченного доступа.
7.	Проведение работ по устранению выявленных технических каналов утечки информации:
•	приведение в негодность СНПИ, установленных на телефонных линиях за пределами помещений (на участке здание-АТС);
•	подавление или уничтожение средств магнитной записи и другой радиоэлектронной аппаратуры предполагаемого противника;
•	защита телефонных аппаратов от утечки речевой информации при положенной трубке;
•	защита открытых каналов телефонной и факсимильной связи: а) путем зашифровки информации аппаратурой «Панорама» по закону случайных чисел (разрядность сеансового ключа — 61 бит) и дополнительного семизначного ключа для идентификации абонента (общее количество комбинаций — 2х 1025); б) путем зашифровки информации аппаратурой гарантированной криптостойкости (в данном устройстве используется нелинейный алгоритм высшей сложности; общее количество комбинаций — 10100х1010;
•	защита осветительных и силовых электросетей от использования СНПИ, работающих по ним;
•	защита оконечных устройств систем радиотрансляции, оповещения, единой часофикации и др.;
•	защита средств ЭВТ (персональных компьютеров и локальных вычислительных сетей) от утечки обрабатываемой информации за счет побочных электромагнитных излучений;
•	защита компьютерных сетей аппаратурой с гарантированной криптостойкостью (нелинейный алгоритм высшей сложности: долговременный ключ — Ю100 вариантов, разовый (маркантовый) ключ — Ю10 вариантов);
178
•	защита текстовой информации с помощью портативного шифратора (при зашифровке используется нелинейный алгоритм высшей сложности: долгосрочный ключ — 10100 вариантов, маркантовый ключ — Ю10 вариантов);
•	защита компьютерных файлов программным комплексом (файл не виден в каталоге и меню, на жестком диске хранится в зашифрованном виде — нелинейный алгоритм высшей сложности, применяется система паролей). Внимание: в случае утери пароля открытие данного файла не представляется возможным и диск придется переформатировать;
•	передача и прием электронной почты в корпоративных локальных сетях и сетях Интернет в зашифрованном виде как на территории Российской Федерации, так и за ее пределами, программным комплексом гарантированной криптостойкости (длина криптоключа составляет 256 бит, длина открытого и секретного ключей для формирования сеансового ключа составляет 512 бит);
•	защита стен, потолка, пола, окон, систем центрального отопления вентиляции от возможного съема речевой информации по виброакустическому каналу;
•	защита помещений от подслушивания, осуществляемого с помощью лазерных средств негласного получения информации.
8.	Установка в помещениях специальной аппаратуры:
•	сигнальных средств и систем, информирующих о наличии в помещении работающих радиоизлучающих СНПИ;
•	сигнальных средств, информирующих об установке на телефонные линии связи СНПИ о несанкционированном подключении к телефонным линиям;
•	средств, блокирующих нормальную работу СНПИ, при попытках их использования на телефонных линиях связи;
•	генераторов радиоакустических и виброакустических помех;
•	средств и систем обнаружения, скрытно работающих диктофонов (или их нейтрализация);
•	уничтожение элементной базы СНПИ, диктофонов и т.д.
9.	Разработка организационно-технических мер по предотвращению в дальнейшем появления технических каналов утечки информации ограниченного доступа.
10.	Проведение периодических профилактических проверок помещений на наличие принесенных СНПИ.
11.	Обучение на практике сотрудников фирм и служб безопасности работе с конкретными средствами. Подготовка перечней рекомендуемых специальных технических средств обнаружения и защиты от СНПИ для оснащения фирм и служб безопасности. Помощь в приобретении технических средств и консультации по вопросам их применения.
179
12.	Оказание услуг физическим лицам по защите их от энергоинформационного воздействия с целью принятия навязанных решений и вымогательства.
13.	Подключение и установка комплекса дистанционного видеонаблюдения и управления по телефонным линиям. Комплекс позволяет из любой точки планеты визуально наблюдать и управлять нужным объектом (даже бытовой техникой), передавая информацию по обычным телефонным линиям связи. Устройство подключается к телевизору, телефону, датчикам и электрическим устройствам, затем подсоединяется к стандартной телефонной линии. Система сообщает вам о том, что на охраняемой территории не все в порядке, даже если вы далеко.
14.	Оборудование учреждений, офисов, квартир, дач, автомобилей клиентов самой современной системой видеоконтроля малогабаритной и компактной системой передачи видеоинформации.
Передовые методы сжатия информации обеспечивают передачу видеосигнала по каналам сотовой связи стандарта GSM (или по обычной телефонной линии). Использование данной системы позволяет передавать видеоинформацию в реальном масштабе времени из любого удаленного пункта планеты на стационарный или мобильный контрольный пункт. Данная система позволяет присматривать за вашей собственностью, наблюдать труднодоступные участки местности и даже управлять повседневной работой с выводом изображения на монитор компьютера, ноутбука или обыкновенного телевизора как в стационарных пунктах наблюдения, так и в автомобиле.
15.	Оборудование автомобилей, офисов, зданий и сооружений, а также оснащение физических лиц аппаратурой подавления радиовзрывателей для предотвращения террористических актов.
4	.2.2. Системная реализация защиты процессов переработки информации на отдельных объектах информационных систем
управления
Для защиты телефонных линий от прослушивания Ассоциация безопасности «Петровка» предлагает комплексы технических и программных средств проектов «Туман», «Панорама» и «Вселенная» следующих видов.
Защита телефонных линий от прослушивания на участке от абонента до мини-АТС («Туман А-МТС-001»). Данная система обеспечивает защиту телефонных линий на участке от абонента до мини-АТС от прослушивания при помощи устройств несанкционированного съема информации любого типа (контактных и бесконтактных), а также подключенных средств магнитной записи и параллельных телефонных аппаратов. Защита обеспечивается пу-
180
Защи-
Рис. 4.6. Структурная схема системы «Туман А-МТС-001»
тем подачи в линию внеполосного шумового сигнала, что препятствует работе подслушивающих устройств. Она предотвращает также прослушивание помещений за счет использования микрофонного эффекта телефонных аппаратов и высокочастотного навязывания.
Система «Туман А-МТС-001» работает по структурной схеме, представленной на рис. 4.6.
Отличительные особенности данной системы:
•	полная автоматизация контроля линии и подавления (встроен микропроцессор);
•	допускается удаленное управление генератора тональным кодированным сигналом DTMF с защищаемого телефона;
•	«сторожевой режим» — постоянный контроль напряжения телефонной линии и информирование о подключении звуковым, в том числе в телефонную трубку, и световым сигналами;
•	цифровая регулировка уровня помехи в телефонной линии.
При наличии телефона в сети мини-АТС защищается линия в сети мини-АТС.
Основные технические характеристики системы
«Туман А-МТС-001»
Диапазон помехи при поднятой трубке
(при частоте 6... 10 кГц):
уровень помехи на линии сопротивлением 600 Ом...................................Не менее 15 дБм
регулировка уровня помехи................0...9 дБ
Диапазон помехи при положенной трубке
(при частоте 0,3...3 кГц):
уровень помехи на линии сопротивлением 600 Ом...................................Не менее	20	дБм
Контроль напряжения на линии осуществляется в диапазоне.................................0... 100 В
Габаритные размеры.......................... 152x104x34	мм
Питание: от сети переменного тока...................220 В
от источника постоянного тока............12 В
Устройство защиты и специальный фильтр сертифицированы.
Защита телефонных линий от прослушивания на участке от абонента до мини-АТС и от мини-АТС до ГТС («Туман А-МТС-ГТС-001»). Данная система обеспечивает защиту телефонных линий на
181
Рис. 4.7. Структурная схема системы «Туман А-МТС-ТТС-001»
участке от абонента до мини-АТС и от мини-АТС до ГТС от прослушивания при помощи устройств несанкционированного съема информации любого типа (контактных и бесконтактных), а также подключенных средств магнитной записи и параллельных телефонных аппаратов. Защита обеспечивается путем подачи в линию внеполосного шумового сигнала, что препятствует работе подслушивающих устройств. Данная система предотвращает также прослушивание помещений за счет использования микрофонного эффекта телефонных аппаратов и высокочастотного навязывания. Структурная схема системы «Туман А-МТС-ТТС-001» представлена на рис. 4.7.
Отличительные особенности данной системы:
•	полная автоматизация контроля линии и подавления (встроен микропроцессор);
•	допускается удаленное управление генератора тональным кодированным сигналом DTMF с защищаемого телефона;
•	«сторожевой режим» — постоянный контроль напряжения телефонной линии и информирование о подключении звуковым, в том числе в телефонную трубку, и световым сигналами;
•	цифровая регулировка уровня помехи в телефонной линии.
При наличии телефона в сети мини-АТС защищаются линия сети мини-АТС и линия сети ГТС.
Основные технические характеристики данной системы полностью соответствуют характеристикам системы «Туман А-МТС-001».
Устройство защиты и специальный фильтр сертифицированы.
Защита телефонных линий от прослушивания на участке от абонента до ГТС («Туман А-ГГС-001»). Данная система обеспечивает защиту телефонных линий на участке от абонента до ГТС от прослушивания при помощи устройств несанкционированного съема информации любого типа (контактных и бесконтактных), а также подключенных средств магнитной записи и параллельных телефонных аппаратов. Защита обеспечивается путем подачи в линию внеполосного шумового сигнала, что препятствует работе подслушивающих устройств. Данная система предотвращает также прослушивание помещений за счет использования микрофонного эффекта телефонных аппаратов и высокочастотного навязывания.
182
Рис. 4.8. Структурная схема системы «Туман А-ГТС-001»
Система «Туман А-ГТС-001» работает по структурной схеме, представленной на рис. 4.8.
Отличительные особенности данной системы:
•	полная автоматизация контроля линии и подавления (встроен микропроцессор);
•	допускается удаленное управление генератора тональным кодированным сигналом DTMF с защищаемого телефона;
•	«сторожевой режим» — постоянный контроль напряжения телефонной линии и информирование о подключении звуковым, в том числе в телефонную трубку, и световым сигналами;
•	цифровая регулировка уровня помехи в телефонной линии.
При наличии телефона на прямой городской линии защищается городская телефонная линия.
Основные технические характеристики данной системы полностью соответствуют характеристикам системы «Туман А-МТС-001».
Устройство защиты сертифицировано.
Защита телефонных переговоров и сообщений, передаваемых с использованием факсимильного аппарата, всего тракта от абонента до абонента методом шифрования («Панорама-G-OOl»). «Па-норама-G-OOl» предназначена для защиты телефонных разговоров и сообщений, передаваемых с использованием факсимильного аппарата по телефонной сети общего применения методом шифрования речевого сигнала. Серия «Панорама» отличается универсальностью применения и простотой управления. Вхождение в закрытый режим осуществляется нажатием одной кнопки.
Все скремблеры проекта «Панорама» совместимы друг с другом и могут быть использованы при построении сетей конфиденциальной связи различной конфигурации.
Данная система работает по структурной схеме, представленной на рис. 4.9.
Защита всего тракта телефонных переговоров и передачи с использованием факсимильного аппарата осуществляется методом шифрования:
•	метод шифрования — мозаичный, частотные и временные перестановки;
•	метод открытого распределения ключей, позволяющий работать без ручного набора ключей;
•	общее количество ключевых комбинаций — 2х1018;
183
Рис. 4.9. Структурная схема защиты телефонных переговоров и сообщений, передаваемых с использованием факсимильного аппарата от абонента к абоненту методом шифрования («Панорама-G-OOl»)
•	возможность введения дополнительного семизначного ключа для идентификации абонента;
•	высокая степень криптографической защиты за счет наличия дополнительных мастер-ключей, которые устанавливаются по желанию заказчика.
Характеристика функционирования данной системы в канале:
•	напряжение постоянного тока в абонентской линии — от 30 до 60 В;
•	высокая помехоустойчивость при работе в канале связи;
•	автоматическая адаптация к абонентской линии и нелинейности трактов АТС;
•	устойчивость работы в реальных телефонных каналах России и стран СНГ, включая междугородные и международные с радиорелейными вставками и любыми видами уплотнения;
•	совместимость с любым типом аналогового телефонного и факсимильного аппарата, с мини-АТС любого типа, имеющей аналоговый выход;
•	работа в линиях, оборудованных системами уплотнения и используемых для охранной сигнализации.
Пользовательские свойства данной системы:
•	высокая степень эхокомпенсации;
•	низкий уровень шумов в телефонной трубке;
•	высокое качество восстановленной речи;
•	речевая поддержка режимов работы;
•	энергонезависимая память индивидуальных ключей-идентификаторов;
•	упрощенный алгоритм ввода индивидуальных ключей-идентификаторов за счет использования электронного блокнота индивидуальных ключей.
Технические характеристики системы «Панорама-G-OOl»:
Потребляемая мощность, Вт....................Не более 2,5
Питание осуществляется от сетевого адаптера или внешних батарей напряжением,	В.........9... 12
Габаритные размеры, мм...................... 115x200x30
Масса, кг...................................Не более 0,8
Устройства данной системы сертифицированы.
184
Защита телефонных переговоров и сообщений, передаваемых с использованием факсимильного аппарата всего тракта от офисной мини-АТС до абонента методом шифрования («Панорама-GM-OOl»). Проект предназначен для защиты телефонных разговоров и сообщений, передаваемых с использованием факсимильного аппарата по телефонной сети общего применения методом шифрования речевого сигнала. Серия «Панорама» отличается универсальностью применения и простотой управления. Вхождение в закрытый режим осуществляется нажатием одной кнопки.
Данная система работает по структурной схеме, представленной на рис. 4.10.
Она предназначена для работы совместно с офисными мини-АТС. Скремблер включается между городской телефонной линией и мини-АТС, обеспечивая работу в закрытом режиме всех телефонных и факсимильных аппаратов, подключенных к данной мини-АТС. Он работает с любыми типами мини-АТС, имеющими аналоговый выход. Может также использоваться как обычный абонентский скремблер с дистанционным управлением и располагаться вдали от телефонного аппарата (в столе, шкафу и т.д.). Технические характеристики и функциональные возможности данного скремблера аналогичны параметрам скремблеров проекта «Панорама».
Защита всего тракта телефонных переговоров и передачи сообщений с использованием факсимильного аппарата осуществляется методом шифрования.
Характеристика функционирования данной системы в канале:
•	напряжение постоянного тока в абонентской линии — от 30 до 60 В;
•	высокая помехоустойчивость при работе в канале связи;
•	автоматическая адаптация к абонентской линии и нелинейности трактов АТС;
Рис. 4.10. Структурная схема защиты телефонных переговоров и сообщений, передаваемых с использованием факсимильного аппарата от офисной линии АТС до абонента методом шифрования («Панорама-GM-OOl»)
185
•	устойчивость работы в реальных телефонных каналах России и стран СНГ, включая междугородные и международные с радиорелейными вставками и любыми видами уплотнения;
•	совместимость с любым типом аналогового телефонного и факсимильного аппарата, с мини-АТС любого типа, имеющей аналоговый выход;
•	работа в линиях, оборудованных системами уплотнения и используемых для охранной сигнализации;
•	дистанционное управление с абонентского телефонного или факсимильного аппарата;
•	речевая поддержка режимов работы.
Технические характеристики системы «Панорама-GM-OOl»
Потребляемая мощность, Вт....................Не	более 2,5
Питание осуществляется от сетевого адаптера напряжением, В...............................9...	12
Габаритные размеры,	мм..................... 115x200x30
Масса, кг....................................Не	более 0,8
Устройства, применяемые в данной системе, сертифицированы.
Защита телефонных переговоров и сообщений, передаваемых с использованием факсимильного аппарата, всего тракта от абонента до абонента методом шифрования («Панорама-SMI.2-001»). «Панорама-SM 1.2-001» предназначена для защиты телефонных разговоров и сообщений, передаваемых с использованием факсимильного аппарата по телефонной сети общего применения методом шифрования речевого сигнала. Серия «Панорама» отличается универсальностью применения и простотой управления. Вхождение в закрытый режим осуществляется нажатием одной кнопки.
Все скремблеры проекта «Панорама» совместимы друг с другом и могут быть использованы при построении сетей конфиденциальной связи различной конфигурации.
Система работает по структурной схеме, представленной на рис. 4.11.
Защита всего тракта телефонных переговоров и передачи сообщений, передаваемых с использованием факсимильного аппарата, осуществляется методом шифрования. Технические характеристики и функциональные возможности данного скремблера аналогичны параметрам скремблеров проекта «Панорама».
Рис. 4.11. Структурная схема системы «Панорама-SMI.2-001»
186
Характеристика функционирования данной системы в канале:
•	устойчивость работы в реальных телефонных каналах России и стран СНГ, включая междугородные и международные с радиорелейными вставками и любыми видами уплотнения;
•	работа в линиях, оборудованных системами уплотнения и используемых для охранной сигнализации.
Алгоритм шифрования соответствует алгоритму, примененному в скремблерах серии «Панорама». Эта модель обладает большим набором дополнительных сервисных функций, имеет встроенный дисплей, сочетает в себе высокое качество работы и относительно низкую цену.
Пользовательские свойства данной системы:
•	все функции АОН (автодозвон, часы, память входящих и исходящих номеров и др.);
•	программирование опций;
•	ручной ввод дополнительных семизначных ключей напрямую или в электронную записную книжку.
Технические характеристики системы «Панорама-SMI.2-001»
Потребляемая мощность, Вт................. Не более 7
Питание: напряжение, В...........................220
частота, Гц............................50
Габаритные размеры, мм.................... 180x270x45
Масса, кг................................. Не более	1,6
Устройства, применяемые в данной системе, сертифицированы.
Криптографическая защита речи и данных, передаваемых по открытым телефонным каналам связи (по проекту «Вселенная-CV-001»). Проект предназначен для криптографической защиты телефонных разговоров, сообщений, передаваемых с использованием факсимильного аппарата, и для передачи данных с компьютера методом шифрования речевого сигнала, передаваемого по телефонной сети общего применения.
Система работает по структурной схеме, представленной на рис. 4.12.
Осуществляется криптографическая защита всего тракта передачи данных и разговоров по телефону от абонента до абонента.
Устройство криптозащиты гарантированной криптостойкости обладает высокой криптостойкостью. Для его вскрытия, с учетом быстроразвивающейся компьютерной техники, потребуется несколько столетий. Алгоритм шифрования создан на основе алгоритма LION. Ключ шифрования имеет длину 256 бит.
Устройство шифрует речь и данные. Оно устанавливается между стандартным телефоном и публичной телефонной сетью. По желанию владелец может шифровать речь, предотвращая таким
187
Рис. 4.12. Структурная схема системы криптографической защиты речи и данных по проекту «Вселенная-CV-OOl»
образом перехват телефонных переговоров. Дополнительно устройство может быть подсоединено к компьютеру (через стандартный serial-порт) для шифрования передаваемых по телефонным линиям данных.
Данное устройство также предоставляет другие полезные функции:
•	осуществляет аутентификацию участников связи (устройство гарантирует, что вы разговариваете именно с тем, с кем нужно);
•	использует набор алгоритмов для достижения максимального качества передачи речи на данной скорости;
•	сохраняет в архиве журнал соединений;
•	может использоваться для шифрования факсимильных сообщений.
Устройство устанавливается и настраивается сотрудником эксплуатирующей организации, назначенным администратором криптографической системы, в чьи обязанности будет входить поддержка работы пользователей. Вместе с устройством вам будут переданы смарт-карты для идентификации пользователей и доступа к устройству. Каждая смарт-карта имеет идентификационный номер (PIN). Смарт-карта должна храниться в надежном месте, так как на ней записан электронный ключ шифра для кодирования/деко-дирования сообщений.
Технические характеристики системы «Вселенная-CV-OOl»
Размеры (высотахширинахдлина), мм..(67±5)х(195±5)х(420±5)
Масса, кг............................3,3±0,2
Температурный диапазон, °C............0...40
Влажность при+26 °C, %...............80
Потребляемая мощность через адаптер (220/110 В), В(А)....................12(1,5)	(пик 2,5 А)
Клавиатура: число цифровых кнопок............10
число функциональных кнопок.......12
188
Скорость передачи, бит/с............До 14 400
Нелинейный алгоритм высшей сложности (число вариантов)...................Ю100
Защита телефонов сотовой связи аппаратурой гарантированной криптостойкости по проекту «Вселенная-Сота-001». Защита телефонных разговоров производится нелинейным алгоритмом высшей сложности с длиной долгосрочного ключа 256 бит. При каждом сеансе связи маркантовый ключ шифрования меняется автоматически — по закону случайных чисел (т.е. при каждом сеансе связи используется новый, никому не известный ключ). Данное устройство по своей криптостойкости не имеет аналогов в мире и расшифровке не поддается.
Данное устройство гарантированной криптостойкости предполагает установку долгосрочного ключа самим владельцем аппаратуры, обладает высокой криптостойкостью. Для его вскрытия, с учетом быстроразвивающейся компьютерной техники, потребуется несколько столетий.
Изменения долгосрочного ключа производятся сотрудником эксплуатирующей организации, назначенным администратором криптографической системы, в чьи обязанности входит поддержка работы пользователей (генератор ключа в комплект поставки не входит). Маркантовый ключ изменяется автоматически в начале каждого сеанса — по закону случайных чисел.
В комплект поставки входит одна трубка сотовой связи с установленной в ней криптографической платой со всеми принадлежностями. Вид сотового телефона — любой.
4.3.	Общие вопросы организации противодействия информационной и технической агрессии. Защита технических средств и объектов предприятий от утечки информации и несанкционированного доступа
Первым шагом в создании системы физической безопасности (как и ИБ вообще) должен стать анализ угроз (рисков) как реальных (действующих в данный момент), так и потенциальных (способных к проявлению в будущем).
По результатам анализа рисков с использованием критериев оптимизации формируются требования к системе безопасности конкретного предприятия и объекта в конкретной обстановке. Завышение требований приводит к неоправданным расходам, занижение — к возрастанию вероятности реализации угроз.
В общем случае система физической безопасности должна включать в себя подсистемы:
•	управления доступом (с функцией досмотра);
189
•	обнаружения проникновения, аварийной и пожарной сигнализации (тревожной сигнализации);
•	инженерно-технической (пассивной) защиты;
•	отображения и оценки обстановки;
•	управления в аварийных и тревожных ситуациях;
•	оповещения и связи в экстремальных ситуациях;
•	личной безопасности персонала.
При построении системы физической безопасности, удовлетворяющей сформулированным требованиям, разработчик выбирает и объединяет следующие объекты защиты и средства противодействия:
•	здания и строительные препятствия, мешающие действиям злоумышленника и задерживающие его;
•	аппаратура тревожной сигнализации, обеспечивающая обнаружение попыток проникновения и несанкционированных действий, а также оценку их опасности;
•	системы связи, обеспечивающие сбор, объединение и передачу тревожной информации и других данных;
•	системы управления, необходимые для отображения и анализа тревожной информации, а также для реализации ответных действий оператора и управления оборонительными силами;
•	персонал охраны и всего предприятия (по уровню владения конфиденциальной информацией), выполняющий ежедневные программы безопасности, управление системой руководства и обеспечение безопасности фирмы, ее использование в нештатных ситуациях;
•	процедуры обеспечения безопасности, предписывающие определенные защитные мероприятия, их направленность и управление ими.
Для противодействия технической разведке могут быть предложены следующие модели защиты технических средств и объектов от утечки информации и НСД:
•	модель элементарной защиты;
•	модель многозвенной защиты;
•	модель многоуровневой защиты.
В общем случае простейшая модель элементарной защиты любого предмета может иметь вид, представленный на рис. 4.13.
Предмет защиты помещен в замкнутую и однородную защитную оболочку, называемую преградой. Прочность А защиты зависит от свойств преграды. Принципиальную роль играет способность преграды противостоять попыткам преодоления ее.нарушителем. Свойство предмета защиты 7 — способность привлекать его владельца и потенциального нарушителя. Привлекательность предмета защиты заключается в его цене. Это свойство предмета защиты широко используется при оценке защищенности информации в вычислительных системах. При этом считается, что прочность созданной
190
Рис. 4.13. Модель элементарной защиты:
1 — предмет защиты; 2 — преграда; А — прочность преграды
Рис. 4.14. Модель многозвенной защиты;
1, 2, 4 — преграды; 3 — предмет защиты; А — прочность преграды
преграды достаточна, если стоимость ожидаемых затрат напр одоление потенциальным нарушителем превышает стой
щищаемых процессов переработки информации.
На практике в большинстве случае защитный контур состоит из нескольких соединенных между собой преград 1, 2, 4 с различной прочностью. Модель такой защиты из нескольких звеньев
представлена на рис. 4.14.	7
Примером такого предмета защиты может служить помешени , в котором хранится аппаратура. В качестве преград с различи прочностью могут служить стены, потолок, пол, окна и замо
двери.
Система контроля вскрытия аппаратуры и система опознания и разграничения доступа, контролирующие доступ к периметру вычислительной системы (ВС), на первый взгляд, образуют замкнутый защитный контур, но доступ к средствам отображения и документирования побочному электромагнитному излучению и наводкам (ПЭМИН), носителям информации и другим возможным каналам НСД к информации не перекрывают и, следовательно, таковыми не являются. Таким образом, в контур защиты в качестве его звеньев войдут еще система контроля доступа в помещения, средства защиты от ПЭМИН, шифрование и т.д. Это не означает, что система контроля доступа в помещение не может быть замкнутым защитным контуром для другого предмета защиты (например, для комплекса средств автоматизации (К.СА)). Все дело в точке отсчета, в данном случае — в предмете защиты, т. е. контур защиты не будет замкнутым до тех пор, пока существует какая-либо возможность несанкционированного доступа к одно
му и тому же предмету защиты.
В ответственных случаях при повышенных требованиях к защите применяется многоуровневая защита, модель которой представлена на рис. 4.15.
Если рассматривается ВС с безопасной обработкой информации как самостоятельный объект или как элемент территориаль-
191
^^^=41=^.	Рис. 4.15. Модель многоуровневой защиты:
7 — 1-й контур защиты; 2 — 2-й контур защиты; и	-7 — К0НТУР защиты; 4 — предмет зашиты
\\ П/аги—2
но-рассредоточенной вычислительной сети, или большой АСУ, то ее обобщен-u	. ную модель защиты можно представить
как нечто целое (рис. 4.16). Так как физически информация размещается на аппаратных и программных средствах, последние представлены таким же образом с внешней стороны по отношению к информации.
Предмет защиты — информация, циркулирующая и хранимая в АСОД в виде данных, команд и сообщений, имеющих какую-либо цену для их владельца и потенциального нарушителя. При этом за НСД принимают событие, выражающееся в попытке нарушителя совершить несанкционированные действия по отношению к любой ее части.
С позиций входа в систему и выхода из нее отметим наиболее характерные для большинства систем, готовых к работе, штатные средства ввода, вывода и хранения информации:
•	терминалы пользователей;
•	средства отображения и документирования информации;
•	средства загрузки программного обеспечения в систему;
•	носители информации: оперативные запоминающие устройства (ОЗУ), ДЗУ, распечатки и т.д.;
•	внешние каналы связи.
Все перечисленные средства называют штатными каналами, по которым осуществляют санкционированный доступ к информации, подлежащей защите, законные пользователи. Готовность системы к работе означает, что система функционирует нормально, технологические входы и органы управления в работе не используются.
Все потенциальные угрозы информации можно подразделить на преднамеренные и случайные. Природа и точки их приложения различны.
Точки приложения случайных воздействий распределены по всей «площади» вычислительной системы. Место и время возникновения данных событий подчиняются законам случайных чисел. Опасность случайных воздействий заключается в случайном искажении или формировании неверных команд, сообщений и адресов, приводящих к утрате, модификации и утечке информации, подлежащей защите.
Известны и средства предупреждения, обнаружения и блокировки случайных воздействий — это средства повышений досто-
192
Рис. 4.16. Обобщенная модель защиты объекта, например ВС, с безопасной обработкой информации:
1 — НСД к средствам зашиты; 2 — НСД к информации со стороны терминалов; 3 — НСД к информации при выводе аппаратуры на ремонт; 4 — контрольнопропускной пункт; 5 — система вывода аппаратуры из рабочего контура обмена информацией; 6 — граница контролируемой зоны на территории объекта; 7 — система контроля доступа в помещение объекта; 8 — система контроля вскрытия аппаратуры; 9 — система опознавания и разграничения доступа; 10 — шифрование данных; 11, 12 — НСД к внешним каналам связи; 13 — НСД к носителям ПО; 14 — верификация ПО; 15 — средства регистрации и учета документов; 16 — НСД к носителям информации; 17 — средства уничтожения информации; 18 — доступ к мусорной корзине; 19 — НСД к ЭМИ информационного объекта; 20 — НСД к наводкам информации по цепям электропитания и заземления аппаратуры; 21 — НСД к внутренним линиям связи и монтажу аппаратуры; 22 — НСД к технологическим пультам и органам управления; 23 — НСД к терминалам, средствам отображения и документирования; — аппаратура; — программы;
— информация
верности обрабатываемой и передаваемой информации. При этом в качестве средств предупреждения, сокращающих вероятное число случайных воздействий, используются схемные, схемотехнические, алгоритмические и другие мероприятия, закладываемые в проект вычислительной системы. Они направлены на устранение причин возникновения случайных воздействий, т. е. на уменьшение вероятности их появления. Поскольку после указанных мероприятий вероятность их появления все же остается значительной, для обнаружения и блокировки случайных воздействий при эксплуатации применяются встроенные в систему средства функционального контроля, качественными показателями которого являются:
•	время обнаружения и локализации отказа;
•	достоверность контроля функционирования;
•	полнота контроля (охват вычислительной системы);
•	время задержки в обнаружении отказа.
193
Точки приложения преднамеренных воздействий связаны прежде всего со входами в систему и выходами информации из нее, т. е. с «периметром» системы. Эти входы и выходы могут быть законными и незаконными, т.е. возможными каналами несанкционированного доступа к информации в вычислительной системе могут быть:
•	все перечисленные выше штатные средства при их незаконном использовании;
•	технологические пульты и органы управления;
•	внутренний монтаж аппаратуры;
•	линии связи между аппаратными средствами вычислительной системы;
•	побочное электромагнитное излучение информации;
•	побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры вычислительной системы;
•	внешние каналы связи.
Опасность преднамеренных несанкционированных действий заключается в вводе нарушителем незаконных команд, запросов, сообщений и программ, приводящих к утрате, модификации информации и несанкционированному ознакомлению с ней, а также в перехвате нарушителем секретной информации путем приема и наблюдения сигналов побочного электромагнитного излучения и наводок.
4.4.	Эффективность защиты процессов переработки информации и методология ее расчета
Информация со временем начинает устаревать, а в отдельных случаях ее цена может упасть до нуля. Тогда за условие эффективности и достаточности защиты можно принять превышение затрат времени на преодоление преграды нарушителем над временем жизни информации. Если обозначить вероятность непреодоления систем защиты информации (преграды) нарушителем через Рсзм, время жизни информации через Гж, ожидаемое время преодоления преграды нарушителем через /н, вероятность обхода преграды нарушителем через Робх, то для случая старения информации условие достаточности защиты будет иметь вид
Л.з.и = 1, если Гж < t„ и Робх = 0.
Вероятность обхода преграды нарушителем, равная нулю, свидетельствует о необходимости замыкания преграды вокруг предмета защиты. Если Гж > tH, а Робх = 0, то
194
р = 1 - р
1 С.З.И г 1 Н!
где Рн — вероятность преодоления преграды нарушителем за время, меньшее /ж.
Для реального случая, когда /ж > tH и Робх > 0, прочность защиты можно представить в следующем виде:
Рс,З.И= (1 - Рн)(1 - Дбх),
где Рн = 0, если /ж < tH; Рн > 0, если /ж > ZH.
Однако эта формула справедлива для случая, когда нарушителей двое, т. е. когда один преодолевает преграду, а второй ее обходит. Но в исходной модели поведения потенциального нарушителя принято, что нарушитель будет в единственном числе и ему известны прочность преграды и сложность пути ее обхода. Поскольку одновременно по двум путям он идти не сможет, он выберет один из них — наиболее простой, т.е. по логической формуле «ИЛИ». Тогда формальное выражение прочности защиты в целом для данного случая будет соответствовать формуле
Л.з.и=(1-Л)и(1 -Л>бх)	(4.1)
где и — знак «ИЛИ».
Следовательно, прочность преграды после определения и сравнения величин (1 - Рн) и (1 - Робх) будет равна наименьшему значению одной из них.
В качестве примера элементарной защиты, рассчитываемого по формуле (4.1), может быть названа криптографическая защита процессов переработки информации, где значение Рн может определяться путем оценки вероятности подбора кода ключа, с помощью которого можно дешифровать закрытую данным способом информацию. Эту величину можно определить по формуле
где п — число попыток подбора кода; А — число символов в выбранном алфавите кода ключа; 5 — длина кода ключа в количестве символов.
Величина Робх будет зависеть от выбранного метода шифрования, способа применения, полноты перекрытия текста информации, существующих методов криптоанализа, а также от способа хранения действительного значения кода ключа и периодичности его замены на новое значение, если информация, закрытая данным способом, постоянно хранится у ее владельца. Возможны и другие обстоятельства, влияющие на вероятность обхода криптографической защиты.
Выбор и определение Робх сначала можно проводить экспертным путем на основе опыта специалистов. Вероятность обхода
195
преграды нарушителем должна принимать значения от 0 до 1. При Робх = 1 защита теряет всякий смысл.
Возможно также, что у одной преграды может быть несколько путей обхода. Тогда формула (4.1) примет следующий вид:
Л.З.И = (1 - Рн Ml - Робх! Ml ~ робх2 ) и... U (1 - Робх* ), (4.2) где к — число путей обхода преграды.
Прочность преграды равна наименьшему значению, полученному после определения и сравнения величин:
(1-рн), (1-ЛМ, (i-PoM (1-ЛМ
Если информация, подлежащая защите, не устаревает или периодически обновляется, т.е. неравенство > tH постоянно, или если обеспечить t„ > по каким-либо причинам невозможно, то обычно применяют постоянно действующую преграду, обладающую свойствами обнаружения и блокировки доступа нарушителя к предмету или объекту защиты. В качестве такой защиты могут быть применены человек или специальная автоматизированная система обнаружения под управлением человека.
Параметры этой преграды будут влиять на ее прочность.
Способность преграды обнаруживать и блокировать НСД должна учитываться при оценке ее прочности путем введения в расчетную формулу (4.2) вместо (1 - Рн) величины Ро6л — вероятности обнаружения и блокировки НСД.
Принцип работы автоматизированной преграды основан на том, что в ней блоком управления производится периодический контроль датчиков обнаружения нарушителя. Результаты контроля наблюдаются человеком. Периодичность опроса датчиков автоматом может достигать тысячные доли секунды и менее. В этом случае ожидаемое время преодоления преграды нарушителем значительно превышает период опроса датчиков, поэтому такой контроль часто считают постоянным. Для обнаружения нарушителя человеком, управляющим автоматом контроля, только малого периода опроса датчиков недостаточно. Необходимо еще и время на выработку сигнала тревожной сигнализации, т.е. время срабатывания автомата, так как оно часто значительно превышает период опроса датчиков и тем самым увеличивает время обнаружения нарушителя.
Практика показывает, что обычно сигнала тревожной сигнализации достаточно для приостановки действий нарушителя, если этот сигнал до него дошел. Но поскольку физический доступ к объекту защиты пока еще открыт, дальнейшие действия охраны сводятся к определению места и организации блокировки доступа нарушителя, на что также потребуется время.
196
Таким образом, условие прочности преграды с обнаружением и блокировкой НСД можно представить в виде следующего соотношения:
Тд + Ср С.м + Сл | с с ’
где Та — период опроса датчиков; Zcp — время срабатывания тревожной сигнализации; to м — время определения места доступа; Сл — врем блокировки доступа.
Если обозначим сумму (Т, + ?ср + /оМ + Гбл) через Тобл, то получим соотношение
где То6л — время обнаружения и блокировки несанкционированного доступа.
Нарушитель может быть не обнаружен в двух случаях:
1) когда t„ < Т;
2) когда Т <	< То бл.
В первом случае требуется дополнительное условие — попадание интервала времени t„ в интервал Т, т.е. необходима синхронизация действий нарушителя с частотой опроса датчиков обнаружения.
Для решения этой задачи нарушителю придется скрытно подключить измерительную аппаратуру в момент выполнения НСД к информации, что является довольно сложной задачей для постороннего человека. Поэтому считаем, что свои действия с частотой опроса датчиков он синхронизировать не сможет и может рассчитывать лишь на некоторую вероятность успеха, выражающуюся в вероятности попадания отрезка времени tH в промежуток времени между импульсами опроса датчиков, равный Т.
Согласно определению геометрической вероятности получим выражение для определения вероятности успеха нарушителя в следующем виде:
T-t t Рн =
Тогда вероятность обнаружения несанкционированных действий нарушителя будет определяться выражениями:
^об=1-Рн
Л>б=^.	(4.3)
197
При ta> Т нарушитель будет обнаружен наверняка, т. е. Ро5 - 1.
Во втором случае вероятность успеха нарушителя будет определяться по аналогии с предыдущим соотношением
Рн =1——
^"о.бл
Вероятность обнаружения и блокировки несанкционированных действий нарушителя
Р о.бл = 1 -	,
^о.бл = z: •	(4-4)
• о.бл
При tH > То.6л попытка НСД не имеет смысла, так как она будет обнаружена наверняка. В этом случае Робл = 1.
Таким образом, расчет прочности преграды со свойствами обнаружения и блокировки можно производить по формуле
Д.З.И ” -^О.бл (1 — -Д>бх1 )	“ ^Обх2 ) '“А • CJ (1 — /^обх/ ) ?
где j — число путей обхода этой преграды.
Следует также отметить, что эта формула справедлива также и для организационной меры защиты в виде периодического контроля заданного объекта человеком. При этом полагаем, что обнаружение, определение места НСД и его блокировка происходят в одно время — в момент контроля объекта человеком:
гср = tOM= ^бл= 0; То.бл =
где Т — период контроля человеком объекта защиты.
Вероятность обнаружения и блокировки действий нарушителя будет определяться формулой (4.3).
Для более полного представления прочности преграды в виде автоматизированной системы обнаружения и блокировки НСД необходимо учитывать надежность ее функционирования и пути возможного обхода ее нарушителем.
Вероятность отказа системы определяется по формуле
Ротк(0 = еЛ	(4.5)
где X — интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки НСД; t — рассматриваемый интервал времени функционирования системы обнаружения и блокировки НСД.
С учетом возможного отказа системы контроля прочность преграды будет определяться по формуле
^с.з.иЛ = Ро.бл (1 ~ Л>тк )u (1 - Л>бх1 )cj (1 - РОбх2 )u,	- Л>бх/), (4.6)
198
где Ро6л и Ротк определяются соответственно по формулам (4.4) и (4.5); Робх и число путей обхода j определяются экспертным путем на основе анализа принципов построения системы контроля и блокировки НСД.
Одним из возможных путей обхода системы обнаружения и блокировки может быть возможность скрытного отключения нарушителем системы обнаружения и блокировки (например, путем обрыва или замыкания контрольных цепей, подключения имитатора контрольного сигнала, изменения программы сбора сигналов и т. д.). Вероятность такого рода событий определяется в пределах от 0 до 1 методом экспертных оценок на основе анализа принципов построения и работы системы. При отсутствии возможности несанкционированного отключения системы его вероятность равна нулю.
На основании изложенного подведем некоторые итоги и сделаем вывод о том, что защитные преграды бывают двух видов: контролируемые и не контролируемые человеком. Прочность неконтролируемой преграды рассчитывается по формуле (4.2), а контролируемой — по формуле (4.6). Анализ данных формул позволяет сформулировать первое правило защиты любого объекта.
Прочность защитной преграды является достаточной, если ожидаемое время преодоления ее нарушителем больше времени жизни предмета защиты или больше времени обнаружения и блокировки его доступа при отсутствии путей скрытного обхода этой преграды.
При расчетах эффективности многозвенной защиты модели (см. рис. 4.14) формальное описание ее прочности можно сделать в соответствии с формулами (4.1) и (4.6). Но при использовании неконтролируемых преград расчеты прочности всей защиты целесообразнее проводить по следующей формуле:
•^с.з.и = ^с.з.и! Рс.з.и2 ^с.з.иЗ •••	^с.з.и/	(1 — Робх1 )
^(1-^обх2)^-^(1-^),	(4.7)
где Л.з.и/ ~ прочность /-й преграды.
Выражение для прочности многозвенной защиты с контролируемыми преградами будет иметь следующий вид:
Тс.з.иЛ ~ ^с.з.ик! Рс.з.и42 Т’с.з.иЛЗ^, ••• > ^Pq.з.мкп
и(1-Робх1)и(1-Робх2)и,...,и(1-Роад),	(4.8)
где Рс 3мкп — прочность л-й преграды.
Расчеты итоговых прочностей защиты для неконтролируемых и контролируемых преград должны быть раздельными, поскольку исходные данные для них различны и, следовательно, это разные задачи, два разных контура защиты.
199
Если прочность слабейшего звена удовлетворяет предъявленным требованиям контура защиты в целом, то возникает вопрос об избыточности прочности на остальных звеньях данного контура. Следовательно, экономически целесообразно применять в многозвенном контуре защиты равнопрочные преграды.
При расчете прочности контура защиты со многими звеньями может случиться, что звено с наименьшей прочностью не удовлетворяет предъявленным требованиям. Тогда преграду в этом звене заменяют на более прочную или данная преграда дублируется еще одной преградой, а иногда двумя и более преградами. Но все дополнительные преграды должны перекрывать то же число или более возможных каналов НСД, что и первая. Тогда суммарная прочность дублированных преград будет определяться по формуле
т
(4.9)
<=1
где i - 1, ..., т — порядковый номер преграды; т — число дублирующих преград; Р, — прочность г-й преграды.
Иногда участок защитного контура с параллельными (сдублированными) преградами называют многоуровневой защитой. В вычислительной системе защитные преграды часто перекрывают друг друга и по причине, указанной ранее, и когда специфика возможного канала НСД требует применения такого средства защиты (например, системы контроля доступа в помещения, охранной сигнализации и контрольно-пропускного пункта на территории объекта защиты). Это означает, что прочность отдельной преграды Р„ попадающей под защиту второй, третьей преграды, должна пересчитываться с учетом этих преград по формуле (4.9). Соответственно может измениться и прочность слабейшей преграды, определяющей итоговую прочность защитного контура в целом.
При повышенных требованиях к защите объекта применяется многоуровневая защита (см. рис. 4.15).
При расчете суммарной прочности этой модели в формулу (4.9) вместо Р, включается Pki — прочность каждого контура, значение которой определяется по одной из формул (4.7) и (4.8), т.е. для контролируемых и неконтролируемых преград расчеты должны быть раздельными и производиться для разных контуров, образующих каждый отдельную многоуровневую защиту. При Pki = О данный контур в расчет не принимается. При Pki = 1 остальные контуры защиты являются избыточными. Данная модель справедлива лишь для контуров защиты, перекрывающих одни и те же каналы несанкционированного доступа к одному и тому же предмету защиты.
200
Контрольные вопросы
1.	Опишите основные модели защиты объектов.
2.	Опишите основные точки приложения случайных и преднамеренных воздействий.
3.	Приведите основную классификацию технических средств обеспечения защиты объектов.
4.	Какие средства оповещения и связи вам известны? Приведите функциональную схему.
5.	Какие системы опознавания нарушителей применяются в защите объектов?
6.	Приведите функциональные схемы механической и оборонительной систем защиты.
7.	Какие технические средства охранной сигнализации вам известны?
8.	Опишите конструкции и принципы функционирования объемных датчиков.
9.	Что представляют собой и на каких принципах функционирования основаны линейные датчики?
10.	Приведите принципы действия:
а)	инфраакустических датчиков;
б)	датчиков электрического типа;
в)	инфракрасных датчиков;
г)	магнитных датчиков;
д)	ультразвуковых датчиков;
е)	емкостных датчиков;
ж)	микроволновых датчиков;
з)	датчиков давления.
11.	Перечислите основные методы биометрической идентификации.
Глава 5
ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ ИБ ФУНКЦИОНИРОВАНИЯ ОРГАНИЗАЦИЙ
5.1.	Методы и средства ограничения доступа к компонентам ЭВМ. Программно-аппаратные средства защиты ПЭВМ
5.1.1.	Методы и средства ограничения доступа к компонентам ЭВМ
Основной концепцией обеспечения ИБ объектов является комплексный подход (см. гл. 1, 3), который основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.
Комплексная безопасность предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве (по всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т.д.).
В какой бы форме ни применялся комплексный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи ограничения доступа к информации, технического и криптографического закрытия информации, ограничения уровней паразитных излучений технических средств, технической укрепленности объектов, охраны и оснащения их тревожной сигнализацией. Однако необходимо решение и других, не менее важных задач. Например, выведение из строя руководителей предприятия или ключевых работников может поставить под сомнение само существование данного предприятия. Этому же могут способствовать стихийные бедствия, аварии, терроризм и т.д.
Наиболее существенным является эффективность системы обеспечения ИБ объекта, выбранная фирмой. Эту эффективность для ПЭВМ можно оценить набором программно-аппаратных средств, применяемых в ВС. Оценка такой эффективности может быть проведена по кривой роста относительного уровня обеспечения безопасности от наращивания средств контроля доступа (рис. 5.1).
202
Максимальный уровень обеспечения безопасности
§
о 2 о S W
Код + карта+биометрия (К + К+Б)
голос------
пальцы-----
подпись----
ладони рук— сетчатка глаз изображение
Код + карта (К+К)
интеллектуальные---
голографические----
бесконтактные------
Виганда------------
с магнитной полосой штриховые----------
инфракрасные-------
перфорированные —
код+личный номер-у личный номер— код----------_/
Электронные замки Карты и жетоны К+К Биометрия К+К+Б
Рис. 5.1. Кривая роста относительного уровня обеспечения безопасности
Под доступом к оборудованию, в частности ЭВМ, понимается предоставление субъекту возможности выполнять определенные разрешенные ему действия с использованием указанного оборудования. Так, пользователю ЭВМ разрешается включать и выключать ЭВМ, работать с программами, вводить и выводить информацию. Обслуживающий персонал имеет право в установленном порядке тестировать ЭВМ, заменять и восстанавливать отказавшие блоки.
При организации доступа к оборудованию пользователей, операторов, администраторов выполняются следующие действия:
•	идентификация и аутентификация субъекта доступа;
•	разблокирование устройства;
•	ведение журнала учета действий субъекта доступа.
Для идентификации субъекта доступа в КС чаще всего используются атрибутивные идентификаторы. Биометрическая идентификация проще всего осуществляется по ритму работы на клавиатуре. Из атрибутивных идентификаторов, как правило, используются:
•	пароли;
•	съемные носители информации;
•	электронные жетоны;
•	пластиковые карты;
•	механические ключи.
203
Практически во всех КС, работающих с конфиденциальной информацией, аутентификация пользователей осуществляется с помощью паролей.
Пароль — это комбинация символов (букв, цифр, специальных знаков), которая должна быть известна только владельцу пароля и, возможно, администратору системы безопасности.
После подачи питания на устройство пароль вводится субъектом доступа в систему с помощью штатной клавиатуры, пульта управления или специального наборного устройства, предназначенного только для ввода пароля. В КС, как правило, используется штатная клавиатура.
В современных операционных системах ЭВМ заложена возможность использования пароля. Пароль хранится в специальной памяти, имеющей автономный источник питания. Сравнение паролей осуществляется до загрузки ОС. Защита считалась эффективной, если злоумышленник не имеет возможности отключить автономное питание памяти, в которой хранился пароль. Однако оказалось, что кроме пароля пользователя для загрузки ОС ЭВМ можно использовать некоторые «технологические» пароли, перечень которых представлен в Интернете.
При использовании паролей в момент загрузки ОС должно выполняться условие, что в ЭВМ невозможно изменить установленный порядок загрузки ОС. Для этого жестко определяется ВЗУ, с которого осуществляется загрузка ОС. Желательно для этой цели использовать запоминающее устройство с несъемным носителем. Если загрузка ОС осуществляется со съемного носителя, то необходимо предусмотреть ряд дополнительных мер. Например, ВЗУ, с которого осуществляется загрузка ОС, настраивается таким образом, что оно может работать только с определенными носителями. В ЭВМ это может быть достигнуто изменением порядка форматирования магнитных дисков. Отключение на время загрузки ОС всех ВЗУ, кроме выделенного для загрузки, осуществляется настройками программ загрузки ОС.
Необходимо также обеспечить режим загрузки ОС, исключающий ее прерывание и возможное вмешательство злоумышленника в процесс загрузки. В ПЭВМ это может быть реализовано блокированием клавиатуры и мыши до полного завершения загрузки ОС.
Идентификация субъекта доступа осуществляется средствами защиты и при загруженной ОС. Такой режим парольной защиты используется для организации многопользовательской работы на ЭВМ.
При организации парольной защиты необходимо выполнять следующие рекомендации.
1.	Пароль должен запоминаться субъектом доступа. Запись пароля значительно повышает вероятность его компрометации (нарушение конфиденциальности).
204
2.	Длина пароля должна исключать возможность его раскрытия путем подбора. Рекомендуется устанавливать длину пароля S>9 символов.
3.	Пароли должны периодически меняться. Безопасное время использования пароля Т5 может быть рассчитано по формуле
Гб = (ЛЧ)/2,	(5-1)
где t — время, необходимое для ввода слова длиной s', s — длина пароля; А — число символов, из которых может быть составлен пароль.
Время t определяется по формуле
t = E/R,
где Е — число символов в сообщении, содержащем пароль; R — скорость передачи символов пароля (символов в минуту).
В формуле (5.1) считается, что злоумышленник имеет возможность непрерывно осуществлять подбор пароля. Если предусмотрена задержка в несколько секунд после неудачной попытки ввода пароля, то безопасное время значительно возрастает. Период смены пароля не должен превышать Тб. В любом случае использовать пароль более одного года недопустимо.
4.	В КС должны фиксироваться моменты времени успешного получения доступа и время неудачного ввода пароля. После трех ошибок подряд при вводе пароля устройство блокируется и информация о предполагаемом факте подбора пароля поступает дежурному администратору системы безопасности.
5.	Пароли должны храниться в КС таким образом, чтобы они были недоступны посторонним лицам. Этого можно достичь двумя способами:
•	использовать для хранения паролей специальное запоминающее устройство, считанная информация из которого не попадает за пределы блока ЗУ (схема сравнения паролей находится в самом блоке). Запись в такое ЗУ осуществляется в специальном режиме;
•	применить криптографическое преобразование пароля.
6.	Пароль не выдается при вводе на экран монитора. Чтобы субъект доступа мог определить число введенных символов пароля на экран, вместо них выдается специальный символ (обычно звездочка).
7.	Пароль должен легко запоминаться и в то же время быть сложным для отгадывания. Не рекомендуется использовать в качестве пароля имена, фамилии, даты рождения и т.д. Желательно при наборе пароля использовать символы различных регистров, чередование букв, цифр, специальных символов. Очень эффективным является способ использования парадоксального сочетания слов («книга висит», «плот летит» и т.д.) и набора русских
205
букв пароля на латинском регистре. В результате получается бессмысленный набор букв латинского алфавита.
В качестве идентификатора во многих КС используется съемный носитель информации, на котором записан идентификационный код субъекта доступа. В ПЭВМ для этой цели используется гибкий магнитный диск. Такой идентификатор обладает рядом достоинств:
•	не требуется использовать дополнительные аппаратные средства;
•	кроме идентификационного кода на носителе может храниться другая информация, используемая для аутентификации, контроля целостности информации, атрибуты шифрования и т.д.
Для идентификации пользователей широко используются электронные жетоны — генераторы случайных идентификационных кодов. Жетон — это прибор, вырабатывающий псевдослучайную буквенно-цифровую последовательность (слово). Это слово меняется примерно один раз в минуту синхронно со сменой такого же слова в КС. В результате вырабатывается одноразовый пароль, который годится для использования только в определенный промежуток времени и только для однократного входа в систему. Первый такой жетон Security Dynamics появился в 1987 г.
Жетон другого типа внешне напоминает калькулятор. В процессе аутентификации КС выдает на монитор пользователя цифровую последовательность запроса, пользователь набирает ее на клавиатуре жетона. Жетон формирует ответную последовательность, которую пользователь считывает с индикатора жетона и вводит в КС. В результате опять получается одноразовый неповторяющийся пароль. Без жетона войти в систему оказывается невозможным. Вдобавок ко всему, прежде чем воспользоваться жетоном, нужно ввести в него свой личный пароль.
Атрибутивные идентификаторы (кроме паролей) могут использоваться только на момент доступа и регистрации или постоянно должны быть подключены к устройству считывания до окончания работы. На время даже кратковременного отсутствия идентификатор изымается, а доступ к устройству блокируется. Такие аппаратно-программные устройства способны решать задачи не только разграничения доступа к устройствам, но и обеспечения защиты от несанкционированного доступа к информации (НСДИ). Принцип действия таких устройств основан на расширении функций ОС на аппаратном уровне.
Процесс аутентификации может включать в себя также диалог субъекта доступа с КС. Субъекту доступа задаются вопросы, ответы на которые анализируются, и делается окончательное заключение о подлинности субъекта доступа.
В качестве простого идентификатора часто используют механические ключи. Механический замок может быть совмещен с блоком
206
подачи питания на устройство. Крышка, под которой находятся основные органы управления устройством, может закрываться на замок. Без вскрытия крышки невозможна работа с устройством. Наличие такого замка является дополнительным препятствием на пути злоумышленника при его попытке осуществить НСД к устройству.
Доступ к устройствам КС объекта может блокироваться дистанционно. Так, в ЛВС подключение к сети рабочей станции может блокироваться с рабочего места администратора. Управлять доступом к устройствам можно и с помощью такого простого, но эффективного способа, как отключение питания. В нерабочее время питание может отключаться с помощью коммутационных устройств, контролируемых охраной.
Организация доступа обслуживающего персонала к устройствам отличается от организации доступа пользователей. Прежде всего устройство, по возможности, освобождается от конфиденциальной информации и осуществляется отключение информационных связей. Техническое обслуживание и восстановление работоспособности устройств выполняются под контролем должностных лиц. Особое внимание обращается на работы, связанные с доступом к внутреннему монтажу и заменой блоков.
Обычно для осуществления НСДИ пользователь применяет:
•	знания о КС и умения работать с ней;
•	сведения о системе защиты информации;
•	сбои, отказы технических и программных средств;
•	ошибки, небрежность обслуживающего персонала и пользователей.
Для защиты информации от НСД создается система разграничения доступа к информации. Получить несанкционированный доступ к информации при наличии системы разграничения доступа можно только при сбоях и отказах КС, а также при использовании слабых мест в комплексной системе защиты информации, о которых злоумышленник должен знать.
Одним из путей добывания информации о недостатках системы защиты является изучение механизмов защиты. Пользователь может тестировать систему защиты путем непосредственного контакта с ней. В этом случае велика вероятность обнаружения системой защиты попыток ее тестирования. В результате этого службой безопасности могут быть предприняты дополнительные меры защиты.
Для блокирования несанкционированного исследования и копирования информации КС используется комплекс средств и мер защиты, которые объединяются в систему защиты от исследования и копирования информации.
Таким образом, СРД и СЗИК могут рассматриваться как подсистемы системы защиты от НСДИ.
207
Исходной информацией для создания СРД является решение владельца (администратора) КС о допуске пользователей к определенным информационным ресурсам КС. Так как информация в КС хранится, обрабатывается и передается файлами (частями файлов), то доступ к информации регламентируется на уровне файлов (объектов доступа). Сложнее организуется доступ в базах данных, в которых он может регламентироваться к отдельным частям базы по определенным правилам. При определении полномочий доступа администратор устанавливает операции, которые разрешено выполнять пользователю (субъекту доступа).
Система разграничения доступа к информации должна содержать четыре функциональных блока:
•	идентификации и аутентификации субъектов доступа;
•	диспетчера доступа;
•	криптографического преобразования информации при ее хранении и передаче;
•	очистки памяти.
Идентификация и аутентификация субъектов осуществляется в момент их доступа к устройствам, в том числе и дистанционного.
Диспетчер доступа реализуется в виде аппаратно-программных механизмов (рис. 5.2) и обеспечивает необходимую дисциплину разграничения доступа субъектов к объектам доступа, в том числе к аппаратным блокам, узлам, устройствам. Диспетчер доступа разграничивает доступ к внутренним ресурсам КС субъектов, уже получивших доступ к этим системам. Необходимость использования диспетчера доступа возникает только в многопользовательских КС.
Запрос на доступ /-го субъекта к у-му объекту поступает в блок управления базы данных (БД) полномочий и характеристик доступа и в блок регистрации событий. Полномочия субъекта и характеристики объекта доступа анализируются в блоке принятия решения, который выдает сигнал разрешения выполнения запроса
Рис. 5.2. Функциональная схема диспетчера доступа
208
либо сигнал отказа в допуске. Если число попыток субъекта допуска получить доступ к запрещенным для него объектам превысит определенную границу (обычно три раза), то блок принятия решения на основании данных блока регистрации выдаст сигнал «НСДИ» администратору системы безопасности. Администратор может блокировать работу субъекта, нарушающего правила доступа в системе, и выяснить причину нарушений. Кроме преднамеренных попыток НСДИ диспетчер фиксирует нарушения правил разграничения, явившихся следствием отказов (сбоев) аппаратных и программных.
В СРД должна быть реализована функция очистки оперативной памяти и рабочих областей на внешних запоминающих устройствах после завершения выполнения программы, обрабатывающей конфиденциальные данные. Причем очистка должна производиться путем записи в освободившиеся участки памяти определенной последовательности двоичных кодов, а не удалением только учетной информации о файлах из таблиц ОС, как это делается при стандартном удалении средствами ОС.
В основе построения СРД лежит концепция разработки защищенной универсальной ОС на базе ядра безопасности. Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов.
Применение ядра безопасности требует провести изменения ОС и архитектуры ЭВМ. Ограничение размеров и сложности ядра необходимо для обеспечения его верифицируемое™.
Для аппаратной поддержки защиты и изоляции ядра в архитектуре ЭВМ должны быть предусмотрены:
•	многоуровневый режим выполнения команд;
•	использование ключей защиты и сегментирование памяти;
•	реализация механизма виртуальной памяти с разделением адресных пространств;
•	аппаратная реализация наиболее ответственных функций ОС;
•	хранение программ ядра в постоянном запоминающем устройстве (ПЗУ);
•	использование новых архитектур ЭВМ, отличных от фон-ней-мановской архитектуры (архитектуры с реализацией абстрактных типов данных, архитектуры с привилегиями и др.).
Обеспечение многоуровневого режима выполнения команд является главным условием создания ядра безопасности. Таких уровней должно быть не менее двух. Часть машинных команд ЭВМ должна выполняться только в режиме работы ОС. Основной проблемой создания высокоэффективной защиты от НСД является предотвращение несанкционированного перехода пользовательских процессов в привилегированное состояние. Для современных сложных ОС практически нет доказательства отсутствия возмож
209
ности несанкционированного получения пользовательскими программами статуса программ ОС.
Использование ключей защиты, сегментирование памяти и применение механизма виртуальной памяти предусматривает аппаратную поддержку концепции изоляции областей памяти при работе ЭВМ в мультипрограммных режимах. Эти механизмы служат основой для организации работы ЭВМ в режиме виртуальных машин. Режим виртуальных машин позволяет создавать наибольшую изолированность пользователей, допуская использование даже различных ОС пользователями в режиме разделения времени.
Аппаратная реализация наиболее ответственных функций ОС и хранение программ ядра в ПЗУ существенно повышают изолированность ядра, его устойчивость к попыткам модификации. Аппаратно должны быть реализованы прежде всего функции идентификации и аутентификации субъектов доступа, хранения атрибутов системы защиты, поддержки криптографического закрытия информации, обработки сбоев и отказов и некоторые другие.
Современные универсальные ОС, например UNIX, VAX/VMS, Solaris, имеют встроенные механизмы разграничения доступа и аутентификации. Однако возможности этих встроенных функций ограничены и не могут удовлетворять требованиям, предъявляемым к защищенным ЭВМ.
Существует два пути получения защищенных от НСД КС:
•	создание специализированных КС;
•	оснащение универсальных КС дополнительными средствами защиты.
Первый путь построения защищенных КС пока еще не получил широкого распространения в связи с нерешенностью целого ряда проблем, основной из которых является отсутствие эффективных методов разработки доказательно корректных аппаратных и программных средств сложных систем. Среди немногих примеров специализированных ЭВМ можно назвать систему SCOMP фирмы Honeywell, предназначенную для использования в центрах коммутации вычислительных сетей, обрабатывающих секретную информацию. Система разработана на базе концепции ядра безопасности. Узкая специализация позволила создать защищенную систему, обеспечивающую требуемую эффективность функционирования по прямому назначению.
Чаще всего защита КС от НСД осуществляется путем использования дополнительных программных или аппаратно-программных средств. Программные средства RACF, SECURC, TOPSECRET и другие использовались для защиты ЭВМ типа IBM-370.
В настоящее время появились десятки отдельных программ, программных и аппаратных комплексов, рассчитанных на защиту персональных ЭВМ от несанкционированного доступа к ЭВМ, которые разграничивают доступ к информации и устройствам ПЭВМ.
210
5.1.2. Программно-аппаратные средства защиты ПЭВМ
Большинство аппаратно-программных комплексов защиты реализуют максимальное число защитных механизмов, к которым относятся:
•	идентификация и аутентификация пользователей;
•	разграничение доступа к файлам, каталогам, дискам;
•	контроль целостности программных средств и информации;
•	возможность создания функционально замкнутой среды пользователя;
•	защита процесса загрузки ОС;
•	блокировка ПЭВМ на время отсутствия пользователя;
•	криптографическое преобразование информации;
•	регистрация событий;
•	очистка памяти.
Кроме методов и средств НСД с помощью СРД для защиты ПЭВМ применяются следующие способы и средства (см. гл. 4):
•	противодействие несанкционированному подключению устройств;
•	защита управления и коммутации, внутреннего монтажа от несанкционированного вмешательства;
•	контроль целостности и защиты программной структуры в процессе эксплуатации.
При организации противодействия несанкционированному подключению устройств в КС необходимо учитывать, что это является одним из возможных путей несанкционированного изменения технической структуры КС. Эти изменения могут быть реализованы подключением незарегистрированных устройств или заменой ими штатных средств КС.
Для предотвращения такой угрозы используются следующие методы:
•	проверка особенностей устройства;
•	использование идентификаторов устройств.
В запоминающих устройствах КС, как правило, содержится информация о конфигурации системы. К такой информации относятся: типы устройств (блоков) и их характеристики, число и особенности подключения внешних устройств, режимы работы и другая информация. Конкретный состав особенностей конфигурации определяется типом КС и ОС. В любом случае с помощью программных средств может быть организован сбор и сравнение информации о конфигурации КС. Если ЭВМ работает в сети, то, по крайней мере, при подключении к сети осуществляется контроль конфигурации ЭВМ.
Еще более надежным и оперативным методом контроля является использование специального кода — идентификатора устройства. Этот код может генерироваться аппаратными средствами, а
211
может храниться в ЗУ. Генератор может инициировать выдачу в контролирующее устройство (в вычислительной сети это может быть рабочее место администратора) уникального номера устройства. Код из ЗУ может периодически считываться и анализироваться средствами администратора КС. Комплексное использование методов анализа особенностей конфигурации и использование идентификаторов устройств значительно повышают вероятность обнаружения попыток несанкционированного подключения или подмены.
Защита средств управления, коммутации и внутреннего монтажа КС осуществляется:
•	блокировкой доступа к внутреннему монтажу, органам управления и коммутации с помощью замков дверей, крышек, защитных экранов и т.д.;
•	наличием автоматизированного контроля вскрытия аппаратуры.
Создание физических препятствий на пути пользователя должно предусматриваться на этапе проектирования. Эти конструкции не должны создавать существенных неудобств при эксплуатации устройств.
Например, крышки и защитные экраны, защищающие наборные устройства, тумблеры и переключатели желательно изготавливать из прозрачного и прочного материала, позволяющего контролировать состояние органов управления без снятия (открывания) защитных конструкций.
Контроль вскрытия аппаратуры обеспечивается за счет использования несложных электрических схем, аналогичных системам охранной сигнализации. Контроль вскрытия обеспечивается путем использования датчиков контактного типа. Они устанавливаются на всех съемных и открывающихся конструкциях, через которые возможен доступ к внутреннему монтажу устройств, элементам управления и коммутации. Датчики объединяются в единую систему контроля вскрытия устройств (СКВУ) с помощью проводных линий. При построении таких систем решаются две взаимосвязанные задачи: обеспечение максимальной информативности системы и минимизация числа проводных линий. Максимум информативности автоматизированной СКВУ достигается в системах, позволяющих определить факт вскрытия конкретной защитной конструкции на определенном устройстве. Однако во многих случаях достаточно получить дежурному администратору системы безопасности сигнал о вскрытии устройства, чтобы принять адекватные меры.
Конкретное нарушение внешней целостности устройства определяется на месте. Этому может способствовать контроль целостности специальных защитных знаков на защитных конструкциях. Специальные защитные знаки реализуются в виде материалов, веществ, самоклеющихся лент, наклеек, самоклеющихся пломб.
212
Целостность специальных защитных знаков определяется по внешнему виду и определенным признакам, которые могут контролироваться с применением технических средств. Специальные защитные средства на защитных конструкциях служат дополнительным индикатором вскрытия. Периодический контроль целостности специальных защитных средств позволяет (хотя бы с некоторым опозданием) выявить нарушение внешней целостности устройства при отсутствии или обходе злоумышленником аппаратных средств СКВУ.
Если разрешающая способность СКВУ ограничивается устройством, то существенно сокращается число проводных линий. В этом случае датчики с нормально замкнутыми контактами всех защитных конструкций устройства соединяются последовательно.
По возможности проводные линии СКВУ желательно маскировать под линии информационных трактов устройств.
Факт снятия разъема может быть легко зафиксирован. Для этого достаточно выделить один контакт разъема на цели контроля. При снятии разъема линия СКВУ разрывается.
Контроль целостности программ и данных выполняется одними и теми же методами. Исполняемые программы изменяются крайне редко на этапе их эксплуатации. Существует достаточно широкий класс программ, для которых все исходные данные или их часть также изменяются редко. Поэтому контроль целостности таких файлов выполняется так же, как и контроль программ.
Контроль целостности программных средств и данных осуществляется путем получения (вычисления) характеристик и сравнения их с контрольными характеристиками. Контрольные характеристики вычисляются при каждом изменении соответствующего файла. Характеристики вычисляются по определенным алгоритмам. Наиболее простым алгоритмом является контрольное суммирование. Контролируемый файл в двоичном виде разбивается на слова, обычно состоящие из четного числа байт. Все двоичные слова поразрядно суммируются с накоплением по модулю 2, образуя в результате контрольную сумму. Разрядность контрольной суммы равняется разрядности двоичного слова. Алгоритм получения контрольной суммы может отличаться от приведенного, но, как правило, не является сложным и может быть получен по имеющейся контрольной сумме и соответствующему файлу.
Другой подход к получению характеристик целостности связан с использованием циклических кодов. При использовании этого метода исходная двоичная последовательность представляется в виде полинома F(x) степени и - 1, где п — число бит последовательности. Для выбранного порождающего полинома Р(х) можно записать следующее равенство:
F(x)x™ = G(x)P(x) + Я(х),
213
где т — степень порождающего полинома, (7(х), А(х) — соответственно частное и остаток от деления /7(х)хт на Р(х).
Из приведенного соотношения можно получить новое выражение:
f(x)xw - Я(х) = (7(х)Р(х).
Из последнего выражения можно сделать вывод: если исходный полином увеличить на х7" (сдвинуть в сторону старших разрядов на т разрядов) и сложить с остатком 7?(х) по модулю 2, то полученный многочлен разделится без остатка на порождающий полином Р(х).
При контроле целостности информации контролируемая последовательность (сектор на диске, файл и т.д.), сдвинутая на т разрядов, делится на выбранный порождающий полином и запоминается полученный остаток, который называют синдромом. Синдром хранится как эталон. При контроле целостности к полиному контролируемой последовательности добавляется синдром и осуществляется деление на порождающий полином. Если остаток от деления равен нулю, то считается, что целостность контролируемой последовательности не нарушена. Обнаруживающая способность метода зависит от степени порождающего полинома и не зависит от длины контролируемой последовательности. Чем выше степень полинома, тем выше вероятность определения изменений d, которая определяется из соотношения d = l/2m.
Использование контрольных сумм и циклических кодов, как и других подобных методов, имеет существенный недостаток. Алгоритм получения контрольных характеристик хорошо известен, поэтому пользователь может произвести изменения таким образом, чтобы контрольная характеристика не изменилась (например, добавив коды).
Существует метод, который позволяет практически исключить возможность неконтролируемого изменения информации в КС. Для этого необходимо использовать хэш-функцию. Под хэш-функ-цией понимается процедура получения контрольной характеристики двоичной последовательности, основанная на контрольном суммировании и криптографических преобразованиях. Алгоритм хэш-функции приведен в ГОСТ Р 34.11 — 94. Алгоритм не является секретным, так же как и алгоритм используемого при получении хэш-функции криптографического преобразования, изложенного в ГОСТ 28147 — 89.
Исходными данными для вычисления хэш-функции являются исходная двоичная последовательность и стартовый вектор хэширования. Стартовый вектор хэширования представляет собой двоичную последовательность длиной 256 бит. Он должен быть недоступен злоумышленнику. Вектор либо подвергается зашифрованию, либо хранится вне КС.
214
Итерационный процесс вычисления хэш-функции Н предусматривает:
•	генерацию четырех ключей (слов длиной 256 бит);
•	шифрующее преобразование с помощью ключей текущего значения Я методом простой замены (ГОСТ 28147 — 89);
•	перемешивание результатов;
•	поразрядное суммирование по модулю 2 слов длиной 256 бит исходной последовательности;
•	вычисление функции Н.
В результате получается хэш-функция длиной 256 бит. Значение хэш-функции можно хранить вместе с контролируемой информацией, так как злоумышленник, не имея стартового вектора хэширования, не может получить новую правильную функцию хэширования после внесения изменений в исходную последовательность. Получить стартовый вектор по функции хэширования практически невозможно.
Для каждой двоичной последовательности используются две контрольные характеристики: стартовый вектор и хэш-функция. При контроле по стартовому вектору и контролируемой последовательности вычисляется значение хэш-функции и сравнивается с контрольным значением.
В существующих системах контрольная характеристика хранится не только в ПЭВМ, но и в автономном ПЗУ пользователя. Постоянное запоминающее устройство, как правило, входит в состав карты или жетона, используемого для идентификации пользователя. Так в системе «Аккорд-4» хэш-функции вычисляются для контролируемых файлов и хранятся в специальном файле в ПЭВМ, а хэш-функция, вычисляемая для специального файла, хранится в архиве данных.
После завершения работы на ПЭВМ осуществляется запись контрольных характеристик файлов на карту или жетон пользователя. При входе в систему осуществляется считывание контрольных характеристик из ПЗУ карты или жетона и сравнение их с характеристиками, вычисленными по контролируемым файлам. Для того чтобы изменение файлов осталось незамеченным, злоумышленнику необходимо изменить контрольные характеристики как в ПЭВМ, так и на карте или жетоне, что практически невозможно при условии выполнения пользователем простых правил.
В качестве примеров отдельных программ, повышающих защищенность КС от НСД, можно привести утилиты из пакета Norton Utilities, такие как программа шифрования информации при записи на диск Diskreet или Secret disk, программа стирания информации с диска Wipeinfo, программа контроля обращения к дискам Disk Monitor и др.
Отечественными разработчиками предлагаются программные системы защиты ПЭВМ «Снег-1.0», «Кобра», «Страж-1.1» и др.
215
В качестве примеров отечественных аппаратно-программных средств защиты, имеющих сертификат Гостехкомиссии России, можно привести системы «Аккорд-4», «DALLAS LOCK 3.1», «Редут», «ДИЗ-1».
Угроза несанкционированного доступа обусловливает защиту программных средств в процессе эксплуатации. Создание копий программных средств для изучения или несанкционированного использования осуществляется с помощью устройств вывода или каналов связи.
Одним из самых распространенных каналов несанкционированного копирования является использование накопителей на съемных магнитных носителях.
Угроза несанкционированного копирования информации блокируется двумя способами:
•	затрудняющими считывание скопированной информации;
•	препятствующими использованию информации.
Способы, затрудняющие считывание скопированной информации, основаны на придании особенностей процессу записи информации, которые не позволяют считывать полученную копию на других накопителях, не входящих в защищаемую КС. Они направлены на создание совместимости накопителей только внутри объекта. В КС должна быть ЭВМ, имеющая в своем составе стандартные и нестандартные накопители. На этой ЭВМ осуществляется ввод (вывод) информации для обмена с другими КС, а также переписывается информация со стандартных носителей на нестандартные, и наоборот.
Наиболее простым решением является нестандартная разметка (форматирование) носителя информации. Изменение длины секторов, межсекторных расстояний, порядка нумерации секторов и некоторые другие способы нестандартного форматирования дискет затрудняют их использование стандартными средствами операционных систем.
Нестандартное форматирование защищает только от стандартных средств работы с накопителями. Использование специальных программных средств (например, DISK EXPLORER для IBM — совместимых ПЭВМ) позволяет получить характеристики нестандартного форматирования.
Перепрограммирование контроллеров ВЗУ, аппаратные регулировки и настройки вызывают сбой оборудования при использовании носителей на стандартных ВЗУ, если форматирование и запись информации производились на нестандартном ВЗУ. В качестве примеров можно привести изменения стандартного алгоритма подсчета контрольной суммы и работы системы позиционирования накопителей на гибких магнитных дисках.
В контроллерах накопителей подсчитывается и записывается контрольная сумма данных сектора. Если изменить алгоритм под
216
счета контрольной суммы, то прочитать информацию на стандартном накопителе будет невозможно из-за сбоев.
Способы, препятствующие использованию скопированной информации, предназначены для затруднения или невозможности использования полученных копированием данных. Скопированная информация может быть программой или данными. Данные и программы могут быть защищены, если они хранятся на ВЗУ в преобразованном криптографическими методами виде. Программы, кроме того, могут защищаться от несанкционированного исполнения и тиражирования, а также от исследования.
Наиболее действенным (после криптографического преобразования) методом противодействия несанкционированному выполнению скопированных программ является использование блока контроля среды размещения программы. Блок контроля среды размещения является дополнительной частью программ. Он создается при инсталляции (установке) программ. В него включаются характеристики среды, в которой размещается программа, а также средства получения и сравнения характеристик.
В качестве характеристик используются характеристики ЭВМ и носителя информации — особенности архитектуры ЭВМ: тип и частота центрального процессора, номер процессора (если он есть), состав и характеристики внешних устройств, особенности их подключения, режимы работы блоков и устройств и т.д.
Приведенные средства защиты от несанкционированного использования дискет эффективны против стандартных способов создания копий (COPY, XCOPY, Diskcopy, Pctools, Norton Utilities в MS DOS и др.).
Однако существуют программные средства (COPYWRITE, DISK EXPLORER), позволяющие создавать полностью идентичные копии дискет с воспроизведением всех уникальных характеристик. Приведенный метод защиты нельзя считать абсолютно неэффективным, так как трудоемкость преодоления защиты велика и требования, предъявляемые к квалификации взломщика, высоки.
Общий алгоритм механизма защиты от несанкционированного использования программ в «чужой» среде размещения сводится к выполнению следующей последовательности действий.
1.	Запоминание множества индивидуальных контрольных характеристик ЭВМ и (или) съемного носителя информации на этапе инсталляции защищаемой программы.
2.	При запуске защищенной программы управление передается на блок контроля среды размещения. Блок осуществляет сбор и сравнение характеристик среды размещения с контрольными характеристиками.
3.	Если сравнение прошло успешно, то программа выполняется, в противном случае следует отказ в выполнении, который может быть дополнен выполнением деструктивных действий в
217
отношении этой программы, приводящих к невозможности выполнения этой программы, если такую самоликвидацию позволяет выполнить ОС.
Привязка программ к среде размещения требует повторной их инсталляции после проведения модернизации, изменения структуры или ремонта КС с заменой устройств.
Для защиты от несанкционированного использования программ могут применяться и электронные ключи. Электронный ключ HASP имеет размеры со спичечный коробок и подключается к параллельному порту принтера. Принтер подключается к компьютеру через электронный ключ. На работу принтера ключ не оказывает никакого влияния. Ключ распространяется с защищаемой программой. Программа в начале и в ходе выполнения считывает контрольную информацию из ключа. При отсутствии ключа выполнение программы блокируется.
Защита программных средств от исследования производится на основе методологии изучения логики работы программы. Она может реализоваться в одном из двух режимов: статическом и динамическом. Сущность статического режима заключается в изучении исходного текста программы. Для получения листингов исходного текста выполняемый программный модуль дизассемблируют, т.е. получают из программы на машинном языке программу на языке Ассемблер.
Динамический режим изучения алгоритма программы предполагает выполнение трассировки программы — выполнение программы на ЭВМ с использованием специальных средств, позволяющих выполнять программу в пошаговом режиме, получать доступ к регистрам, областям памяти, производить остановку программы по определенным адресам и т.д. Изучение алгоритма работы программы осуществляется либо в процессе трассировки, либо по данным трассировки, которые записаны в запоминающем устройстве.
Средства противодействия дизассемблированию не могут защитить программу от трассировки, и наоборот: программы, защищенные только от трассировки, могут быть дизассемблированы. Поэтому для защиты программ от изучения необходимо иметь средства противодействия как дизассемблированию, так и трассировке.
Существует несколько методов противодействия дизассемблированию:
•	шифрование;
•	архивация;
•	использование самогенерируемых кодов;
•	«обман» дизассемблера.
Шифрование предусматривает преобразование исходного текста программы в зашифрованный. Зашифрованную программу
218
невозможно дизассемблировать без расшифрования. Зашифрование (расшифрование) программ может осуществляться аппаратными средствами или отдельными программами. Такое шифрование используется перед передачей программы по каналам связи или при хранении ее на ВЗУ. Дизассемблирование программ в этом случае возможно только при получении доступа к расшифрованной программе, находящейся в ОП перед ее выполнением (если считается, что преодолеть криптографическую защиту невозможно).
Другой подход к защите от дизассемблирования связан с совмещением процесса расшифрования с процессом выполнения программ. Если расшифрование всей программы осуществляется блоком, получающим управление первым, то такую программу расшифровать довольно просто. Гораздо сложнее расшифровать и дизассемблировать программу, которая поэтапно расшифровывает информацию, а этапы разнесены по ходу выполнения программы. Задача становится еще более сложной, если процесс расшифрования разнесен по тексту программы.
Архивация — это процесс сжатия информации. Она может быть объединена с шифрованием. Комбинация таких методов позволяет получать надежно закрытые компактные программы.
Сущность метода, основанного на использовании самогенери-руемых кодов, заключается в том, что исполняемые коды программы получаются самой программой в процессе ее выполнения. Самогенерируемые коды получаются в результате определенных действий над специально выбранным массивом данных. В качестве исходных данных могут использоваться исполняемые коды самой программы или специально подготовленный массив данных. Данный метод показал свою высокую эффективность, но он сложен в реализации.
Под обманом дизассемблера понимают такой стиль программирования, который вызывает нарушение правильной работы стандартного дизассемблера за счет нестандартных приемов использования отдельных команд, нарушения общепринятых соглашений. «Обман» дизассемблера осуществляется следующими способами:
•	нестандартная структура программы;
•	скрытые переходы, вызовы процедур, возвраты из них и из прерываний;
•	переходы и вызовы подпрограмм по динамически изменяемым адресам;
•	модификация исполняемых кодов.
Для дезориентации дизассемблера часто используются скрытые переходы, вызовы и возвраты за счет применения нестандартных возможностей команд.
Маскировка скрытых действий часто осуществляется с применением стеков.
219
Трассировка программ обычно осуществляется с помощью программных продуктов, называемых отладчиками. Основное их назначение — выявление ошибок в программах. При анализе алгоритмов программ используются такие возможности отладчиков, как пошаговое (покомандное) выполнение программ, возможность останова в контрольной точке.
При наличии современных средств отладки программ полностью исключить возможность изучения алгоритма программы невозможно, но существенно затруднить трассировку можно. Основной задачей противодействия трассировке является увеличение числа и сложности ручных операций, которые необходимо выполнить программисту-аналитику.
Для противодействия трассировке программы при ее построении используются следующие приемы и способы:
•	изменение среды функционирования;
•	модификация кодов программы;
•	случайные переходы.
Под изменением среды функционирования понимается запрет или переопределение прерываний (если это возможно), изменение режимов работы, состояния управляющих регистров, триггеров и т.д. Такие изменения вынуждают аналитика отслеживать изменения и вручную восстанавливать среду функционирования.
Модификация кодов программ, например в процедурах, приводит к тому, что каждое выполнение процедуры выполняется по различным ветвям алгоритма.
Случайные переходы выполняются за счет вычисления адресов переходов. Исходными данными для этого служат характеристики среды функционирования, контрольные суммы процедур (модифицируемых) и т.д. Включение таких механизмов в текст программ существенно усложняет изучение алгоритмов программ путем их трассировки.
5.2.	Методы и средства организации обеспечения хранения и переработки информации в КС
Обеспечение хранения и переработки ключевой и другой информации в КС осуществляются с помощью КСЗИ, которые создаются для выполнения организационных мер защиты, эксплуатации технических, программных и криптографических средств защиты, а также для контроля за выполнением установленных правил эксплуатации КС обслуживающим персоналом и пользователями. Такие структуры входят в состав службы безопасности ведомств, корпораций, фирм, организаций.
Они могут иметь различный количественный состав и внутреннюю структуру. Это может быть отдел, группа или отдельное
220
должностное лицо. Непосредственной эксплуатацией средств защиты и выполнением организационных мероприятий занимаются органы защиты информации, размещаемые на объектах КС, — органы обеспечения безопасности информации (ОБИ). Если объекты КС располагаются на одной территории с другими объектами ведомства, корпорации, фирмы, то часть функций, таких как охранная, разведывательная, контрразведывательная и некоторые другие, выполняется соответствующими отделами службы безопасности. Подразделение ОБИ может входить организационно и в состав вычислительных центров или отделов автоматизации. При этом службы безопасности сохраняют за собой функции контроля и методического обеспечения функционирования КСЗИ. Количественный состав и структура органа ОБИ определяются после завершения разработки КСЗИ.
При создании органа ОБИ используются следующие данные:
•	официальный статус КС и информации, обрабатываемой в системе;
•	перечень организационных мероприятий защиты и их характеристики;
•	уровень автоматизации КСЗИ;
•	особенности технической структуры и режимы функционирования КС.
Органы ОБИ создаются в соответствии с законодательством Российской Федерации, регулирующим взаимоотношения граждан и юридических лиц в сфере информационных технологий. В зависимости от владельца, конфиденциальности и важности обрабатываемой в КС информации определяется юридический статус самой КС и органа ОБИ. В соответствии со статусом органа ОБИ определяются его юридические права и обязанности, порядок взаимодействия с государственными органами, осуществляющими обеспечение безопасности информации в государстве.
При создании органов ОБИ руководствуются также требованиями подзаконных актов (постановлений Правительства РФ, решений Гостехкомиссии России и ФАПСИ, ГОСТов и др.), а также руководящими документами ведомств.
В результате разработки КСЗИ определяется перечень организационных мероприятий защиты информации, которые представляют собой действия, выполняемые сотрудниками служб безопасности, органов ОБИ, обслуживающим персоналом и пользователями.
Организационные мероприятия защиты подразделяют:
•	на защитные мероприятия, непосредственно направленные на обеспечение ИБ;
•	эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем.
Подавляющее большинство защитных мероприятий связано с обслуживанием технических, программных и криптографических
221
средств защиты. Примерами таких мероприятий являются: использование паролей и материальных идентификаторов, контроль доступа к информационным ресурсам путем выполнения определенных действий при получении сигнала о нарушении правил разграничения доступа и анализа журнала контроля, дублирование и восстановление информации и др.
Некоторые функции системы защиты могут быть реализованы только за счет организационных мероприятий. Например, доступ в помещение с информационными ресурсами может осуществлять контроллер. Защита от пожара реализуется путем вызова пожарной команды, эвакуации информационных ресурсов, использования средств тушения пожара.
Под эксплуатационными мероприятиями понимается комплекс мероприятий, связанных с необходимостью технической эксплуатации системы защиты информации как подсистемы сложной человекомашинной системы.
Особенности технической структуры КСЗИ и КС, а также режимы их функционирования влияют на количество рабочих мест операторов КСЗИ и режим работы операторов. При высокой степени автоматизации функций защиты число операторов может быть минимальным. При круглосуточном режиме работы число операторов КСЗИ соответственно увеличивается. Организационно-штатная структура подразделения ОБИ уточняется в процессе анализа степени автоматизации системы защиты, а также режимов функционирования КС. При этом решается вопрос о распределении обязанностей по эксплуатации средств СЗИ между обслуживающим персоналом и должностными лицами подразделения ОБИ. Так, рабочая станция дежурного оператора СЗИ может обслуживаться специалистами подразделения технического обслуживания, так как такое рабочее место по технической структуре, как правило, не отличается от рабочих мест других пользователей. В то же время устройства криптозащиты с учетом особенностей конструкции и повышенных требований по ограничению доступа к ним, как правило, обслуживаются специалистами подразделения ОБИ.
В небольших организациях, использующих защищенные КС, функции обеспечения защиты информации и технической эксплуатации могут выполняться одним должностным лицом, например администратором ЛВС.
В процессе создания подразделений ОБИ:
•	определяются организационно-штатная структура, права и обязанности должностных лиц;
•	оборудуются рабочие места должностных лиц;
•	должностные лица обучаются практической работе с КСЗИ;
•	разрабатывается необходимая документация;
•	определяется система управления КСЗИ.
222
Организационно-штатная структура определяет перечень должностей, подчиненность подразделения и должностных лиц подразделения. Каждому должностному лицу определяются его права и обязанности в соответствии с занимаемой должностью.
Рабочие места должностных лиц подразделения ОБИ оборудуются средствами, полученными от разработчиков (пультами управления, мониторами, средствами дистанционного контроля и т.д.). Кроме того, на рабочих местах должны быть средства связи, инструкции, эксплуатационная документация, а также средства пожаротушения.
Документальное обеспечение создается на основе законов, постановлений Правительства РФ, решений Гостехкомиссии России, ГОСТов, ведомственных директив, инструкций и методических материалов. Кроме того, используется документация, полученная с установленными средствами защиты. В процессе эксплуатации КСЗИ документы разрабатываются и ведутся силами подразделений ОБИ.
5.3.	Защита программного обеспечения от изучения, вирусного заражения, разрушающих программных действий и изменений
5.3.1.	Основные классификационные признаки компьютерных вирусов
Защита от компьютерных вирусов и других программных действий и изменений является самостоятельным направлением защиты процессов переработки информации в КС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.
Компьютерные вирусы — это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.
В настоящее время в мире насчитывается несколько десятков тысяч зарегистрированных компьютерных вирусов. Все компьютерные вирусы классифицируются (см. гл. 1):
•	по среде обитания;
•	способу заражения среды обитания;
223
•	степени опасности деструктивных (вредительских) воздействий;
•	алгоритму функционирования.
По среде обитания компьютерные вирусы подразделяются на сетевые, файловые, загрузочные и комбинированные.
Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-сек-торах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.
По способу заражения среды обитания компьютерные вирусы подразделяются на резидентные и нерезидентные.
Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сети, загрузочного сектора, файла) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию.
В отличие от резидентных нерезидентные вирусы попадают в оперативную память ВС только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программы, которая не заражает среду обитания, то такой вирус считается нерезидентным.
Арсенал вредительских воздействий компьютерных вирусов весьма обширен. Они зависят от целей и квалификации их создателя, а также от особенностей КС.
По степени опасности деструктивных (вредных) воздействий для информационных ресурсов пользователя компьютерные вирусы подразделяются на безвредные, опасные и очень опасные.
Безвредные компьютерные вирусы создаются авторами, которые не ставят перед собой цель нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности программиста. Другими словами, создание компьютерных вирусов для таких людей — своеобразная попытка самоутверждения. Вредительское воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т.д.
Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы рас-
224
ходуют ресурсы КС, в той или иной мере снижая эффективность ее функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.
К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи, и т.д.
Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств, вызывающие их неисправность и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.д. Одни авторы предполагают, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что требует замены постоянных запоминающих устройств.
Возможны также воздействия на психику человека — оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый 25-й кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека.
По алгоритму функционирования компьютерные вирусы подразделяются на вирусы, не изменяющие среду обитания (файлы и
225
секторы) при распространении, и вирусы, изменяющие среду обитания при распространении.
В свою очередь, вирусы, не изменяющие среду обитания, подразделяются на вирусы-«спутники» (companion) и ви-русы-«черви» (worm).
Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS DOS такие вирусы создают копии для файлов, имеющих расширение .EXE. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.
Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие — размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, подразделяются на студенческие, «стелс»-вирусы (вирусы-невидимки) и полиморфные.
К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
«Стелс»-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.
«Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы OG, обрабатывающие эти прерывания. «Стелс»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
Полиморфные вирусы не имеют постоянных опознавательных групп — сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте спе
226
циальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных модуля: модуль заражения (распространения), модуль маскирования и модуль выполнения вредительских действий. Разделение на функциональные модули означает, что к определенному модулю относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки (например, осуществляется расшифрование тела вируса). Затем вирус осуществляет функцию внедрения в незаряженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.
5.3.2.	Некоторые компьютерные вирусы
Файловые вирусы размещаются в файлах КС и могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся
227
файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды. Макрокоманды (макросы) представляют собой исполняемые программы для автоматизации работы с документами (таблицами). Поэтому такие документы (таблицы) можно рассматривать как исполняемый файл.
Для IBM-совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (EXE, СОМ), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.
Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла, но их заголовки размещаются, как правило, в начале файла. Таким образом, независимо от места расположения вируса в теле зараженного файла после передачи управления файлу первыми выполняются команды вируса.
В начало файла вирус внедряется одним из трех способов. Первый из них заключается в переписывании начала файла в его конец, а на освободившееся место записывается вирус. Второй способ предполагает считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла. При третьем способе заражения вирус записывается в начало файла без сохранения содержимого. В этом случае зараженный файл становится неработоспособным.
В середину файла вирус может быть записан также различными способами. Файл может «раздвигаться», а в освободившееся место может быть записан вирус. Вирус может внедряться в середину файла без сохранения участка файла, на место которого помещается вирус. Есть и более экзотические способы внедрения вируса в середину файла. Например, вирус «Mutant» применяет метод сжатия отдельных участков файла, при этом длина файла после внедрения вируса может не измениться.
Чаще всего вирус внедряется в конец файла. При этом, как и в случае с внедрением вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса.
Обобщенный алгоритм заражения файла может быть представлен в следующем виде.
1.	Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незаряженные файлы и заражает их.
2.	Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.).
3.	Осуществляется вредительская функция вируса, и управление передается программе, в файле которой находится вирус.
228
При реализации конкретных вирусов последовательность и набор действий могут отличаться от приведенных в алгоритме.
Особое место среди файловых вирусов занимают макровирусы. Макровирусы представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.
Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел:
•	привязку программы на макроязыке к конкретному файлу;
•	копирование макропрограмм из одного файла в другой;
•	получение управления макропрограммой без вмешательства пользователя.
Таким условиям отвечают редакторы MS WORD, MS OFFICE, AMI PRO, табличный процессор MS EXCEL. В этих системах используются макроязыки WORD BASIC и VISUAL BASIC.
При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т.д.), автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в зараженном редакторе (процессоре) он также заражается. Механизм заражения аналогичен механизму заражения с резидентными вирусами. Для получения управления в макровирусах заражающие файлы MS OFFICE, как правило, используют некоторые приемы:
•	в вирус помещается автомакрос (вирус включается автоматически, при открытии документа, таблицы);
•	в вирус помещается один из стандартных макросов, который выполняется при выборе определенного пункта меню;
•	макрос вируса автоматически вызывается на выполнение при нажатии определенной клавиши или комбинаций клавиш.
Один макровирус 1й7л Word. Concept, поражающий документы WORD, появился летом 1995 г. Вредительская функция этого вируса заключается в изменении формата документов текстового редактора WORD в формат файлов стилей. Другой макровирус WinWord Nuclear уже не столь безобиден. Он дописывает фразу с требованием запрещения ядерных испытаний, проводимых Францией в Тихом океане.
Загрузочные вирусы заражают загрузочные сектора гибких дисков и boot-сектора или Master Boot Record (MBR) жестких дисков по тем же схемам, что и файловые вирусы.
Загрузочные вирусы являются резидентными. Заражение происходит при загрузке операционной системы с дисков.
После включения ЭВМ осуществляется контроль ее работоспособности с помощью, программы, записанной в постоянном запоминающем устройстве. Если проверка завершилась успешно,
229
то осуществляется считывание первого сектора с гибкого или жесткого диска. Порядок использования дисководов для загрузки задается пользователем при помощи программы SETUP. Если диск, с которого производится загрузка ОС заражен загрузочным вирусом, то обычно реализация работы вируса осуществляется в следующей последовательности.
1.	Считанный из первого сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса.
2.	Вирус переписывает сам себя в другую область оперативной памяти, чаще всего — в старшие адреса памяти.
3.	Устанавливаются необходимые вектора прерываний, если вирус резидентный, и при выполнении определенных условий производятся вредительские действия.
4.	Копируется boot-сектор в оперативной памяти, и ему передается управление.
Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в оперативной памяти, заражает загрузочные сектора всех гибких дисков, а не только системные диски.
Заражение рабочих гибких дисков загрузочными вирусами выполняется в расчете на ошибочные действия пользователя ЭВМ в момент загрузки ОС. Если установлен порядок загрузки ОС сначала с гибкого диска, а затем — с жесткого, то при наличии гибкого диска в накопители будет считан первый сектор с гибкого диска. Если диск был заражен, то этого достаточно для заражения ЭВМ. Такая ситуация наиболее часто имеет место при перезагрузке ОС после «зависаний» или отказов ЭВМ.
Программы-вирусы ОС создаются для ЭВМ определенного типа и ориентированы на конкретные ОС. В качестве примера можно привести ОС MS DOS, устанавливаемую на IBM-совместимые персональные компьютеры. Для ОС UNIX, OS/2, WINDOWS и некоторых других ОС известно незначительное число вирусов. Привлекательность ОС для создателей вирусов определяется следующими факторами:
•	относительная простота;
•	распространенность ОС;
•	отсутствие встроенных антивирусных механизмов;
•	продолжительность эксплуатации.
Все приведенные факторы характерны для MS DOS. Поэтому авторы вирусов при использовании WINDOWS-и OS/2 часто прибегают для внедрения вирусов к использованию находящуюся в них хорошо знакомую MS DOS.
Главным недостатком MS DOS является возможность полного и бесконтрольного доступа любой активной программы ко всем системным ресурсам ЭВМ, включая модули самой ОС.
230
Операционная система MICROSOFT WINDOWS 3.1 и ее модификация MICROSOFT WINDOWS FOR WORKGROUPS 3.11 не являются самостоятельными ОС, а больше похожи на очень большие программы MS DOS. В этих ОС введены ограничения на доступ к оперативной памяти. Каждая программа получает доступ только к своему виртуальному пространству оперативной памяти. Доступы же к дискам, файлам и портам внешних устройств не ограничены. Сохраняют работоспособность и загрузочные вирусы, разработанные для MS DOS, так как они получают управление еще до загрузки MICROSOFT WINDOWS 3.1 и в этот период времени их действия ничем не ограничены.
Слабость защитных функций ОС MICROSOFTWINDOWS 95/98 также объясняется совместимостью с MS DOS. Эта ОС имеет такую же устойчивость к воздействию вирусов, как и MICROSOFT WINDOWS 3.1.
Значительно лучше защищена от вирусов операционная система IBM OS/2. Эта система полностью независима от MS DOS. Все программы, выполняемые в OS/2, работают в отдельных адресных пространствах, что полностью исключает возможность взаимного влияния программ. Существует возможность запретить рабочим программам (несистемным) иметь доступ к портам периферийных устройств.
Если ЭВМ с MICROSOFT OS/2 используется в качестве файл-сервера IBM LAN SERVER, то с помощью драйвера 386 HPFS можно указывать права доступа к каталогам и файлам. Можно также защитить каталоги от записи в файлы, содержащиеся в них. В этой системе существует возможность выполнения программ MS DOS. Но в OS/2 для вирусов, созданных для MS DOS, гораздо меньше возможностей.
Хорошую защиту от вирусов имеют сетевые операционные системы MICROSOFT WINDOWS NT и NOVELL NET WARE, a также операционная система WINDOWS 2000.
5.3.3.	Методы и технологии борьбы с компьютерными вирусами
Массовое распространение вирусов и серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:
•	обнаружение вирусов в КС;
•	блокирование работы программ-вирусов;
•	устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отметить, что не сущест
231
вует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.
При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.
Устранение последствий воздействия вирусов ведется в двух направлениях:
•	удаление вирусов;
•	восстановление (при необходимости) файлов, областей памяти.
Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также если вредные действия уже начались и они предусматривают изменения информации.
Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, которые подразделяют на методы обнаружения и методы удаления вирусов.
Существуют следующие методы обнаружения вирусов:
•	сканирование;
•	обнаружение изменений;
•	эвристический анализ;
•	использование резидентных сторожей;
•	вакцинирование программ;
•	аппаратно-программная защита от вирусов.
Сканирование — один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса — сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.
Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.
Самой известной программой-сканером в России является AIDSTEST Дмитрия Лозинского.
232
Обнаружение изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, объемы установленной оперативной памяти, число подключенных к компьютеру дисков и их параметры.
Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор ADINF, разработанная Д. Ю. Мостовым, работает с диском непосредственно по секторам через BIOS. Это не дает «стелс»-вирусам использовать возможность перехвата прерываний и «подставки» для контроля нужной вирусу области памяти.
У этого метода имеются и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.
Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.
Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении подозрительных команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе DOCTOR WEB.
233
Использование резидентных сторожей основано на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ. Технологический процесс применения резидентных сторожей осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки подозрительных программ, а также для контроля всех поступающих извне файлов (со сменных дисков, в сети).
Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей. Примером резидентного сторожа может служить программа VSAFE, входящая в состав MS DOS.
Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стелс»-вирусов.
Аппаратно-программная защита от вирусов блокирует работу программ-вирусов. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.
При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.
Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:
•	работают постоянно;
•	обнаруживают все вирусы, независимо от механизма их действия;
•	блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.
Недостаток у этих средств один — зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости за
234
мены контроллера. Примером аппаратно-программной защиты от вирусов может служить комплекс SHERIFF.
Методы удаления вирусов используются для удаления вирусов, а также для восстановления файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов антивирусными программами.
Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания.
Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход — уничтожить файл и восстановить его вручную.
Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить его в ОС.
Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной. Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус One Яа^перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске, для чего необходимо знать механизм действия вируса.
5.3.4.	Условия безопасной работы КС и технология обнаружения заражения вирусами
Главным условием безопасной работы в КС является соблюдение ряда правил, которые апробированы на практике и показали свою высокую эффективность.
Правило первое — использование программных продуктов, полученных законным официальным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
235
Правило второе — дублирование информации. Прежде всего необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других ВЗУ или ЭВМ. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
Правило третье — регулярное использование антивирусных средств. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (AIDSTEST и ADINF). Антивирусные средства должны регулярно обновляться.
Правило четвертое — проявление осторожности при использовании новых съемных носителей информации и новых файлов. Новые дискеты обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы — на наличие файловых вирусов. Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (AIDSTEST, DOCTOR WEB, ANTIVIRUS). При первом выполнении исполняемого файла используются резидентные сторожа. При работе с полученными документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS WORD, MS EXCEL), до завершения полной проверки этих файлов.
Правило пятое — проверка на специально выделенных ЭВМ новых сменных носителей информации и вводимых в систему файлов, особенно при работе в распределенных системах или системах коллективного пользования. Целесообразно для этого использовать автоматизированное рабочее место администратора системы или лица, отвечающего за безопасность информации. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
Правило шестое — блокирование выполнения этой операции, если не предполагается осуществление записи информации на носитель. На магнитных дискетах 3,5 дюйма для этого достаточно открыть квадратное отверстие.
Постоянное следование всем приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации.
В особо ответственных системах для борьбы с вирусами необходимо использовать аппаратно-программные средства (например, SHERIFF).
236
Когда вирус все же попал в КС, то последствия его пребывания можно свести к минимуму, придерживаясь определенной последовательности действий. Прежде всего необходимо определить наличие вируса. Об этом можно судить по следующим признакам:
•	появление сообщений антивирусных средств о заражении или предполагаемом заражении;
•	явные проявления присутствия вируса, такие как сообщения, выдаваемые на монитор или принтер, звуковые эффекты, уничтожение файлов и другие аналогичные действия, однозначно указывающие на наличие вируса в КС;
•	неявные проявления заражения, которые могут быть вызваны и другими причинами, например сбоями или отказами аппаратных и программных средств КС.
К неявным проявлениям наличия вирусов в КС можно отнести «зависания» системы, замедление выполнения определенных действий, нарушение адресации, сбои устройств и т.д.
Получив информацию о предполагаемом заражении, пользователь должен убедиться в этом. Решить такую задачу можно с помощью всего комплекса антивирусных средств. Убедившись в том, что заражение произошло, пользователю следует выполнить следующую технологическую последовательность действий:
1)	выключить ЭВМ для уничтожения резидентных вирусов;
2)	осуществить загрузку эталонной операционной системы со сменного носителя информации, в которой отсутствуют вирусы;
3)	сохранить на сменных носителях информации важные файлы, которые не имеют резервных копий;
4)	использовать антивирусные средства для удаления вирусов и восстановления файлов, областей памяти. Произвести контроль работоспособности ВС;
5)	если работоспособность ЭВМ не восстановлена, то необходимо осуществить полное стирание и разметку (форматирование) несъемных внешних запоминающих устройств. В ПЭВМ для этого могут быть использованы программы MS DOS FDISK и FORMAT. Программа форматирования FORMAT не удаляет главную загрузочную запись на жестком диске, в которой может находиться загрузочный вирус. Поэтому необходимо выполнить программу FDISK с недокументированным параметром MBR, создать с помощью этой же программы разделы и логические диски на жестком диске. Затем выполняется программа FORMAT для всех логических дисков;
6)	восстановить ОС, другие программные системы и файлы с дистрибутивов и резервных копий, созданных до заражения;
7)	тщательно проверить файлы, сохраненные после обнаружения заражения, и, при необходимости, удалить вирусы и восстановить файлы;
237
8)	завершить восстановление информации всесторонней проверкой ЭВМ с помощью всех имеющихся в распоряжении пользователя антивирусных средств.
При выполнении рекомендаций по профилактике заражения компьютерными вирусами, а также при умелых и своевременных действиях в случае заражения вирусами ущерб информационным ресурсам КС может быть сведен к минимуму.
5.3.5. Контроль целостности и системные вопросы защиты программ и данных
На этапе эксплуатации КС целостность и доступность информации в системе обеспечивается:
•	контролем целостности информации в КС;
•	повышением отказоустойчивости КС;
•	противодействием перегрузкам и «зависаниям» системы;
•	дублированием информации;
•	использованием строго определенного множества программ;
•	особой регламентацией процессов технического обслуживания и проведения доработок;
•	выполнением комплекса антивирусных мероприятий.
Целостность и доступность информации поддерживается также путем резервирования аппаратных средств, блокировок ошибочных действий людей, использования надежных элементов КС и отказоустойчивых систем. Устраняются также преднамеренные угрозы перегрузки элементов систем. Для этого используются механизмы измерения интенсивности поступления заявок на выполнение (передачу) и механизмы ограничения или полного блокирования передачи таких заявок. Должна быть предусмотрена также возможность определения причин резкого увеличения потока заявок на выполнение программ или передачу информации.
В сложных системах практически невозможно избежать ситуаций, приводящих к «зависаниям» систем или их фрагментов. В результате сбоев аппаратных или программных средств, алгоритмических ошибок, допущенных на этапе разработки, ошибок операторов в системе происходят зацикливания программ, непредусмотренные остановы и другие ситуации, выход из которых возможен лишь путем прерывания вычислительного процесса и последующего его восстановления. На этапе эксплуатации ведется статистика и осуществляется анализ таких ситуаций. «Зависания» своевременно обнаруживаются, и вычислительный процесс восстанавливается. При восстановлении, как правило, необходимо повторить выполнение прерванной программы с начала или с контрольной точки, если используется механизм контрольных точек. Такой механизм используется при выполнении сложных вычислительных программ, требующих значительного времени для их реализации.
238
Одним из главных условий обеспечения целостности и доступности информации в КС является ее дублирование. Стратегия дублирования выбирается с учетом важности информации, требований к непрерывности работы КС, трудоемкости восстановления данных. Дублирование информации обеспечивается дежурным администратором КС.
В защищенной КС должно использоваться только разрешенное программное обеспечение (ПО). Перечень официально разрешенных к использованию программ, а также периодичность и способы контроля их целостности должны быть определены перед началом эксплуатации КС.
Простейшим методом контроля целостности программ является метод контрольных сумм. Для исключения возможности внесения изменений в контролируемый файл с последующей коррекцией контрольной суммы необходимо хранить контрольную сумму в зашифрованном виде или использовать секретный алгоритм вычисления контрольной суммы.
Однако наиболее приемлемым методом контроля целостности информации является использование хэш-функции. Значение хэш-функции практически невозможно подделать без знания ключа, поэтому следует хранить в зашифрованном виде или в памяти, недоступной злоумышленнику, только ключ хэширования (стартовый вектор хэширования).
Контроль состава программного обеспечения и целостности (неизменности) программ осуществляется при плановых проверках комиссиями и должностными лицами, а также дежурным оператором КСЗИ по определенному плану, неизвестному пользователям. Для осуществления контроля используются специальные программные средства. В вычислительных сетях такая ревизия программного обеспечения может осуществляться дистанционно с рабочего места оператора КСЗИ.
Особое внимание руководства и должностных лиц подразделения ОБИ должно быть сосредоточено на обеспечении целостности структур КС и конфиденциальности информации, защите от хищения и несанкционированного копирования информационных ресурсов во время проведения технического обслуживания, восстановления работоспособности, ликвидации аварий, а также в период модернизации КС. Так как на время проведения таких специальных работ отключаются (или находятся в неработоспособном состоянии) многие технические и программные средства защиты, то их отсутствие компенсируется системой следующих организационных мероприятий:
•	подготовка КС к выполнению работ;
•	допуск специалистов к выполнению работ;
•	организация работ на объекте;
•	завершение работ.
239
Перед проведением работ, по возможности, должны предприниматься следующие шаги:
•	отключение фрагмента КС, на котором необходимо выполнять работы, от функционирующей КС;
•	снятие носителя информации с устройств;
•	осуществление стирания информации в памяти КС;
•	подготовка помещения для работы специалистов.
Перед проведением специальных работ необходимо всеми доступными способами изолировать от функционирующей части КС ту часть КС, на которой предполагается выполнять работы. Для этого могут быть использованы аппаратные и программные блокировки и физические отключения цепей.
Все съемные носители с конфиденциальной информацией должны быть сняты с устройств и храниться в заземленных металлических шкафах в специальном помещении. Информация на несъемных носителях стирается путем трехкратной записи, например, двоичной последовательности чередующихся 1 и 0. На объекте необходимо определить порядок действий в случае невозможности стереть информацию до проведения специальных работ, например при отказе накопителя на магнитных дисках. В этом случае восстановление работоспособности должно выполняться под непосредственным контролем должностного лица из подразделения ОБИ. При восстановлении функции записи на носитель первой же операцией осуществляется стирание конфиденциальной информации. Если восстановление работоспособности накопителя с несъемным носителем информации невозможно, то устройство подлежит утилизации, включая физическое разрушение носителя.
При оборудовании помещения для проведения специальных работ осуществляется подготовка рабочих мест и обеспечивается изоляция рабочих мест от остальной части КС. На рабочих местах должны использоваться сертифицированные и проверенные на отсутствие закладок приборы (если они не поставлялись в комплекте КС). Меры по обеспечению изолированности рабочих мест от остальной КС имеют целью исключить доступ сотрудников, выполняющих специальные работы, к элементам функционирующей КС.
Допуск специалистов на рабочие места осуществляется в определенное время и после выполнения всех подготовительных операций.
При прибытии специалистов из других организаций, например для проведения доработок, кроме обычной проверки лиц, допускаемых на объект, на отсутствие закладок должны проверяться приборы, устройства, которые доставлены для выполнения работ.
В процессе выполнения специальных работ необходимо исключить использование непроверенных аппаратных и программных
240
средств, отклонения от установленной документацией технологии проведения работ, доступ к носителям с конфиденциальной информацией и функционирующим в рабочих режимах элементам КС.
Специальные работы завершаются контролем работоспособности КС и отсутствия закладок. Проверка на отсутствие аппаратных закладок осуществляется путем осмотра устройств и тестирования их во всех режимах. Отсутствие программных закладок проверяется по контрольным суммам, а также путем тестирования. Результаты доработок принимаются комиссией и оформляются актом, в котором должны быть отражены результаты проверки работоспособности и отсутствия закладок. После проверок осуществляется восстановление информации и задействуются все механизмы защиты.
В автономных КС непосредственную ответственность за выполнение комплекса антивирусных мероприятий целесообразно возложить на пользователя КС. В ЛВС такая работа организуется должностными лицами подразделения ОБИ. Исполняемые файлы, в том числе саморазархивирующиеся и содержащие макрокоманды, должны вводиться в ЛВС под контролем дежурного оператора КСЗИ и подвергаться проверке на отсутствие вирусов.
Системные вопросы организации защиты программ и данных решаются применением КСЗИ (см. подразд. 5.2).
Успех эксплуатации КСЗИ в большой степени зависит от уровня организации управления процессом эксплуатации. Иерархическая система управления позволяет организовать реализацию политики безопасности информации на этапе эксплуатации КС. При организации системы необходимы:
•	соответствие уровня компетенции руководителя его статусу в системе управления;
•	строгая регламентация действий должностных лиц;
•	документирование алгоритмов обеспечения защиты информации;
•	непрерывность управления;
•	адаптивность системы управления;
•	контроль над реализацией политики безопасности.
Каждое должностное лицо из руководства организации, службы безопасности или подразделения ОБИ должны иметь знания и навыки работы с КСЗИ в объеме, достаточном для выполнения своих функциональных обязанностей. Причем должностные лица должны располагать минимально возможными сведениями о конкретных механизмах защиты и о защищаемой информации. Это достигается путем очень строгой регламентации их деятельности. Документирование всех алгоритмов эксплуатации КСЗИ позволяет при необходимости легко заменять должностных лиц, а также осуществлять контроль над их деятельностью. Реализация этого
241
принципа позволит избежать незаменимости отдельных сотрудников и наладить эффективный контроль деятельности должностных лиц.
Непрерывность управления КСЗИ достигается за счет организации дежурства операторов КСЗИ. Система управления должна быть гибкой и оперативно адаптироваться к изменяющимся условиям функционирования.
Комплексная СЗИ является подсистемой КС и ее техническая эксплуатация организуется в соответствии с общим подходом обеспечения эффективности применения КС.
К общим задачам, решаемым в процессе технической эксплуатации КСЗИ, относятся:
•	организационные задачи;
•	поддержание работоспособности КСЗИ;
•	обеспечение технической эксплуатации.
К организационным задачам относятся:
•	планирование технической эксплуатации;
•	организация дежурства;
•	работа с обслуживающим персоналом и пользователями;
•	работа с документами.
Планирование технической эксплуатации осуществляется на длительные сроки (полгода, год и более). Используется также среднесрочное (квартал, месяц) и краткосрочное (неделя, сутки) планирование. На длительные сроки планируются полугодовое техническое обслуживание и работа комиссий, поставки оборудования, запасных изделий и приборов, ремонты устройств и т.д. Среднесрочное и краткосрочное планирование применяются при организации технического обслуживания, проведении доработок, организации дежурства и др.
Организация дежурства предназначена для непрерывного выполнения организационных мер защиты и эксплуатации всех механизмов защиты. Режим дежурства зависит от режима использования КС. Дежурный оператор КСЗИ может выполнять по совместительству и функции общего администрирования в компьютерной сети. Рабочее место оператора КСЗИ, как правило, располагается в непосредственной близости от наиболее важных компонентов КС (серверов, межсетевых экранов и т.д.) и оборудуется всеми необходимыми средствами оперативного управления КСЗИ.
Работа с обслуживающим персоналом и пользователями сводится к подбору кадров, их обучению, воспитанию, созданию условий для высокоэффективного труда.
В процессе технической эксплуатации проводится работа с документами четырех типов:
1)	законы;
2)	ведомственные руководящие документы;
242
3)	документация предприятий-изготовителей;
4)	документация, разрабатываемая в процессе эксплуатации.
В законах отражены общие вопросы эксплуатации КСЗИ. В ведомствах (министерствах, объединениях, корпорациях, государственных учреждениях) разрабатывают инструкции, директивы, государственные стандарты, методические рекомендации и т.д.
Предприятия-изготовители поставляют эксплуатационно-техническую документацию: технические описания, инструкции по эксплуатации, формуляры (паспорта) и др.
В организациях, эксплуатирующих КС, разрабатывают и ведут планирующую и учетно-отчетную документацию.
Одной из центральных задач технической эксплуатации КСЗИ является поддержание работоспособности КСЗИ. Работоспособность поддерживается в основном за счет проведения технического обслуживания, постоянного контроля работоспособности и ее восстановления в случае отказа. Работоспособность средств защиты информации контролируется постоянно с помощью аппаратно-программных средств встроенного контроля и периодически должностными лицами службы безопасности и комиссиями. Сроки проведения контроля и объем работ определяются в руководящих документах.
Обеспечение технической эксплуатации, от которого зависит ее успех, включает в себя:
•	материально-техническое обеспечение;
•	транспортировку и хранение;
•	метрологическое обеспечение;
•	обеспечение безопасности эксплуатации.
Материально-техническое обеспечение позволяет удовлетворять потребность в расходных материалах, запасных изделиях и приборах, инструментах и других материальных средствах, необходимых для эксплуатации КСЗИ.
Транспортировка и хранение устройств защищенной КС должны предусматривать защиту от несанкционированного доступа к устройствам в пути и в хранилищах. Для обеспечения необходимых условий транспортировки и хранения выполняются мероприятия подготовки устройств согласно требованиям эксплуатационно-технической документации.
Метрологическое обеспечение позволяет поддерживать измерительные приборы в исправном состоянии.
Обеспечение безопасности эксплуатации предусматривает защиту обслуживающего персонала и пользователей прежде всего от угрозы поражения электрическим током, а также от возможных пожаров.
В целом от уровня технической эксплуатации во многом зависит эффективность использования КСЗИ.
243
5.4. Программно-аппаратные средства обеспечения ИБ в типовых ОС, СУБД и вычислительных сетях
5.4.1.	Основные положения программно-аппаратного и организационного обеспечения ИБ в операционных системах
Правильный выбор модели безопасности является задачей не столько специалистов по ОС, сколько специалистов по безопасности и секретности. Существующие стандарты ограничивают обязательный список моделей только двумя моделями — дискретным и мандатным управлением доступом. Для большинства применений этих двух моделей вполне достаточно. Существующие модели других типов широкого распространения как модели, лежащие в основе ОС, не получили, обычно их используют для разработки того или иного приложения. Однако исторически сложилось так, что многие системы не поддерживают моделей дискретного и мандатного управления доступом и даже не позволяют внедрить эти модели без существенного нарушения принципов организации системы. Сложности при внедрении этих моделей влекут за собой определенные компромиссы со стороны разработчиков, что недопустимо, так как приводит к искажению модели безопасности и ее некорректной реализации. Представляется целесообразным, чтобы ОС общего назначения изначально поддерживали модели дискретного и мандатного управления доступом, начиная с начальных стадий разработки.
Для эффективного обеспечения ИБ в ОС необходимо выполнить следующие рекомендации.
1.	Правильно внедрить модель безопасности.
2.	Проводить надежную идентификацию и аутентификацию объектов и субъектов. Данная проблема носит чисто технический характер. В настоящее время существуют системы, обеспечивающие надежность идентификации и аутентификации с заданной степенью. Для идентификации надежность обеспечивается уникальностью используемых признаков, а для аутентификации — трудностью подделки. Для реализации надежных алгоритмов идентификации и аутентификации пользователей необходимы специальные аппаратные средства — магнитные карты, считыватели физиологических параметров пользователя (отпечатков пальцев, сетчатки глаза и т.д.). Программная реализация этих методов несложна и может быть легко добавлена в любую существующую систему. Для идентификации и аутентификации программных (без участия человека) субъектов и объектов используются получившие в последнее время интенсивное развитие алгоритмы так называемой электронной подписи. Выбор конкретных механизмов, устройств и средств идентификации и аутентификации зависит от предъявляемых требований к конкретной системе и может быть осуществ
244
лен независимо от остальных решений, используемых для обеспечения защиты.
3.	Добиться уменьшения или полного устранения ошибок в программной реализации систем обеспечения безопасности. Методы и средства защиты, как и любое другое программное обеспечение, подвержены ошибкам реализации. Разумеется, ошибка в любом из компонентов системы защиты ставит под сомнение безопасность всей системы, поэтому ошибки в программном обеспечении, отвечающем за безопасность, приводят не просто к потере функциональности, а к дискредитации всей системы. Меры, направленные на решение этой проблемы, относятся к области технологии программирования и надежности ПО. Эта проблема представляет собой область пересечения двух разных дисциплин — безопасности и надежности ПО, так как надежность программ, реализующих защиту, определяет безопасность системы (см. гл. 4).
4.	Организовать надлежащий контроль целостности средств обеспечения безопасности. Данная проблема носит чисто технологический характер, так как методы контроля целостности достаточно развиты и существуют вполне надежные решения (та же цифровая подпись). Однако на практике, как правило, эти методы применяются только для контроля целостности информации (например, при передаче по каналу связи). Для решения этой проблемы необходимо, в первую очередь, контролировать целостности механизмов, обеспечивающих защиту (см. подразд. 5.3).
5.	Обеспечить наличие средств отладки и тестирования в конечных продуктах. Для решения этой проблемы можно использовать только организационные меры. Все системы, для которых безопасность имеет решающее значение, должны (кроме всего прочего) иметь сертификат, подтверждающий, что в них отсутствуют подобные возможности. Естественно, что полную ответственность за выполнение этого требования может взять на себя только разработчик.
6.	Минимизировать ошибки администрирования. Эта проблема связана с человеческим фактором и не может быть решена чисто техническими средствами. Для минимизации вероятности появления подобных ошибок необходимо обеспечивать средства управления безопасностью и контроля доступа удобным и практичным интерфейсом, по возможности использовать автоматизированные системы управления. Кроме того, можно предусмотреть специальные средства верификации, проверяющие конфигурацию ВС на предмет неадекватного администрирования (см. гл. 2).
5.4.2.	Защита процессов переработки информации в СУБД
Защита процессов переработки информации в базах данных, в отличие от защиты данных в файлах, имеет свои особенности:
245
•	необходимость учета функционирования системы управления базой данных при выборе механизмов защиты;
•	разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей баз данных.
При создании средств защиты процессов переработки информации в базах данных необходимо учитывать взаимодействие этих средств не только с ОС, но и с СУБД. При этом возможно встраивание механизмов защиты в СУБД или использование их в виде отдельных компонентов. Для большинства СУБД придание им дополнительных функций возможно только на этапе разработки СУБД. В эксплуатируемые системы управления базами данных дополнительные компоненты могут быть внесены путем расширения или модификации языка управления. Таким путем можно осуществлять наращивание возможностей, например в СУБД CA-CLIPPER 5.0.
В современных базах данных довольно успешно решаются задачи разграничения доступа, поддержания физической целостности и логической сохранности данных. Алгоритмы разграничения доступа к записям и даже к полям записей в соответствии с полномочиями пользователя хорошо отработаны, и преодолеть эту защиту злоумышленник может лишь с помощью фальсификации полномочий или внедрения вредительских программ. Разграничение доступа к файлам баз данных и частям баз данных осуществляется СУБД путем установления полномочий пользователей и контроля этих полномочий при допуске к объектам доступа. Функциональная схема диспетчера доступа приведена на рис. 5.2.
Полномочия пользователей устанавливаются администратором СУБД. Обычно стандартным идентификатором пользователя является пароль, передаваемый в зашифрованном виде. В распределенных КС процесс подтверждения подлинности пользователя дополняется специальной процедурой взаимной аутентификации удаленных процессов. Базы данных, содержащих конфиденциальную информацию, хранятся на внешних запоминающих устройствах в зашифрованном виде.
Физическая целостность баз данных достигается путем использования отказоустойчивых устройств, построенных, например, по технологии RAID. Логическая сохранность данных означает невозможность нарушения структуры модели данных. Современные СУБД обеспечивают такую логическую целостность и непротиворечивость на этапе описания модели данных.
В базах данных, работающих с конфиденциальной информацией, необходимо дополнительно использовать криптографические средства закрытия информации. Для этой цели используется шифрование с помощью как единого ключа, так и индивидуальных ключей пользователей. Применение шифрования с индиви
246
дуальными ключами повышает надежность механизма разграничения доступа, но существенно усложняет управление.
Возможны два режима работы с зашифрованными базами данных. Первым, наиболее простым, является такой режим работы с закрытыми данными, при котором для выполнения запроса необходимый файл или часть файла расшифровывается на внешнем носителе, с открытой информацией производятся необходимые действия, после чего информация на ВЗУ снова зашифровывается. Достоинством такого режима работы является независимость функционирования средств шифрования и СУБД, которые работают последовательно друг за другом. В то же время сбой или отказ в системе может привести к тому, что на ВЗУ часть базы данных останется записанной в открытом виде.
Второй режим работы предполагает возможность выполнения СУБД запросов пользователей без расшифрования информации на ВЗУ. Поиск необходимых файлов, записей, полей, групп полей не требует расшифрования. Расшифрование производится в ОП непосредственно перед выполнением конкретных действий с данными. Такой режим работы возможен, если процедуры шифрования встроены в СУБД. При этом достигается высокий уровень защиты от несанкционированного доступа, но реализация режима работы связана с усложнением СУБД. Придание СУБД возможности поддержки такого режима работы осуществляется, как правило, на этапе разработки СУБД.
При построении защиты баз данных необходимо учитывать ряд специфических угроз безопасности информации, связанных с концентрацией в базах данных большого количества разнообразной информации, а также с возможностью использования сложных запросов обработки данных. К таким угрозам относятся:
•	инференция;
•	агрегирование;
•	комбинирование разрешенных запросов.
Под инференцией понимается получение конфиденциальной информации из сведений с меньшей степенью конфиденциальности путем умозаключений. Если учитывать, что в базах данных хранится информация, полученная из различных источников в разное время, отличающаяся степенью обобщенности, то аналитик может получить конфиденциальные сведения путем сравнения, дополнения и фильтрации данных, к которым он допущен. Кроме того, он обрабатывает информацию, полученную из открытых баз данных, средств массовой информации, а также использует просчеты лиц, определяющих степень важности и конфиденциальности отдельных явлений, процессов, фактов, полученных результатов. Такой способ получения конфиденциальных сведений, например по.материалам средств массовой информации, используется давно и показал свою эффективность.
247
Близким к инференции является другой способ добывания конфиденциальных сведений — агрегирование. Под агрегированием понимается способ получения более важных сведений по сравнению с важностью тех отдельно взятых данных, на основе которых и получаются эти сведения. Так, сведения о деятельности одного отделения или филиала корпорации обладают определенным весовым коэффициентом. Данные же за всю корпорацию имеют куда большую значимость.
Если инференция и агрегирование являются способами добывания информации, которые применяются не только в отношении баз данных, то способ специального комбинирования разрешенных запросов используется только при работе с базами данных. Использование сложных, а также последовательности простых логически связанных запросов позволяет получать данные, к которым доступ пользователю закрыт.
Такая возможность имеется, прежде всего, в базах данных, позволяющих получать статистические данные. При этом отдельные записи, поля (индивидуальные данные) являются закрытыми. В результате запроса, в котором могут использоваться логические операции AND, OR, NOT, пользователь может получить такие величины, как число записей, сумма, максимальное или минимальное значение.
Используя сложные перекрестные запросы и имеющуюся в его распоряжении дополнительную информацию об особенностях интересующей записи (поля), злоумышленник путем последовательной фильтрации записей может получить доступ к нужной записи.
5.4.3.	Обеспечение ИБ в ОС DOS и WINDOWS
Обеспечение ИБ производится через реализацию мониторов безопасности. При этом необходимо, первую очередь, корректно выбрать уровень семантического представления для объекта, который защищается. Обычно при построении монитора безопасности объекта (МБО) на уровне операционной среды им является файл. При реализации МБО в прикладной системе (в частности, в СУБД) объектом является, как правило, семантическая единица типа записи базы данных.
Технически МБО для DOS реализуется в виде резидентной программы, являющейся «обработчиком» прерывания int 21h. Кроме того, DOS позволяет реализовать файловые операции как через указатели, так и через File Control Block (FCB). Второй механизм сохранился практически без изменений с ранних версий MS-DOS и в настоящее время прикладными программами практически не используется (исключение составляют только внутренние команды, в частности, DEL).
248
Приведем пример реализации «обработчика». Данная демонстрационная программа выводит в текстовом экране (в верхнем левом углу) имена открываемых (на синем фоне) и уничтожаемых (на красном фоне) файлов. Программа должна быть скомпилирована в COM-файл. Для получения визуального эффекта для WINDOWS 95/98 данную программу необходимо запустить или до запуска графической оболочки, или после выполнения «Перезагрузить компьютер в режиме MS-DOS» (в DOS-окне данная программа работать не будет).
Обеспечение безопасности для WINDOWS 95/98. Оно осуществляется через механизм встраивания в цепочку обработки файловых операций с использованием механизма IFS Manager. Этот механизм предоставляет собой интерфейс для присоединения собственных «обработчиков» избранных файловых операций. Рассмотрим реализацию процедуры журналирования запуска и открытия исполняемых модулей, реализованную внутри виртуального драйвера VXD.
Основной проблемой нормальной работы мониторов безопасности является выполнение корректных операций с защищаемыми объектами (в данном случае — с исполняемыми файлами и журналом) внутри кода мониторов. В рассматриваемой программе вводится специальный флаг Already In Hooker, который указывает, что при перехвате файловых операций управление попадает сразу же на их предыдущий обработчик. Затем необходимо обратить внимание на работу с журналом (файл c:\test_log.w95). Журнал после помещения в него очередной записи закрывается (что необходимо для отказоустойчивости — пропадание питания или неустранимый сбой приложения не приведут к потере записи) и затем снова открывается (для того чтобы какое-либо приложение не смогло открыть его и блокировать запись со стороны statis 95.VXD).
Приведенный пример является типовым для написания мониторов безопасности систем.
Для активизации данного VXD можно использовать два способа. Первый способ заключается в том, что в секцию Enh386 файла system.ini добавляется строка вида device = путь к файлу VXD. Второй способ заключается в динамической загрузке драйвера. Она выполняется следующим фрагментом кода:
#include <stdio.h>
#include <windows.h>
#include <stdlib.h> int main()
{
HANDLE hCVxD = 0;
// Динамически загружаем драйвер statis95.VXD hCVxD = CreateFile("\\\\.\\statis95.VXD", 0,0,0,
249
CREATE NEW, FILE FLAG DELETE ON_CLOSE, 0);
if(hCVXD == INVALID_HANDLE_VALUE)
{
printf ("Невозможно открыть виртуальный драйвер устройства statis95 . VXD!\n") ;
exit (-1) ;
}
printf ("Драйвер успешно загружен\п") ;
CloseHandle(hCVXD);
return (0) ;
}
Идентификация и аутентификация (ИА) в ОС WINDOWS NT. Сущность этих процедур состоит в том, что при входе в систему пользователь передает в системную функцию LogonUser свое имя, пароль и имя рабочей станции или домена, в котором данный пользователь зарегистрирован. Если пользователь успешно идентифицирован, то функция LogonUser возвращает указатель на маркер доступа пользователя, который в дальнейшем используется при любом его обращении к защищенным объектам системы.
Механизм ИА пользователя в ОС WINDOWS NT реализуется специальным процессом Winlogon, который активизируется на начальном этапе загрузки ОС и остается активным на протяжении всего периода ее функционирования. Ядро операционной системы регулярно проверяет состояние данного процесса, и в случае его аварийного завершения происходит аварийное завершение работы всей операционной системы. Помимо идентификации пользователя Winlogon реализует целый ряд других функций, таких как переключение рабочих полей (desktop), активизация хранителей экрана, а также ряд сетевых функций.
Процесс Winlogon состоит из следующих модулей:
•	ядро процесса Winlogon, ехе;
•	библиотека GINA: (Graphic Identification and Autentication — графическая библиотека ИА); динамическая библиотека функций, используемых для локальной идентификации пользователя (идентификации пользователя на рабочей станции);
•	библиотеки сетевой поддержки (Network Provider DLLs), реализующие «удаленную» идентификацию пользователей (идентификацию пользователей, обращающихся к ресурсам сервера через сеть).
Библиотека GINA и библиотеки сетевой поддержки являются заменяемыми компонентами процесса Winiogon. Конфигурация библиотек сетевой поддержки определяется протоколами и видами сервиса поддерживаемой сети. При этом конфигурация библиотеки GINA определяется требованиями к механизму локальной идентификации.
250
В каждый момент времени технологического процесса Winlogon может находиться в одном из состояний, представленных на рис. 5.3.
Когда пользователь еще не вошел в систему, Winlogon находится в состоянии 1, пользователю предлагается идентифицировать себя и предоставить подтверждающую информацию (в стандартной конфигурации — пароль). Если информация, введенная пользователем, дает ему право входа в систему, то активизируется оболочка системы (как правило, Program Manager) и Winlogon переключается в состояние 2.
Хотя в состоянии 1 ни один пользователь не может непосредственно взаимодействовать с системой, в случае, если на рабочей станции запущен Server Service, пользователи могут обращаться к ресурсам системы через сеть.
Когда пользователь вошел в систему, Winlogon находится в состоянии 2. В этом состоянии пользователь может прекратить работу, выйдя из системы, или заблокировать рабочую станцию. В первом случае Winlogon завершает все процессы, связанные с завершающимся сеансом и переключается в состояние 1. Во втором случае Winlogon выводит на экран сообщение о том, что рабочая станция заблокирована, и переключается в состояние 3.
В состоянии 3 Winlogon выводит на экран приглашение пользователю идентифицировать себя и разблокировать рабочую станцию. Это может сделать либо заблокировавший ее пользователь, либо администратор. В первом случае система возвращается в то состояние, в котором находилась непосредственно перед блоки-
Рис. 5.3. Структурная схема технологического процесса аутентификации
251
ровкой, и переключается в состояние 2. Во втором случае все процессы, связанные с текущим сеансом, завершаются и Winlogon переключается в состояние 7.
Когда рабочая станция заблокирована, фоновые процессы, запущенные пользователем до блокировки, продолжают выполняться.
Сразу после загрузки Winlogon инициализирует GINA, вызывая последовательно ее функции WlxNegotiate и Wlxlnitialize. Рабочая станция переходит в состояние «Пользователь не вошел в систему».
Когда пользователь собирается войти в систему с помощью комбинации клавиш [Ctrl] + [Alt] + [Del], Winlogon вызывает функцию WlxLoggedOutSas библиотеки GINA. WlxLoggedOutSas осуществляет попытку входа в систему, вызывая системную функцию LogonUser. В зависимости от информации, введенной пользователем, GINA возвращает процессу Winlogon одно из следующих значений:
•	WLXSASACTIONLOGON — пользователь вошел в систему. Получив это значение, Winlogon вызывает функцию WlxActi-vateUserShell библиотеки GINA, которая загружает индивидуальную оболочку пользователя;
•	WLXSASACTIONNONE — пользователь не смог войти в систему. Состояние системы не изменяется;
•	WLXSASACTIONSHUTDOWN — пользователь потребовал завершить работу системы. Эта возможность может быть отключена (см. ранее). Получив данное возвращаемое значение, Winlogon последовательно вызывает функции библиотеки GINA WlxLogoff и WlxShutdown.
Если пользователь нажал комбинацию клавиш [Ctrl] + [Alt] + + [Del], уже войдя в систему, то Winlogon вызывает функцию WlxLoggedOnSas. GINA выводит на экран диалоговое окно и, в зависимости от решения пользователя, выполняет следующие действия:
•	если пользователь решил не предпринимать никаких действий, то GINA возвращает в Winlogon значение WLX_SAS_ACTION_ NONE. Winlogon возвращает систему в то же состояние, в котором она была до нажатия комбинации клавиш [Ctrl] + [Alt] + [Del];
•	если пользователь желает просмотреть список активных процессов, то GINA возвращает значение WLX_SAS_ACTION_ TASKLIST. Winlogon возвращает систему в состояние, в котором она была до нажатия комбинации клавиш [Ctrl] + [Alt] + [Del], и активизирует процесс Task Manager;
•	если пользователь желает заблокировать рабочую станцию, то GINA возвращает значение WLX_SAS_ACTION_LOCK_WKSTA. Winlogon блокирует систему;
•	если пользователь желает выйти из системы, то GINA возвращает значение WLX_SAS_ACTION_LOGOFF. Winlogon в ответ вызывает функцию GINA WlxLogoff;
252
•	если пользователь желает завершить работу с компьютером, то GINA возвращает значение WLXSASACTIONSHUTDOWN. Winlogon последовательно вызывает функции GINA WlxLogoff и WlxShutdown.;
•	если пользователь желает перезагрузить компьютер, то GINA возвращает значение WLX_SAS_ACTION_SHUTDOWN_REBOOT. Winlogon последовательно вызывает функции GINA WlxLogoff и WlxShutdown. По окончании выгрузки системы компьютер автоматически перезагружается;
•	если пользователь желает закончить работу с компьютером и выключить его, то GINA возвращает значение WLX_SAS_ ACTION SHUTDOWN REBOOT POWER OFF. Winlogon последовательно вызывает функции GINA WlxLogoff и WlxShutdown. По окончании выгрузки системы компьютер автоматически выключается. Если аппаратная часть компьютера не допускает программного отключения питания, то данное возвращаемое значение имеет тот же эффект, что и WLX SAS ACTION SHUTDOWN;
•	если пользователь желает изменить свой пароль, то GINA выводит на экран соответствующее диалоговое окно, по окончании ввода пользователем нового пароля вызывает функцию WlxChangePasswordNotify и затем возвращает в Winlogon значение WLXSASACTIONPWDC HANGED.
Когда рабочая станция заблокирована, а пользователь нажал комбинацию клавиш [Ctrl] + [Alt] + [Del], Winlogon вызывает функцию GINA WlxWkstaLockedSas. GINA запрашивает у пользователя параметры идентификации и проверяет их. В зависимости от результата проверки GINA возвращает одно из следующих значений:
WLX_UNLOCK_WKSTA — разблокировать рабочую станцию;
WLXFORCELOGOFF — принудительный выход из системы с последующим входом в систему администратора;
WLXNOACTION — рабочая станция остается заблокированной.
Если пользователь вошел в систему и один из процессов вызывает системную функцию ExitWindowsEx, то Winlogon в зависимости от параметров ExitWindowsЕх вызывает либо WlxLogoff, либо последовательно WlxLogoff и WlxShutdown. При этом, соответственно, либо пользователь выходит из системы, либо система завершает работу.
Если GINA получает от пользователя нестандартную SAS, то она вызывает функцию Winlogon WlxSasNotify, после чего Winlogon вызывает одну из перечисленных ранее функций GINA, в зависимости от контекста, в котором была получена SAS.
Для изучения процесса идентификации и аутентификации можно использовать модуль DLL, который является «переходником» между WinLogon и стандартной MSGINA. Прототипы экспортируемых MSGINA.DLL описаны в файле winwlx.h стандартной поставки MS SDK.
253
Для активизации модуля xgina.dll необходимо создать ключ реестра (например, при помощи Regini с использованием следующего ini файла):
\Registry\Machine\Software\Microsoft\Windows NT\Current Version\Winlogon
GinaDll = c:\xgina.dll
Вместо c:\xgina.dll необходимо указать реальный путь либо поместить библиотеку по заданному пути.
Процесс ИА регулируется следующими ключами реестра: \Registry\Machme\Software\Microsoft\Windows NT\Current Version\WinIogon (табл. 5.1).
Реализацию процесса ИА можно осуществить созданием изолированной программной среды (ИПС). Для создания ИПС можно использовать два подхода.
1. Замещение пользовательской оболочки собственной задачей, которая предлагает замкнутое меню. Этот путь достаточно тривиален и предусматривает написание простого оконного приложения и указания пути к нему в ключе Shell.
2. Задание ключей реестра, позволяющих ограничить число задач в меню Пуск стандартной оболочки.
В Windows NT есть возможность установить список программ, которые могут быть запущены пользователями.
1.	Откройте реестр для редактирования и найдите ключ:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer]
2.	Установите значение параметра 'RestrictRun' равным Т для использования данной функции или равным 'О' для ее блокировки. Создайте этот параметр, если его не существует.
3.	Определите программы, которые смогут запускать пользователи, в ключе:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\RestrictRun],
Создайте новый параметр для каждой программы, именуя их числами по возрастанию. Например:
Т='Са lc.exe'
'2'=='winword.exe'
4.	Выйдите из Regedit. Перезагрузитесь, чтобы изменения вступили в силу.
Рассмотренный путь имеет некоторый недостаток, связанный с тем, что необходимо редактировать ключи раздела CurretnUser. Таким образом, необходимо предварительно-регистрироваться в системе в качестве пользователя, для которого устанавливается замкнутое меню.
Следует учитывать, что ничто не мешает пользователям переименовать любой *.ехе файл в winword.exe (или любой другой, разрешенный к запуску) и обойти это ограничение. В связи с этим
254
Таблица 5.1
Ключи идентификации и аутентификации в MS GINA
Название	Значение	Значение по умолчанию	Содержание
Auto Admin Logon	o/i	0	Определяет необходимость автоматического входа в систему с именем DefaultUserName и паролем DefaultPassword
Default Domain Name	Имя домена	NEW DOMAIN	Определяет имя домена, для которого был произведен последний успешный вход в систему
Default Password	Пароль	Нет	Определяет парольдля пользователя, указанного в Default UserName и используется при входе в систему по умолчанию
Default User Name	Имя пользователя	Имя последнего успешно вошедшего в систему пользователя	Если определены значения AutoAdminLogon и Default Password, то это имя используется для входа в систему по умолчанию
Dont Display LastUser Name	0/1	0	—
LegalNotice Caption	Строка заголовка	Нет	Определяет заголовок специального сообщения пользователю
Legal Notice Text	Строка текста сообщения	Нет	Определяет текст специального сообщения пользователю
Parse Autoexec	0/1	1	При установленном в 1 значении содержимое файла
—	—	—	AUTOEXEC.BAT анализируется при входе в Windows NT
Powerdown After Shutdown	0/1	0 для Windows NT Server, 1 для Windows NT Workstation	Если этот ключ установлен в 1, то пользователь может выбирать действия ShutDown и PowerOff из меню ShutDown и LogOff, иначе кнопка Power Off не появляется
255
Окончание табл. 5.1
Название	Значение	Значение по умолчанию	Содержание
Shutdown Without Logon	o/i	0 для Windows NT Server, 1 для Windows NT Workstation	Если это значение установлено в 1, то пользователь может выбирать ShutDown без PowerOff из диалогового окна Welcome. Иначе ShutDown без Power Off не появляется
Report BootOk	o/i	1	Если это значение установлено в 0, то отключается автоматическое принятие запуска (по умолчанию), которое производится после первого успешного входа в систему. Это значение должно быть равно 0, если используются альтернативные назначения в ключах BootVerification или BootVerificationProgram
Shell	Имена исполняемых приложений	taskman. progman, wowexec	Определяет исполняемые программы, которые должны быть выполнены как оболочки пользователя
System	Исполняемые имена	lsass.exe, spollss.exe	Определяет имена программ, которые должен выполнить процесс WinLogon в контексте системы
Taskman	Исполняемые имена	Нет	Позволяет определить имена программ, решающих различные административные задачи
User! nit	Исполняемые имена	userini, nddeagnt.exe	Определяет исполняемые программы, которые должен выполнить процесс WinLogon при входе пользователя в систему
для реализации надежной защиты необходимо поддержать работу ИПС драйвером уровня ядра, который контролирует операции с исполняемыми файлами.
5.4.4.	Обеспечение ИБ в ОС Linux и UNIX
В настоящее время операционная система UNIX (особенно ее модификации семейства Linux) широко используется в различ-
256
ных областях, в том числе в организациях, где безопасность процессов переработки информации стоит на одном из первых мест. Это связано с тем, что Linux относится к свободно распространяемым процедурам преобразования (ПП), поставляется с исходными текстами и в связи с этим может быть верифицирован (в части наличия или отсутствия некорректных программных конструкций) либо доработан для специфических условий применения. Следует отметить, что при разработке ОС UNIX более четверти века назад она не предназначалась для обеспечения ИБ. Это, конечно, не означает, что современные реализации этой операционной среды не обеспечивают полноценную реализацию механизмов безопасности.
Изначально разрабатываясь как открытая система, она не могла не унаследовать некоторых элементов открытости. В силу этого при конфигурации Linux существует определенный набор выявленных ситуаций, которые могут приводить к нарушению механизмов безопасности. Поэтому одним из самых важных моментов обеспечения безопасности UNIX является ее правильная конфигурация и настройка. Для того чтобы правильно настроить систему, администратор должен четко представлять все требования, которые должны быть описаны в априорно заданной стратегии безопасности (СБ).
В зарубежной литературе применительно к КС часто употребляется термин «надежная» (trusted) вместо «безопасная» (secure). Под надежной системой понимают систему, в которой априорно заданная СБ выполняется с некоторым количественно заданным (обычно вероятностным) показателем.
Средства защиты Linux включают в себя как базовые механизмы, так и расширения средств безопасности. При этом наряду с расширением возможностей защиты информации обеспечивается полная совместимость с существующими механизмами защиты ОС UNIX.
Защита целостности структур данных ядра однопроцессорной системы Linux обеспечивается двумя способами:
•	ядро не может выгрузить один процесс и переключиться на контекст другого, если работа производится в режиме ядра;
•	если при выполнении критического участка программы обработчик возникающих прерываний может повредить структуры данных ядра, то все возникающие прерывания маскируются.
В многопроцессорной системе, если два и более процесса выполняют одновременно критические интервалы в режиме ядра на разных процессорах, нарушение целостности ядра может произойти даже несмотря на принятие защитных мер, которых в однопроцессорной системе было бы вполне достаточно.
Ядро обязано удостовериться в том, что нарушение критических интервалов не сможет произойти. Если вопрос об опасности
257
возникновения нарушения целостности оставить открытым (как бы редко подобные нарушения ни случались), то ядро утратит свою неуязвимость и его поведение станет непредсказуемым. Избежать этого можно тремя способами:
1)	исполнять все критические интервалы на одном процессоре, опираясь на стандартные методы сохранения целостности данных в однопроцессорной системе;
2)	регламентировать доступ к критическим интервалам, расширяя механизмы блокирования ресурсов;
3)	устранить конкуренцию за использование критических ресурсов путем соответствующей переделки алгоритмов.
Из этого примера следует необходимость глубокого понимания взаимосвязей, существующих в системе, и, самое главное, всех последствий вносимых изменений.
Основное решение, принимаемое на начальном этапе установки системы, — это число администраторов, которые будут сопровождать систему. Существуют два принципиально разных решения — иметь одного суперпользователя root с неограниченными правами или несколько пользователей с распределенными административными обязанностями.
В надежной системе административные задачи распадаются на несколько логических ролей. Каждая роль ответственна за сопровождение одного аспекта системы. Идея о специфических административных ролях и соответствующих им задачах и обязанностях является основной для построения надежной защиты в UNIX-системе. В UNIX любая логическая роль может быть назначена одному и тому же пользователю или различным членам некоторой административной группы пользователей. С каждой расширенной ролью связана своя авторизация. Эта связь позволяет администратору вести полную регистрацию административных действий.
Существуют, например, следующие администраторы:
1)	администратор системных утилит (System daemons);
2)	администратор системных команд (Owner of system command);
3)	администратор системных файлов (Owner of system files);
4)	администратор учета пользователей и терминалов (System accounting);
5)	администратор службы UUCP (UUCP administrator);
6)	администратор службы аутентификации (Authentication administrator);
7)	администратор системы cron (Cron daemon);
8)	администратор почты (Mmdf or Sendmail administrator);
9)	администратор сети, организованной через порты (Micnet administrator);
10)	администратор печати (Printer administrator);
11)	администратор аудита (Audit administrator).
258
При введении дополнительных компонент системы (СУБД, различных видов сервиса и т.д.) в системе появляются соответствующие администраторы.
Все администраторы вместе выполняют функции суперпользователя. Такая схема позволяет четко разделить обязанности и ответственность между людьми, которые администрируют и поддерживают работу системы.
Рассмотрим стандартную процедуру идентификации и аутентификации пользователя. Система ищет имя пользователя в файле /etc/passwd, и, если пользователь идентифицируется (т. е. его имя найдено), аутентификация заключается в сравнении образа аутентификации от введенного пароля с эталоном. При этом предусмотрены некоторые правила, касающиеся характеристик пароля и возможности его изменения. Но, как показала практика, этих правил недостаточно для реализации надежной защиты.
В надежной системе стандартная процедура идентификации и аутентификации расширена. В ней предусмотрено больше правил, касающихся типов используемых паролей. Введены процедуры генерации и изменения паролей. Изменены местоположение и механизм защиты некоторых частей базы данных паролей. Администратору аутентификации представлены дополнительные возможности для контроля за действиями пользователей.
Для усиления качественных и количественным характеристик процедур идентификации и аутентификации в UNIX (в частности, в Linux) существуют следующие средства правил выбора безопасных паролей.
1.	Задание администратором учета пользователей и терминалов определенных требований на пароли:
•	ограничение минимальной длины вводимого пользователем пароля;
•	требование наличия в пароле обязательного минимального числа букв нижнего регистра, букв верхнего регистра, цифр и специальных символов;
•	запрещение пользователю вводить собственные пароли; разрешение вводить только пароли, созданные системой.
2.	Задание администратором временных ограничений по частоте сменяемости и времени жизни паролей. При этом для удобства пользователя возможно задание интервала между началом требования смены пароля и окончанием срока его действия.
3.	Автоматическое блокирование пользователя на входе в систему по старости пароля, по числу неуспешных попыток входа.
4.	Задание числа и номеров терминалов для входа в систему для каждого пользователя.
5.	Проверка системой паролей пользователей при вводе на их семантические и контекстуальные особенности (вхождение идентификатора, имени пользователя, повторяемость символов и т.д.).
259
6.	Хранение зашифрованных паролей не в /etc/passwd, как в старых версиях, а в закрытом от доступа отдельном файле.
7.	Получение статистической информации по времени работы пользователя в системе, его блокировке, номеру терминала и т.д.
8.	При установке класса защиты С2 (см. далее) невозможность администратором регистрации пользователя без пароля (guest).
Помимо этого существует возможность блокирования по числу неуспешных попыток входа не только пользователя, но и терминала. При этом можно задать интервал времени, который должен пройти между попытками регистрации. Также предусмотрено ведение записей об успешных и неуспешных попытках входа в систему.
Хорошо себя зарекомендовало использование командного интерпретатора rsh (restricted). Во-первых, пользователь не может никуда перейти из своего домашнего справочника. Во-вторых, он может использовать только команды из тех справочников, которые определены в переменной окружения PATH. При этом изменить значение переменной окружения PATH пользователь не может. В-третьих, пользователь не может задавать полные имена программных файлов и перенаправлять потоки ввода-вывода.
Практически можно создать изолированную среду пользователя путем введения в его стартовый командный файл (.profile) определенной команды (системы, приложения), которая будет вызываться через команду ехес. В этой ситуации при добавлении в стартовый командный файл команд trap и exit пользователь сможет работать только с заданной ему командой (программой).
Очевидно, что успешно реализовать парольную защиту можно только с соблюдением организационных мер. При этом реальной угрозой преодоления парольной защиты ОС является оставление без присмотра терминала, на котором пользователь уже прошел процедуры ИА (зарегистрировался). В этом случае необходимо использовать команды блокирования терминала (lock, xlock). Существуют средства автоматического блокирования терминала по истечении определенного периода времени. Такие средства встроены в некоторые командные интерпретаторы или графические оболочки. Однако использование этих средств необходимо соотносить с угрозой внедрения программы, имитирующей блокирование экрана и считывающей пароль пользователя. В системе обязательно должен быть определен список терминалов, с которых не могут входить администраторы.
Парольная защита также применяется для того, чтобы обезопасить удаленный вход пользователей по каналам связи, подключаемых к последовательным портам. В этом случае возможна установка отдельного пароля на каждое используемое для удаленного входа устройство (специальный файл). При вводе неправильного пароля с удаленной системы работа с системой становится невозможной.
260
На сегодняшний день во всех коммерческих версиях образцы для аутентификации не хранятся в файле /etc/passwd.
Наибольшее внимание в вопросах защиты ОС должно быть уделено защите файловой системы. Под защитой файловой системы понимают реализацию СБ для субъектов — процессов и объектов — файлов.
Файловая система в Linux имеет древовидную структуру. Блок прямого доступа подразделяется на несколько областей:
1)	начальный загрузчик;
2)	суперблок;
3)	область индексных дескрипторов;
4)	область файлов;
5)	область, не используемая для файловой системы (например, область для выгрузки процессов).
Суперблок состоит из следующих полей:
•	размер файловой системы;
•	число свободных блоков в файловой системе;
•	заголовок списка свободных блоков, имеющихся в файловой системе;
•	номер следующего элемента в списке свободных блоков;
•	размер области индексов;
•	число свободных индексов в файловой системе;
•	список свободных индексов в файловой системе;
•	следующий свободный индекс в списке свободных индексов;
•	заблокированные поля для списка свободных блоков и свободных индексов;
•	флаг, показывающий, что в суперблок были внесены изменения.
При монтировании файловой системы суперблок записывается в оперативную память и переписывается обратно при размонти-ровании. Для того чтобы обеспечивалась согласованность с данными, хранящимися в файловой системе, ядро периодически (через 30 с) переписывает суперблок на диск (системный вызов sync, запускаемый из процесса update).
Каждый файл в системе имеет уникальный индекс. Индекс — это управляющий блок. В литературе он также называется индексным дескриптором, i-node, или i-узлом. Индекс содержит информацию, необходимую любому процессу для того, чтобы обратиться к файлу, например права собственности на файл, права доступа к файлу, размер файла и расположение данных файла в файловой системе. Процессы обращаются к файлам, используя четко определенный набор системных вызовов и идентифицируя файл строкой символов, выступающих в качестве составного имени файла. Каждое составное имя однозначно определяет файл, благодаря чему ядро системы преобразует это имя в индекс файла.
261
Индексы существуют на диске в статической форме, и ядро считывает их в память прежде, чем начинает с ними работать. Индексы включают в себя следующие поля.
1.	Идентификатор владельца файла и идентификатор группы.
2.	Тип файла. Файл может быть файлом обычного типа, каталогом, специальным файлом (соответствующими устройствам ввода-вывода символами или блоками, а также абстрактным файлом канала, организующим обслуживание запросов в порядке поступления: «первым пришел — первым вышел»).
3.	Права доступа к файлу. Права доступа к файлу разделены между индивидуальным владельцем, группой пользователей, в которую входит владелец файла, и всеми остальными. Суперпользователь (пользователь с именем root) имеет право доступа ко всем файлам в системе. Каждому классу пользователей выделены определенные права на чтение, запись и выполнение файла, которые устанавливаются индивидуально. Поскольку каталоги как файлы не могут быть исполнены, разрешение на исполнение в данном случае интерпретируется как право производить поиск в каталоге по имени файла, а право записи — как право создавать и уничтожать в нем файлы.
4.	Временные сведения, характеризующие работу с файлом: время внесения последних изменений в файл, время последнего обращения к файлу, время внесения последних изменений в индекс.
5.	Число указателей на индекс, означающее число имен файлов, ссылающихся на данный файл.
6.	Таблица адресов дисковых блоков, в которых располагается информация файла. Хотя пользователи трактуют информацию в файле как логический поток байтов, ядро располагает эти данные в несмежных дисковых блоках.
7.	Размер файла в байтах.
Обратим внимание на то, что в индексе отсутствует составное имя файла, необходимое для осуществления доступа к файлу.
Содержимое файла меняется только тогда, когда в файл производится запись. Содержимое индекса меняется как при изменении содержимого файла, так и при изменении владельца файла, прав доступа и т.д. Изменение содержимого файла автоматически вызывает коррекцию индекса, однако коррекция индекса еще не означает изменения содержимого файла.
При открытии файла индекс копируется в память и записывается обратно на диск, когда последний процесс, использующий этот файл, закроет его. Копия индекса в памяти, кроме полей дискового индекса, включает в себя следующие поля.
1.	Состояние индекса в памяти, отражающее:
•	заблокирован ли индекс;
•	ждет ли снятия блокировки с индекса какой-либо процесс;
262
•	отличается ли представление индекса в памяти от своей дисковой копии в результате изменения содержимого индекса;
•	отличается ли представление индекса в памяти от своей дисковой копии в результате изменения содержимого файла;
•	находится ли указатель файла в начале.
2.	Логический номер устройства файловой системы, содержащей файл.
3.	Номер индекса. Так как индексы надиске хранятся в линейном массиве, ядро идентифицирует номер дискового индекса по его местоположению в массиве. В дисковом индексе это поле не нужно.
4.	Указатели на другие индексы в памяти.
5.	Счетчик ссылок, означающий число активных экземпляров файла (таких, которые открыты).
Многие поля в копии индекса, с которой ядро работает в памяти, аналогичны полям в заголовке буфера, и управление индексами похоже на управление буферами. Индекс также блокируется, в результате чего другим процессам запрещается работать с ним. Эти процессы устанавливают в индексе специальный флаг, информирующий о том, что выполнение обратившихся к индексу процессов следует возобновить, как только блокировка будет снята. Установкой других флагов ядро отмечает расхождение между дисковым индексом и его копией в памяти. Когда ядру нужно будет записать изменения в файл или индекс, ядро перепишет копию индекса из памяти на диск только после проверки этих флагов.
Каталоги (справочники) являются файлами, из которых строится иерархическая структура файловой системы. Они играют важную роль в превращении имени файла в номер индекса. Каталог — это файл, содержимым которого является набор записей, состоящих из номера индекса и имени файла,’ включенного в каталог. Составное имя — это строка символов, завершающаяся пустым символом и разделяемая наклонной чертой («/») на несколько компонент. Каждая компонента, кроме последней, должна быть именем каталога, но последняя компонента может быть именем файла, не являющегося каталогом. Имя корневого каталога — «/». В ОС UNIX длина каждой компоненты определяется 14 символами. Таким образом, вместе с двумя байтами, отводимыми на номер индекса, размер записи каталога составляет 16 байт.
Традиционно в файловых системах ОС UNIX за доступ ко всем типам файлов (файлы, справочники и специальные файлы) отвечают девять бит, которые хранятся в i-узле.
Первая группа из трех бит определяет права доступа к файлу для его владельца, вторая — для членов группы владельца, третья — для всех остальных пользователей.
Например, права доступа «rwxr-xr--» к файлу означают, что владелец файла имеет полный доступ, члены группы имеют воз
263
можность чтения и выполнения, все остальные имеют возможность только читать данный файл. Для справочника установка бита выполнения «х» означает возможность поиска (извлечения) файлов из этого справочника.
Такая система защиты файлов существует достаточно давно и не вызывает существенных нареканий. Действительно, для того чтобы вручную, т. е. не используя системные вызовы и команды, изменить права доступа к файлу, необходимо иметь доступ к области i-узлов. Для того чтобы иметь доступ к области i-узлов, необходимо изменить права доступа специального файла (например, /dev/root), биты доступа которого также хранятся в области i-узлов.
Иными словами, если случайно или умышленно не испортить права доступа ко всем файлам системы, установленные по умолчанию (обычно правильно) при инсталляции, то можно с большой степенью вероятности гарантировать безопасность работы системы (в смысле выполнения ПБ).
По принципам построения ОС UNIX необходим еще четвертый бит, определяющий права на выполнение исполняемого файла.
Четвертый бит в самом общем случае интерпретируется как возможность смены идентификатора пользователя. Его смысловая нагрузка меняется в зависимости от того, в какой группе бит доступа он установлен.
Если четвертый бит установлен в группе бит прав доступа владельца (setuid), то данная программа выполняется для любого пользователя с правами владельца этого файла.
В любой UNIX-системе таких команд достаточно много. Приведем тривиальный пример использования незарегистрированного файла с установленным битом setuid.
1.	Один раз, узнав пароль какого-либо пользователя, злоумышленник создает копию командного интерпретатора в своем домашнем справочнике или еще где-нибудь, чтобы его не узнали, например в глубоком дереве в /usr/tmp (заметим, что рекурсивная работа с деревом весьма ограничена по глубине и составляет величину порядка 15).
2.	Делает владельцем файла другого пользователя и его правами устанавливает бит setuid.
3.	До тех пор пока данный файл не будет уничтожен, злоумышленник будет пользоваться правами другого пользователя.
Очевидно, что если в этом примере злоумышленник случайно один раз узнает пароль суперпользователя, то он будет обладать полностью его правами.
Поэтому необходимо регулярно проверять все файловые системы на наличие незарегистрированных файлов с установленным битом setuid.
264
Если четвертый бит установлен в группе бит прав доступа членов группы (setgid), то данная программа выполняется для любого пользователя с правами членов группы этого файла.
Использование бита setgid в UNIX-системах встречается гораздо реже, чем бита setuid, однако все сказанное относительно возможных угроз при установке бита setuid справедливо для бита setgid.
Если бит setgid установлен для справочника, то это означает, что для всех файлов, создаваемых пользователем в этом справочнике, групповой идентификатор будет установлен таким же, как у справочника.
Если четвертый бит установлен в группе бит прав доступа всех остальных пользователей (sticky), то это дает указание операционной системе делать специальный текстовый образ выполняемого файла. На сегодняшний день для выполняемого файла sticky бит обычно не используется. Он используется только для справочников. Его установка для справочника означает, что пользователи не имеют права удалять или переименовать файлы других пользователей в этом справочнике.
Это необходимо прежде всего для справочников /tmp и /usr/ tmp, чтобы один пользователь случайно или специально не смог повредить процессу работы другого пользователя. Самой распространенной ошибкой администратора является установка в переменную окружения PATH значения текущего справочника. Это делается для удобства, чтобы не набирать перед каждой командой текущего справочника символы «./». Хуже всего, если это значение установлено в начале (например: PATH=.:/bin:/usr/bin:/etc). В этом случае достаточно злоумышленнику поместить в справочник /tmp или /usr/tmp собственные образы наиболее распространенных команд (Is, ps и т.п.) и последствия набора безобидной последовательности команд (например, cd /tmp; Is) будут трудно предсказуемы. Обычно по умолчанию в переменной окружения PATH текущий справочник не установлен. Плохо для системы могут также закончиться попытки запуска неизвестных пользовательских программ из их домашних или общих справочников.
Sticky бит для справочника может установить только администратор. Очевидно, что он может и удалить файлы любого пользователя в этом справочнике. Для повышения надежности функционирования системы следует установить sticky биты для всех общих справочников.
Важной особенностью реализации системы защиты информации является очистка битов setuid, setgid и sticky для файлов, в которые производится запись. При этом очистка битов делается даже для файлов, принадлежащих тому же пользователю. Очистка перечисленных битов для справочников не производится.
Некоторые UNIX-системы (например, Solaris) предоставляют дополнительные возможности по управлению правами доступа к
265
файлам путем использования списков управления доступом (Access Control List). Данный механизм позволяет для каждого пользователя или для отдельной группы установить индивидуальные права доступа к заданному файлу. При этом списки доступа сохраняются всеми системными средствами копирования и архивирования. Нельзя сказать, что введение этого механизма принципиально улучшает защиту файлов, но он вносит некоторую гибкость в процедуру формирования прав доступа к файлам.
Рассмотрим значение системной переменной umask. С ее помощью устанавливаются по умолчанию права доступа к файлу при его создании. Значение переменной umask устанавливает, какие биты будут маскироваться.
Если значение переменной umask по каким-либо причинам будет изменено, то это может привести к непредсказуемым последствиям. В силу этого каждому пользователю необходимо явным образом прописать значение переменной umask в стартовом файле (.profile, или .cshrc, или т.п.).
Необходимо правильно установить права доступа к специальным файлам. При этом нужно помнить, что для одного и того же физического устройства могут существовать несколько специальных файлов в зависимости от способа доступа (например, /dev/ root и /dev/rroot).
Следует обратить внимание на обеспечение режима защиты информации при импортировании данных из других систем. В самом общем случае архивные программы сбрасывают режимы файлов, которые могут повлиять на безопасность системы. Тем не менее число версий архивных программ и их реализации в различных UNIX-системах весьма значительно. Например, некоторые версии команды tar поддерживают опции, при которых не изменяется принадлежность файла владельцу и группе. Некоторые UNIX-системы позволяют копировать специальные файлы с помощью команды tar. С особым вниманием следует пользоваться командой cpio, поскольку с ее помощью можно сделать копию файлов с полным сохранением всех битов (setuid, setgid и sticky) и принадлежности владельцам и группе.
При монтировании файловых систем, созданных или обрабатывавшихся на других системах, могут возникнуть те же проблемы, что и для импортированных файлов. Для файловых систем имеются еще и дополнительные проблемы.
Первая проблема — файловая система, перенесенная с другой системы, может быть испорчена. Логические ошибки в файловой системе могут быть исправлены командой fsck перед монтированием. Гораздо хуже UNIX относится к физическим сбоям на дисках. В обоих случаях монтирование дефектной файловой системы может привести систему к фатальному сбою, вызвать дальнейшее повреждение данных в импортированной файловой си
266
стеме или повреждение других файловых систем из-за побочных эффектов.
Известно, что стоимость восстановления системы выше стоимости ее сопровождения.
Вторая проблема с импортированными файловыми системами может возникнуть из-за установленных разрешений файлов и справочников, которые могут быть недопустимы для вашей системы. В этом случае для выявления установок различных битов (setuid, setgid, sticky) можно воспользоваться соответствующей командой (например, ncheck). Для поиска неправильных установок для файлов владельцев и групп в импортированной файловой системе можно предложить только ручной просмотр.
В соответствии с требованиями по классу защиты ОС должна изолировать защищаемые ресурсы в той мере, в какой это диктуется требованиями контроля и подотчетности.
Целостность системы должна контролироваться ОС. В ОС UNIX контроль целостности системы производится рядом команд. Приведем без описания основной перечень команд для контроля и поддержки целостности системы: integrity, authck, fixmog, cps, tcbck, smmck, authckre, fsck.
Практика показывает, что данный набор команд является достаточно полным для контроля и восстановления целостности системы.
Стандартная последовательность действий после возникновения сбоя в системе или каких-либо других отклонений следующая:
1)	выполнение проверки файловой системы;
2)	составление контрольного отчета;
3)	проверка базы данных аутентификации;
4)	проверка разрешений для системных файлов.
Системные средства восстановления целостности системы работают до определенного предела. Был проведен следующий эксперимент:
1) всем файлам системы был назначен владелец root;
2) у всех файлов системы были установлены права доступа со значением по умолчанию системной переменной unmask.
В результате этих действий системными средствами не удалось восстановить нормальные права доступа и владельцев файлов.
Такой эксперимент имеет под собой весьма жизненную основу, например при размножении системы на другие компьютеры по сети. Поэтому единственным способом дублирования системы на другие компьютеры следует считать использование команды cpio.
Права доступа и владельцы некоторых файлов по умолчанию не соответствуют базе данных контроля целостности системы. Авторами не исследовались вопросы влияния этих несоответствий на безопасность и целостность работы системы.
267
Будем считать, что действие контролируется, если можно вычислить реального пользователя, который его осуществил. Концептуально при построении ОС UNIX некоторые действия нельзя контролировать на уровне действий реального пользователя. Например, пользовательские бюджеты, такие как Ip, cron или uucp, используются анонимно и их действия можно обнаружить только по изменениям в системной информации.
Система контроля регистрирует события в системе, связанные с защитой информации, записывая их в контрольный журнал. В контрольных журналах возможна фиксация проникновения в систему и неправильного использования ресурсов. Контроль позволяет просматривать собранные данные для изучения видов доступа к объектам и наблюдения за действиями отдельных пользователей и их процессов. Попытки нарушения защиты и механизмов авторизации контролируются. Использование системы контроля дает высокую степень гарантии обнаружения попыток обойти механизмы обеспечения безопасности. Поскольку события, связанные с защитой информации, контролируются и учитываются вплоть до выявления конкретного пользователя, система контроля служит сдерживающим средством для пользователей, пытающихся некорректно использовать систему.
В соответствии с требованиями к надежным системам ОС должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым ОС. При этом должна быть возможность регистрации следующих событий:
•	использование механизма ИА;
•	внесение объектов в адресное пространство пользователя (например, открытие файла);
•	удаление объектов;
•	действий администраторов и других событий, затрагивающих ИБ.
Каждая регистрационная запись должна включать в себя следующие поля.
1.	Дата и время события.
2.	Идентификатор пользователя.
3.	Тип события.
4.	Результат действия.
Для событий ИА регистрируется также идентификатор устройства. Для действий с объектами регистрируются имена объектов. Поддерживаемые типы событий и их содержание при ИА представлены в табл. 5.2.
Система контроля использует системные вызовы и утилиты для классификации действий пользователей, подразделяя их на события различного типа. Например, при возникновении события типа «DAC Denials» (отказ доступа при реализации механизма изби-
268
Таблица 5.2
Поддерживаемые типы событий и их содержание при ИА
№ п/п	Тип	Содержание
1	Startup / Shutdown	Старт (загрузка) / выгрузка системы
2	Login / Logout	Успешный вход и выход из системы
3	Process Create / Delete	Создание / уничтожение процесса
4	Make Object Available	Сделать объект доступным (открыть файл, открыть сообщения, открыть семафор, монтировать файловую систему и т.д.)
5	Map Object to Subject	Отобразить объект в субъект (выполнение программы)
6	Object Modification	Модификация объекта (запись в файл и т.д.)
7	Make Object Unavailable	Сделать объект недоступным (закрыть файл, закрыть сообщение, закрыть семафор, размонтировать файловую систему и т.д.)
8	Object Creation	Создание объекта (создание файла/сообщения/семафора и т.д.)
9	Object Deletion	Удаление объекта (удаление файла/сообщения/семафора и т.д.)
10	DAC Changes	Изменение разграничения доступа (изменение доступа к файлу, сообщению, семафору, изменение владельца и т.д.)
11	DAC Denials	Отказ доступа (отсутствие прав доступа к какому-либо объекту)
12	Admin / Operator Actions	Действия (команды) системных администраторов и операторов
13	Insufficient Authorization	Процессы, которые пытаются превысить свои полномочия
14	Resource Denials	Отказы в ресурсах (отсутствие необходимых файлов, превышение размеров памяти и т.д.)
15	I PC Functions	Посылка сигналов и сообщений процессам
16	Process Modifications	Модификации процесса (изменение эффективного идентификатора процесса, текущего справочника процесса и т.д.)
17	Audit Subsystem Events	События системы контроля (разрешение/запрещение системного контроля и модификация событий контроля)
18	Database Events	События базы данных (изменение данных безопасности системы и их целостности)
269
Окончание табл. 5.2
№ п/п	Тип	Содержание
19	Subsystem Events	События подсистемы (использование защищенных подсистем)
20	Use of Authorization	Использование привилегий (контроль действий с использованием различных привилегий)
рательного разграничения доступа) регистрируются попытки такого использования объекта, которые не допускаются разрешениями для этого объекта. Иными словами, если пользовательский процесс пытается писать в файл с доступом «Только для чтения», то возникает событие типа «DAC Denials». Если просмотреть контрольный журнал, то можно увидеть повторяющиеся попытки доступа к файлам, на которые не получены разрешения.
Существенно повышает эффективность контроля наличие регистрационного идентификатора пользователя (LUID). После прохождения пользователем процедур идентификации и аутентификации, т.е. непосредственного входа в систему, каждому процессу, создаваемому пользователем, присваивается регистрационный идентификатор пользователя. Данный идентификатор сохраняется несмотря на переходы от одного пользовательского бюджета к другому с помощью команд типа su. Каждая контрольная запись, генерируемая системой контроля, содержит для каждого процесса регистрационный идентификатор наряду с эффективным и реальным идентификаторами пользователя и группы. Таким образом, оказывается возможным учет действий пользователя.
Рассмотрим реализацию механизма контроля для ядра. Данный механизм генерирует контрольные записи исходя из деятельности пользовательских процессов с помощью системных вызовов ядра. Каждый системный вызов ядра содержит строку в таблице, где указывается его связь с вопросами защиты информации и какому типу события он соответствует. Кроме того, используется таблица кодов ошибок, позволяющая классифицировать системные вызовы на конкретные события, связанные с защитой информации.
Например, системный вызов open классифицируется как событие «Сделать объект доступным». Если пользователь выполняет системный вызов open для файла /unix и данной системный вызов завершается успешно, то генерируется контрольная запись об этом событии. Однако если системный вызов open заканчивается неудачно в силу того, что пользователь запросил в системном вызове доступ на запись файла /unix, не имея разрешения, то это действие классифицируется как событие «Отказ доступа» для дан
270
ного пользователя и объекта /unix. Следовательно, системный вызов можно отобразить в несколько типов событий в зависимости от объекта, к которому осуществляется доступ, и (или) результата вызова.
Однако следует иметь в виду, что при включении всех событий контроля и активной работе пользователей объем записываемой информации может достигать нескольких мегабайт на одного пользователя в час.
При построении защиты процессов переработки информации на уровне сети существуют свои особенности. Во-первых, в силу возможности перехвата пакетов и передачи отдельными видами сервисов паролей в открытом виде существует необходимость дополнительной аутентификации пользователей. Во-вторых, возникает необходимость аутентификации удаленных машин. В-третьих, необходимы дополнительные средства контроля (auditing) за событиями, которые возникают при работе на сетевом уровне.
Необходимо констатировать, что на сетевом уровне Linux не обладает столь мощными стандартными средствами защиты, как на системном. Поэтому, учитывая условия неоднородности сетевого окружения как на физическом, так и на системном уровнях, для успешной защиты UNIX-систем при работе в сети, как правило, требуются дополнительные средства защиты.
Данный раздел посвящен описанию стандартных средств и методов, с помощью которых можно повысить безопасность UNIX-систем при работе в сети и реализации различных функций: использования протоколов TCP/IP, сетевой файловой системы NFS, FTP и т.д.
Основным недостатком семейства протоколов TCP/IP с точки зрения защиты информации является открытость информации, передаваемой по сети, т.е. сетевого графика.
Анализ сетевого графика достигается путем перехвата и анализа пакетов обмена на канальном уровне. Это позволяет, во-первых, проанализировать работу ОС по сети; во-вторых, производить несанкционированный доступ к информации, передаваемой по сети.
Например, анализ сетевого графика позволяет получить пароли пользователей при их работе с FTP или telnet. При этом telnet пересылает пароль по одному символу в пакете, a FTP — в одном пакете целый пароль.
Недостатки, связанные с перехватом паролей по сети при удаленном доступе, в настоящее время вполне успешно решаются. Почти все производители UNIX-систем переработали серверные (иногда и клиентские) программы удаленного доступа. Принцип доработки заключается в том, что на каждый сеанс связи устанавливается разовый пароль. Различных реализаций этой идеи в настоящий момент достаточно много.
271
Однако, закрыв или обезопасив тем или иным способом перехват паролей, единственной возможностью избавиться от перехвата всей остальной информации, передаваемой по сети, является шифрование трафика.
Приведем еще несколько известных недостатков в реализации защиты семейства протоколов TCP/IP.
Общеизвестно, что проблема назначения IP-адресов весьма серьезна. Если установить систему автоматического назначения IP-адресов, то появится большое количество сложностей при функционировании различных видов сервиса, связанных с IP-адресом (например, NFS). Кроме того, упростятся попытки создания ложных серверов и рабочих станций. Если назначать IP-адреса вручную, что более предпочтительно при построении защищенных систем, то возможны ошибки администрирования. При этом, как показали исследования, готовых средств выявления машин с одинаковыми или неправильными IP-адресами не существует, а функционирование машин с одинаковыми IP-адресами в сети непредсказуемо. Особенно данный факт будет критичен при построении на платформе Linux средств фильтрации или шифрования сетевого графика (межсетевых экранов).
Общепринятым даже в локальных IP-сетях является создание DNS (Domain Name System)-cepBepoB. Это упрощает решение проблемы назначения IP-адресов и избавляет пользователей локальных станций от утомительного занятия записывания имен станций и соответствующих им IP-адресов в файле hosts. Кроме того, пользователь локальной станции не знает и не может знать все IP-адреса. Нормальное функционирование нескольких локальных сетей, а тем более глобальных, невозможно без DNS-сервера.
Однако, как только возникает какое-либо соединение между рабочей станцией и сервером, необходима реализация идентификации и аутентификации этой связи. В случае реализации DNS-сервера, видимо, считалось, что для обеспечения защиты его функционирования достаточно средств протоколов семейства IP.
Идея реализации ложного DNS-сервера достаточно проста — прослушивание по сети DNS запроса и формирование ложного DNS-ответа. При этом вместо искомого IP-адреса в ответе на запрос подставляется адрес ложного IP-сервера. Реализация этой идеи реальна по двум причинам.
Во-первых, в силу существования определенной иерархии DNS-серверов (для больших сетей она может быть весьма большой и неизвестной) время выполнения DNS-заПроса может существенно превышать время обработки прослушанного запроса и посылки ответа ложным DNS-сервером;
Во-вторых, если первичный DNS-сервер не нашел искомого имени у себя, то он пересылает DNS-запрос следующему DNS-серверу, и т.д.
272
Для адресации в Ethernet-сети используется протокол ARP, который позволяет установить взаимно-однозначное соответствие IP- и Ethernet-адресов.
Идея подмены маршрутизатора основана на свойствах реализации протокола ARP. Любая рабочая станция, подключаясь к сети, рассылает широковещательный ARP-запрос для получения Ethernet-адресов. Прослушивая сеть, ложный маршрутизатор выдает в сеть ARP ответ, в котором указывает свой Ethernet-адрес. Известно, что можно написать соответствующие программы для сетевой карты для установки любого Ethernet-адреса.
Реализация этой подмены возможна в силу того, что все станции, получившие ARP-запрос, сначала заносят Ethernet-адрес рабочей станции в свои ARP-таблицы, а затем посылают ответ.
В рамках межсетевого общения в UNIX-сетях применяют методологию доверительных отношений.
Доверительные отношения представляют собой одно из самых удобных средств межсетевого общения в UNIX-сетях. Вместе с тем установление доверительных отношений в UNIX-сетях приводит к полной их открытости.
Существует два способа установления доверительных отношений в UNIX-сетях.
Первый способ — через создание файла /etc/hosts.equiv.
В файле /etc/hosts.equiv прописываются имена компьютеров, пользователи которых могут входить на данную машину без ввода пароля при эквивалентности имен. Это удобно для пользователей как при регистрации на других UNIX-машинах в сети, так и при удаленном выполнении команд (rlogin, rsh и т.д.).
Тем не менее это является большой брешью в защите UNIX-систем, так как не составляет особого труда подменить доверенную машину, сформировав ложной машине соответствующие имя и IP-адрес. При круглосуточной работе сети это возможно при сбоях или отключении от сети доверенной машины. В противном случае доверенной машиной станет та, которая будет подключена первой.
Второй способ — создание каждым пользователем в своем домашнем справочнике файла .rhosts. В этом файле пользователь может прописать имена доверенных машин, с которых он может входить на данную машину или выполнять удаленные команды без ввода пароля. Угрозы безопасности от создания файлов .rhosts аналогичны с той лишь разницей, что количество файлов .rhosts может быть весьма значительным и трудно будет проконтролировать их содержимое.
Особое положение занимает технология работы UNIX с сетевой файловой системой.
Сетевая файловая система (NFS — Network File System) предназначена для «прозрачного» доступа пользователей к файловым системам UNIX-машин по сети.
273
Эта удобная возможность имеет несколько недостатков с точки зрения безопасности.
Администратор может сделать доступными ваши файлы, не спрашивая вас.
Рассмотрим некоторые аспекты обеспечения безопасности при использовании NFS.
Файл /etc/exportfs является одним из основных файлов в конфигурации NFS. В этом файле описываются экспортируемые (доступные) по сети каталоги. Для каждого имени каталога могут быть указаны дополнительные ограничения на доступ:
1)	имена машин (< 10), с которых может осуществляться доступ;
2)	флаг только чтения;
3)	специальное ключевое слово «root», которое позволяет с указанных после него имен машин осуществлять доступ к экспортируемому справочнику суперпользователю.
Дело в том, что для NFS суперпользователь является последним по правам доступа среди всех пользователей. Это, видимо, связано с попыткой ограничения работы суперпользователей в сети.
Существенным недостатком NFS с точки зрения безопасности является возможность администратора предоставить доступ по сети к любому справочнику файловой системы независимо от его владельца.
Если хоть один справочник смонтирован на запись, то это в любой момент может привести к неконтролируемому переполнению файловой системы. Это может закончиться плачевно для системы, так как в руководстве по любой ОС UNIX не рекомендуется заполнять файловую систему больше чем на 90...95 %. Данное требование вполне объяснимо, учитывая такие особенности построения UNIX-систем, как широкое использование потоков, программных каналов, именованных программных каналов, под которые требуются временные и специальные файлы в рабочих справочниках.
И, наконец, никем не контролируемое чтение экспортированных справочников любым пользователем сети не может рассматриваться как положительное явление при построении безопасных систем. По крайней мере, одна из систем анализа безопасности Satan считает, что экспортирование хоть одного справочника даже на чтение является «дыркой».
Интерес также представляют технические роботы UNIX с протоколами передачи файлов.
Протокол передачи файлов (FTP — File Transfer Protocol) позволяет пользователям обмениваться файлами с помощью сети со скоростью, существенно превышающей NFS. Современные оболочки для FTP обеспечивают пользователям возможность удобного интерфейса доступа к файловой системе удаленной машины
274
с независимым корнем, т.е. файловая система удаленной машины представлена отдельным деревом.
К сожалению, старые версии FTP имели большое количество ошибок, которые позволяли злоумышленникам легко проникать в систему. На сегодняшний день известные ошибки устранены, однако есть некоторые угрозы безопасности при конфигурировании данного сервиса.
Одной из наиболее полезных особенностей FTP является анонимный вход (login). Этот специальный вход позволяет незарегистрированным пользователям получать доступ к файлам. Особенно актуальной эта возможность становится для глобальных сетей.
Существует строго определенная последовательность действий для реализации безопасного анонимного FTP.
1.	Создать пользователя с именем ftp; указать ему любой пароль (при этом любой удаленный пользователь может использовать анонимный FTP путем ввода пользователя с именем ftp и в качестве пароля последовательность символов, похожую на e-mail адрес). Например, пароль может быть: qwe@ или qwe@HMH_ машины.имя_домена. Интересно, что пароль йр@ не воспринимается как правильный.
В качестве домашнего справочника обычно делают /usr/ftp или /usr/spool/ftp.
2.	Сделать, чтобы домашний справочник принадлежал пользователю с именем ftp с доступом без записи:
% chown ftp - ftp
% chmod 555 ~ ftp
3.	Сделать справочник ~ ftp/bin принадлежащим суперпользователю с доступом без записи. Разместить копию программы 1s в этом справочнике:
% mkdir - ftp/bin
% chown root ~ ftp/bin
% chmod 555 ~ ftp/bin
% cp/bin/ls ~ ftp/bin
% chmod 111 - ftp/bin/ls
4.	Сделать справочник - ftp/etc, принадлежащий суперпользователю, с доступом без записи. Переписать файлы паролей и групп, удалив из них всех пользователей, кроме пользователя с именем ftp. Удаление всех пользователей из файлов - ftp/etc/passwd и - ftp/etc/group необходимо для того, чтобы анонимный пользователь не знал имен пользователей, зарегистрированных в системе. Однако если в справочник - ftp/pub кроме пользователя с именем ftp будут писать свои файлы другие пользователи, то при
275
работе с командой 1s вместо имен пользователей и имен групп будут выдаваться числовые идентификаторы, что не очень удобно.
% mkdir - ftp/etc
% chown root ~ ftp/etc
% chmod 555 ~ ftp/etc
% cp/etc/passwd/etc/group - ftp/etc
% chmod 444 - ftp/etc/passwd - ftp/etc/group
5.	Сделать справочник ~ ftp/pub, принадлежащий пользователю с именем ftp, с полными правами на доступ всех пользователей. Пользователи смогут тогда разместить файлы, которые должны быть доступны через анонимный FTP, в этом справочнике:
% mkdir ~ ftp/pub
% chown ftp ~ ftp/pub
% chmod 777 - ftp/pub
При этом администратор должен регулярно просматривать содержимое этого справочника.
Недостатки анонимного FTP аналогичны недостаткам NFS в части, касающейся переполнения файловой системы и анонимного доступа.
Рассмотрим упрощенный, или тривиальный, FTP (TFTP — Trivial File Transfer Protocol). Он предназначен для удаленной загрузки по сети бездисковых станций. По существу, TFTP — это усеченная версия FTP. В TFTP нет аутентификации пользователей и для связи используется протокол UDP, а не TCP, как в FTP. Поэтому использование протокола TFTP представляет угрозу безопасности.
Если есть необходимость в использовании TFTP, то нужно проверить безопасность его работы с помощью следующих команд:
% tftp
tftp > connect имяпроверяемоймашины
tftp > get/etc/motd
Error code 1: File not found
tftp > quit
%
Это известная уязвимость в старых версиях TFTP. Если файл передается, то надо версию TFTP обновить.
Электронная почта является особым объектом ИБ деятельности любого предприятия. Она была и остается одной из основных угроз безопасности. Можно утверждать, что в почтовых службах 276
было найдено самое большое количество «дыр», которые до сих пор периодически проявляются.
На сегодняшний день в ОС UNIX используются различные почтовые службы. В документации утверждается, что mmdf является более гибким и легче настраивается. Однако в силу более позднего появления почтовой службы mmdf она не получила такого широкого распространения, как sendmail.
По этой причине в данной работе описаны только вопросы обеспечения безопасности с использованием почтовой службы sendmail.
Перечислим действия, которые необходимо предпринять, чтобы гарантировать безопасность работы почтовой службы sendmail.
1. Удалить псевдоним "decode" из файла /usr/lib/aliases.
Если вы создаете псевдонимы, которые позволяют сообщениям быть посланными к программам, будьте абсолютно уверены, что это не приведет к вызову shell или пересылке параметров shell 'у.
2. Проверить, что sendmail не поддерживает отладочный режим с помощью следующих команд:
% telnet localhost 25
220-имя_компьютера Sendmail хх.хх ready at "Data Time" debug
500 Command unrecognized
quit
%
Параметр 25 в telnet означает номер порта, на котором работает протокол smtp (см. файл /etc/services).
Обновить версию, если sendmail переходит в отладочный режим.
Таким образом, корректное использование стандартных средств ОС UNIX позволяет строить защищенные КС.
Вместе с тем защита на сетевом уровне требует использования дополнительных средств, прежде всего, систем сетевой аутентификации (Kerberos) и межсетевых экранов. Заметим, что некоторые UNIX-системы включают в себя в качестве стандартных средств защиты, например, клиента системы Kerberos. В качестве перспектив развития защиты информации в UNIX-системах следует выделить включение стандартизированных механизмов аутентификации, средств шифрования сетевого трафика и различных возможностей, связанных с реализацией межсетевых экранов.
5.4.5.	Программно-аппаратные средства обеспечения ИБ в вычислительных сетях
В общем случае при взаимодействии с ВС мы имеем дело либо с сосредоточенными, либо с распределенными КС (РКС), кото
277
рые представляют собой множество сосредоточенных КС, связанных в единую систему с помощью коммуникационной подсистемы.
При этом сосредоточенными КС могут быть отдельные ЭВМ, в том числе и ПЭВМ, вычислительные системы и комплексы, а также локальные вычислительные сети. В настоящее время практически не используются неинтеллектуальные абонентские пункты, не имеющие в своем составе ЭВМ. Поэтому правомочно считать, что наименьшей структурной единицей РКС является ЭВМ. Распределенные КС строятся по сетевым технологиям и также представляют собой ВС. Коммуникационная подсистема включает в себя:
•	коммуникационные модули (КМ);
•	каналы связи;
•	концентраторы;
•	межсетевые шлюзы (мосты).
Основной функцией коммуникационных модулей является передача полученного пакета к другому КМ или абонентскому пункту в соответствии с маршрутом передачи. Коммуникационный модуль называют также центром коммутации пакетов.
Каналы связи объединяют элементы сети в единую сеть. Каналы могут иметь различную скорость передачи данных.
Концентраторы используются для уплотнения информации перед передачей ее по высокоскоростным каналам.
Межсетевые шлюзы {мосты) используются для связи сети с ЛВС или для связи сегментов глобальных сетей. С помощью мостов связываются сегменты сети с одинаковыми сетевыми протоколами.
В любой РКС в соответствии с функциональным назначением может быть выделено три подсистемы:
•	пользовательская (абонентская);
•	управления;
•	коммуникационная.
Пользовательская {абонентская) подсистема включает в себя компьютерные системы пользователей (абонентов) и предназначена для удовлетворения потребностей пользователей в хранении, обработке и получении информации.
Наличие подсистемы управления позволяет объединить все элементы РКС в единую систему, в которой взаимодействие элементов осуществляется по единым правилам. Подсистема обеспечивает взаимодействие элементов системы путем сбора и анализа служебной информации и воздействия на элементы с целью создания оптимальных условий для функционирования всей сети.
Коммуникационная подсистема обеспечивает передачу информации в сети в интересах пользователей и управления РКС.
278
Особенностью защиты объектов РКС является необходимость поддержки механизмов аутентификации и разграничения доступа удаленных процессов к ресурсам объекта, а также наличие в сети специальных коммуникационных компьютерных систем. Учитывая важность проблемы подтверждения подлинности удаленных процессов (пользователей), механизмы ее решения выделены в отдельную группу.
Все элементы коммуникационной подсистемы, за исключением каналов связи, рассматриваются как специализированные коммуникационные компьютерные системы. В защищенных корпоративных сетях концентраторы, коммуникационные модули (серверы), шлюзы и мосты целесообразно размещать на объектах совместно с КС пользователей.
Особенностью всех коммуникационных КС является информация, которая обрабатывается этими системами. В таких КС осуществляется смысловая обработка только служебной информации. К служебной относится адресная информация, избыточная информация для защиты сообщений от искажений, идентификаторы пользователей, метки времени, номера сообщений (пакетов), атрибуты шифрования и другая информация. Информация пользователей, заключенная в сообщениях (рабочая информация), на уровне коммуникационных КС рассматривается как последовательность бит, которая должна быть доставлена по коммуникационной подсистеме без изменений.
Поэтому в таких системах имеется принципиальная возможность не раскрывать содержание рабочей информации. Она не должна быть доступной операторам и другому обслуживающему персоналу коммуникационных компьютерных систем для просмотра на экране монитора, изменения, уничтожения, размножения, запоминания в доступной памяти, получения твердой копии. Такая информация не должна сохраняться на внешних запоминающих устройствах после успешной передачи сообщения другому элементу коммуникационной подсистемы. В закрытых системах рабочая информация, кроме того, в пределах коммуникационной подсети циркулирует в зашифрованном виде.
При этом в коммуникационной подсистеме осуществляется линейное шифрование, а в абонентской — межконцевое. Абонент перед отправкой осуществляет зашифрование сообщения с помощью симметричного или открытого ключа. На входе в коммуникационную подсистему сообщение подвергается линейному зашифрованию, даже если абонентское шифрование и не выполнялось. При линейном шифровании сообщение зашифровывается полностью, включая все служебные данные, причем линейное шифрование может осуществляться в сети с разными ключами. В этом случае злоумышленник, имея один ключ, может получить доступ к информации, передаваемой в ограниченном числе ка
279
налов. Если используются различные ключи, то в коммуникационных модулях осуществляется расшифрование не только служебной информации, но и всего сообщения полностью (рабочая информация остается зашифрованной на абонентском уровне). По открытой служебной информации осуществляются проверка целостности сообщения, выбор дальнейшего маршрута и передача «квитанции» отправителю. Сообщение подвергается зашифрованию с новым ключом и передается по соответствующему каналу связи.
Особые меры защиты должны предприниматься в отношении центра управления сетью. Учитывая концентрацию информации, критичной для работы всей сети, необходимо использовать самые совершенные средства защиты информации специализированной КС администратора сети как от непреднамеренных, так и от преднамеренных угроз. Особое внимание должно обращаться на защиту процедур и средств, связанных с хранением и работой с ключами.
Более надежным является способ управления ключами, когда они неизвестны ни администратору, ни абонентам. Ключ генерируется датчиком случайных чисел и записывается в специальное ассоциативное запоминающее устройство; все действия с ним производятся в замкнутом пространстве, в которое оператор КС не может попасть с целью ознакомления с содержимым памяти. Нужные ключи выбираются из специальной памяти для отсылки или проверки в соответствии с идентификатором абонента или администратора.
При рассылке ключей вне РКС их можно записывать, например, на смарт-карты. Считывание ключа с таких карт возможно только при положительном результате аутентификации КС и владельца ключа.
В подсистеме управления передача сообщений осуществляется по определенным правилам, которые называются протоколами. В настоящее время в распределенных вычислительных сетях реализуются два международных стандарта взаимодействия удаленных элементов сети: протокол TCP/IP и протокол Х.25.
Протокол TCP/IP был разработан в 1970-е гг. и с тех пор завоевал признание во всем мире. На основе протокола TCP/IP построена сеть Интернет. Протокол Х.25 явился дальнейшим развитием технологии передачи данных, построенной на основе коммутации пакетов.
Протокол Х.25 создан в соответствии с моделью взаимодействия открытых сетей (OSI), разработанной Международной организацией стандартизации (ISO).
В моделях выделяют следующие уровни функций:
•	OSI — прикладной, представительный, сеансовый, транспортный, сетевой, канальный, физический;
280
•	TCP/IP: прикладной, транспортный, сетевой, канальный, физический.
Протокол Х.25 позволяет обеспечить более надежное взаимодействие удаленных процессов. Достоинствами протокола TCP/IP являются сравнительно низкая стоимость и простота подключения к сети.
Задачи обеспечения безопасности информации в сети решаются на всех уровнях. Выполнение протоколов организуется с помощью подсистемы управления. Наряду с другими на уровне подсистемы управления решаются следующие проблемы защиты процессов переработки информации в РКС:
•	создание единого центра управления сетью, в котором решались бы и вопросы обеспечения безопасности информации. Администратор и его аппарат проводят единую политику безопасности во всей защищенной сети;
•	регистрация всех объектов сети и обеспечение их защиты. Выдача идентификаторов и учет всех пользователей сети;
•	управление доступом к ресурсам сети;
•	генерация и рассылка ключей шифрования абонентам компьютерной сети;
•	мониторинг трафика (потока сообщений в сети), контроль соблюдения правил работы абонентами, оперативное реагирование на нарушения;
•	организация восстановления работоспособности элементов сети при нарушении процесса их функционирования.
Наиболее надежным и универсальным методом защиты процессов переработки информации в каналах связи является шифрование. Шифрование на абонентском уровне позволяет защитить рабочую информацию от утраты конфиденциальности и навязывания ложной информации и тем самым блокировать возможные угрозы безопасности. Линейное шифрование позволяет, кроме того, защитить служебную информацию. Не имея доступа к служебной информации, злоумышленник не может фиксировать факт передачи между конкретными абонентами сети, изменить адресную часть сообщения с целью его переадресации.
Противодействие ложным соединениям абонентов (процессов) обеспечивается применением целого ряда процедур взаимного подтверждения подлинности абонентов или процессов. Против удаления, явного искажения, переупорядочивания, передачи дублей сообщений используется механизм квитирования, нумерации сообщений или использования информации о времени отправки сообщения. Эти служебные данные должны быть зашифрованы. Для некоторых РКС важной информацией о работе системы, подлежащей защите, является интенсивность обмена по коммуникационной подсети. Интенсивность обмена может быть скрыта путем добавления к рабочему трафику обмена специальными сообще
281
ниями. Такие сообщения могут содержать произвольную случайную информацию. Дополнительный эффект такой организации обмена заключается в тестировании коммуникационной подсети. Общий трафик с учетом рабочих и специальных сообщений поддерживается примерно на одном уровне.
В случае попыток блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ типа «червь» в подсистеме управления РКС должны быть созданы распределенные механизмы контроля интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании ими лимита активности или в случае угрожающего возрастания трафика. Для блокирования угроз физического воздействия на каналы связи (нарушение линий связи или постановка помех в радиоканалах) необходимо иметь дублирующие каналы с возможностью автоматического перехода на их использование.
На практике часто закрытые корпоративные распределенные и сосредоточенные КС связаны с общедоступными сетями типа Интернет. Режимы взаимодействия пользователей закрытой РКС с общедоступной системой могут быть различны:
•	с помощью общедоступной РКС связываются в единую систему закрытые сегменты корпоративной системы или удаленные абоненты;
•	пользователи закрытой РКС взаимодействуют с абонентами общедоступной сети.
В первом режиме задача подтверждения подлинности взаимодействующих абонентов (процессов) решается гораздо эффективнее, чем во втором режиме. Это объясняется возможностью использования абонентского шифрования при взаимодействии КС одной корпоративной сети.
Если абоненты общедоступной сети не используют абонентское шифрование, то практически невозможно обеспечить надежную аутентификацию процессов, конфиденциальность информации, защиту от подмены и несанкционированной модификации сообщений.
Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название «межсетевой экран» (Firewall). Как правило, межсетевой экран реализуется на выделенной ЭВМ, через которую защищенная РКС (ее фрагмент) подключается к общедоступной сети.
Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы.
Межсетевой экран выполняет четыре функции:
•	фильтрация данных;
•	использование экранирующих агентов;
282
•	трансляция адресов;
•	регистрация событий.
Основной функцией межсетевого экрана является фильтрация трафика (входного или выходного). В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и прикладном уровнях. Чем большее число уровней охватывает экран, тем он совершеннее. Межсетевые экраны, предназначенные для защиты информации высокой степени важности, должны обеспечивать фильтрацию:
•	по адресам отправителя и получателя (или по другим эквивалентным атрибутам);
•	по пакетам служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
•	с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
•	с учетом любых значимых полей сетевых пакетов;
•	на транспортном уровне запросов при установлении виртуальных соединений;
•	на прикладном уровне запросов к прикладным сервисам;
•	с учетом даты и времени;
•	при возможности сокрытия субъектов доступа защищаемой компьютерной сети;
•	при возможности трансляции адресов.
В межсетевом экране применяют использование экранирующих агентов (proxy-серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию. Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта. Действия экранирующего агента являются прозрачными для участников взаимодействия.
Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных внутренних адресов. Это позволяет скрыть топологию сети и использовать большее число адресов, если их выделено недостаточно для защищенной сети.
Межсетевой экран выполняет регистрацию событий в специальных журналах. Предусматривается возможность настройки экрана на ведение журнала с требуемой для конкретного применения полнотой. Анализ записей позволяет зафиксировать попытки нарушения установленных правил обмена информацией в сети и выявить злоумышленника.
283
Экран не является симметричным. Он различает понятия «снаружи» и «внутри». Экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется и вся необходимая информация записывается в журнал.
Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в РКС имеются фрагменты сети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.
В зависимости от степени конфиденциальности и важности информации установлены пять классов защищенности межсетевых экранов. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности — пятый, а самый высокий — первый. Межсетевой экран первого класса устанавливается при обработке информации с грифом «Особой важности».
Межсетевые экраны целесообразно выполнять в виде специализированных систем. Это должно повысить производительность таких систем (весь обмен осуществляется через экран), а также повысить безопасность информации за счет упрощения структуры. Учитывая важность межсетевых экранов в обеспечении безопасности информации во всей защищенной сети, к ним предъявляются высокие требования по разграничению доступа, обеспечению целостности информации, восстанавливаемости, тестированию и т.д. Обеспечивает работу межсетевого экрана администратор. Желательно рабочее место администратора располагать непосредственно у межсетевого экрана, что упрощает идентификацию, аутентификацию администратора и выполнение функций администрирования.
Одной из центральных проблем обеспечения безопасности информации в вычислительной сети является проблема вза-имоподтверждения подлинности взаимодействующих процессов. Логическую связь взаимодействующих процессов определяют термином «соединение». Процедура аутентификации выполняется обычно в начале взаимодействия в процессе установления соединения.
Удаленные процессы до начала взаимодействия должны убедиться в их подлинности. Взаимная проверка подлинности взаимодействующих процессов может осуществляться следующими способами:
•	обмен идентификаторами;
•	процедура «рукопожатия»;
•	аутентификация при распределении сеансовых ключей.
284
Обмен идентификаторами применим, если в сети используется симметричное шифрование. Зашифрованное сообщение, содержащее идентификатор, однозначно указывает, что сообщение создано пользователем, который знает секретный ключ шифрования и личный идентификатор. Существует единственная возможность для злоумышленника попытаться войти во взаимодействие с нужным процессом — запоминание перехваченного сообщения с последующей выдачей в канал связи. Блокирование такой угрозы осуществляется с помощью указания в сообщении времени отправки сообщения. При проверке сообщения достаточно просмотреть журнал регистрации сеансов в КС получателя сообщения. Вместо времени может использоваться случайное число, которое генерируется перед каждой отправкой.
Различают два варианта выполнения процедуры «рукопожатия»: обмен вопросами и ответами; использование функции f известной только процессорам, устанавливающим взаимодействие. Процессоры обмениваются вопросами, ответы на которые не должны знать посторонние. Вопросы могут касаться, например, биографических данных субъектов, в интересах которых инициированы процессоры.
Аутентификация при распределении сеансовых ключей является одной из процедур управления ключами. К этим процедурам относятся: генерация, распределение, хранение и смена ключей.
Обычно выделяют две категории ключей: ключи шифрования данных и ключи шифрования ключей при передаче их по каналам связи и хранении. Многократное использование одного и того же ключа повышает его уязвимость, поэтому ключи шифрования данных должны регулярно меняться. Как правило, ключи шифрования данных меняются в каждом сеансе работы и поэтому их называют сеансовыми ключами.
В процессе генерации ключи должны получаться случайным образом. Этому требованию в наибольшей степени отвечает генератор псевдослучайной последовательности, использующий в качестве исходных данных показания таймера.
Секретные ключи хранятся в запоминающем устройстве только в зашифрованном виде. Ключ от зашифрованных ключей может быть зашифрован с помощью другого ключа. Последний ключ хранится в открытом виде, но в специальной памяти. Он не может быть считан, просмотрен, изменен или уничтожен в обычном режиме работы. Этот ключ называется главным, или мастер-ключом.
Мастер-ключи при симметричном шифровании и секретные ключи при несимметричном шифровании распространяются вне РКС. При большом числе абонентов и их удалении на значительные расстояния друг от друга задача распространения мастер-клю-чей является довольно сложной.
285
При несимметричном шифровании число секретных ключей равно числу абонентов сети. Кроме того, использование несимметричного шифрования не требует распределения сеансовых ключей, что сокращает обмен служебной информацией в сети. Списки открытых ключей всех абонентов могут храниться у каждого абонента сети.
Однако у симметричного шифрования есть два существенных преимущества. Во-первых, симметричное шифрование, например по алгоритму DES, занимает значительно меньше времени по сравнению с алгоритмами несимметричного шифрования. Во-вторых, в системах с симметричным шифрованием проще обеспечивать взаимное подтверждение подлинности абонентов (процессов).
Знание секретного ключа, общего для двух взаимодействующих процессов, дополненное защитными механизмами от повторной передачи, является основанием считать взаимодействующие процессы подлинными.
Распределение ключей в сети между пользователями реализуется двумя способами:
1	) путем создания одного или нескольких центров распределения ключей;
2	) прямым обменом сеансовыми ключами между абонентами сети.
Недостатком первого способа является наличие возможности доступа в ЦРК ко всей передаваемой по сети информации. В случае организации прямого обмена сеансовыми ключами возникают сложности в проверке подлинности процессов или абонентов.
Распределение ключей совмещается с процедурой проверки подлинности взаимодействующих процессов. Протоколы распределения ключей для систем с симметричными и несимметричными ключами отличаются.
5.4.6.	Методы и средства защиты процессов переработки информации в локальном и внешнем сегментах КС
Рассмотрим модели сетевых сред в распределенной КС. Внешний аспект защищенности процессов переработки информации в локальном сегменте КС анализируется при злоумышленном воздействии субъектов внешней среды (например, сети Интернет), т. е. при внешнем злоумышленном воздействии. Необходимо учесть, что в подавляющем большинстве случаев локальный сегмент КС технически реализован на одном или нескольких связанных сегментах ЛВС и использует общее стандартизированное программное обеспечение в части коммуникации. Стандартной является и операционная среда (среды) всей ЛВС.
Исходя из указанных положений уточним положения модели воздействия на КС извне следующим образом. В едином простран-286
стве объектов рассматриваемого локального сегмента КС (который соответствует, как правило, корпоративной сети организации) действует один или несколько субъектов (телекоммуникационных программных модулей) с возможностью внешнего управления. Внешнее управление реализуется возможностями телекоммуникационной программы по двунаправленной передаче данных по командам, исходящим от субъекта, принадлежащего внешнему сегменту КС. Под командами в данном случае понимается поток от ассоциированных объектов внешнего субъекта к ассоциированным объектам локального телекоммуникационного субъекта, причем указанные ассоциированные объекты, измененные под воздействием потока от внешнего субъекта, существенно влияют на текущее состояние локального субъекта. При этом модули телекоммуникационного ПО, расположенные в локальном сегменте, имеют доступ к объектам этого сегмента, как прочие локальные субъекты.
Отличие данного подхода заключается в том, что фактически частью локальных субъектов управляет легальный пользователь, а частью — удаленный анонимный пользователь, который потенциально преследует злоумышленные цели.
Выделим пассивное воздействие, исходящее от субъектов внешней сети (чтение и транспортирование объектов локального сегмента во внешнюю сеть), и активное воздействие (модификация локальных объектов). Пассивное воздействие связано с нарушением конфиденциальности корпоративной информации (компрометация), активное — с нарушением целостности.
Во множестве объектов можно выделить более ценные для злоумышленника объекты, имеющие отношение к обеспечению локальной безопасности (например, для UNIX-систем — файл для аутентификации пользователей etc\passwd).
Активное воздействие может проявляться опосредованно, т. е. в принятых из внешней сети программных модулях могут находиться разрушающие программные воздействия (РПВ) либо специально интегрированные возможности злоумышленных действий.
Отдельно выделим распространение РПВ в интерпретируемых данных (активное воздействие). Сущность злоумышленного воздействия состоит в интеграции внутрь интерпретируемого объекта (обрабатываемого редакторами типа Word) операций, направленных на реплицирование (распространение) РПВ либо на разрушение локальных данных. Однако можно рассмотреть и порождение субъекта в рамках локального сегмента КС, но инициированного внешним субъектом и из переданного извне объекта-источника. Программно-технически — это механизмы удаленного запуска (REXEC) или удаленные вызовы процедур (RPC — Remote Procedure Call).
287
При проектировании защитных механизмов для локального сегмента КС представляется возможным двигаться по двум практически независимым направлениям: использовать локальные механизмы защиты (возможно, каким-либо образом скорректированные по отношению к описанной специфике угрозы) и синтезировать специализированные механизмы для защиты преимущественно от внешних угроз. Именно такого подхода предлагается придерживаться, выделяя методы проектирования локальных механизмов защиты, устойчивых к воздействию извне, и подход сетевой защиты, ориентированный на работу с интегральным потоком информации от внешней сети (внешнего сегмента КС).
Подход обшей защиты локального сегмента характеризуется перенесением ответственности за защиту в локальном сегменте КС на уровень сетевого взаимодействия и реализуется технологией межсетевого экранирования (брандмауэр). Межсетевое экранирование — основной подход, предлагаемый в зарубежных системах, сопряженных с Интернет. При этом анализируется поток информации сетевого уровня (Network), который обладает уникальной информацией, характеризующей отправителя и получателя пакета (адресом). Работа межсетевого экрана сводится к анализу последовательности пакетов (фильтрации) по некоторым априорно заданным критериям (при этом необходимо обратить внимание на необходимость двунаправленной фильтрации — для входящих и для исходящих пакетов). Ранее рассматривались эти вопросы более подробно.
Описанные технические решения межсетевых экранов практически не поддаются осмыслению с точки зрения надежностных характеристик защиты, т.е. не удается сделать ни детерминированных, ни вероятностных выводов о качестве фильтра. В связи с этим далее вводится ряд уточняющих определений, описывающих процесс фильтрации с учетом логического уровня представления объектов, и доказывается ряд утверждений относительно гарантий работы экрана в рамках введенных понятий.
Известны два основных подхода к процедуре фильтрации: пакетная фильтрация, или трансляция адресов (анализируется и (или) преобразуется адресная часть пакетов); фильтры прикладного уровня (ФПУ) (в зарубежной литературе — proxy service или application proxy). ФПУ анализирует содержательную часть пакетов исходя из особенностей работы прикладных телекоммуникационных программ (приложений), которые порождают поток пакетов (обычно ФПУ ориентирован на распространенные приложения типа FTP или Telnet). Для конкретной программы принципиально возможно по последовательности пакетов установить, к какому объекту обращается то или иное приложение (субъект). Однако в общем случае проблема установления факта доступа к объекту высокого уровня по информации низкого уровня иерархии для
288
произвольного порождающего поток субъекта является практически неразрешимой. При этом ФПУ, будучи с точки зрения надежности фильтрации более надежным методом, тем не менее проигрывают в совместимости с приложениями (в смысле не-обеспечения корректной работы всех используемых в КС типов телекоммуникационных субъектов).
Предлагается рассматривать ситуацию, при которой на рабочих местах корпоративной ЛВС уже установлены средства защиты. Общепринятое исполнение программно-технических средств защиты предполагает реализацию политики безопасности с полным проецированием прав пользователя на права любого субъекта локального сегмента (т. е. если пользователю разрешен запуск какой-либо программы (произошла активизация субъекта), то порожденный процесс обращается к объектам с правами инициировавшего его пользователя). Нужно учесть, что политика безопасности при использовании локальных механизмов защиты нуждается в некоторой конструктивной коррекции.
Дадим определения локального и внешнего сегмента КС.
Определение 7. Локальный сегмент (ЛС) КС — подмножество субъектов и объектов КС, выделяемое по одному из следующих критериев:
•	критерий группирования в одно множество всех субъектов с возможностью непосредственного управления субъектами (если такая возможность присутствует в субъекте);
•	критерий локализации некоторого подмножества объектов и субъектов в рамках некоторой технической компоненты КС;
•	критерий присвоения объектам и субъектам ЛС КС некоторой информации, однозначно характеризующей субъект или объект (которая, как правило, называется адресом или сетевым адресом ЛС КС).
Определение 2. Внешний сегмент КС — дополнение множества субъектов и объектов локального сегмента до всего множества объектов КС.
Очевидно, что во внешнем сегменте могут быть выделены несколько локальных сегментов. Будем полагать, что рассматривается один произвольно выделенный ЛС КС.
Непосредственное управление (рассматриваемое как один из критериев выделения ЛС КС) подразумевает возможность изменения состояния субъекта непосредственно через органы управления конкретной ЭВМ.
На практике, как правило, локальный сегмент включает в себя одну ЭВМ либо сегмент ЛВС.
Удаленным субъектом будем называть субъект, принадлежащий множеству субъектов внешнего сегмента КС. Очевидно, что множества субъектов локального и внешнего сегмента КС не пересекаются.
289
Доступ удаленного субъекта к локальному объекту подразумевает организацию сложного потока от удаленного субъекта к ассоциированным объектам локального субъекта, т.е. фактически управление локальным субъектом со стороны удаленного субъекта. Целью удаленного злоумышленника (пользователя, управляющего удаленным субъектом) является организация потоков от локальных объектов, не принадлежащих множеству L.
В случае разделения КС на локальный и внешний сегменты множество всех потоков «семантически» можно разделить на четыре схемы (поток между субъектом и объектом означает поток между ассоциированными объектами субъекта и объектом):
1)	потоки между локальными субъектами и локальными объектами;
2)	потоки между локальными субъектами и удаленными объектами;
3)	потоки между удаленными субъектами и локальными объектами;
4)	потоки между удаленными субъектами и удаленными объектами.
Четвертая схема описывает взаимодействие субъектов какого-либо локального сегмента, отличного от выделенного, либо с локальными объектами (первая схема), либо удаленными относительно этого сегмента (вторая схема). Третья схема описывает взаимодействие между ассоциированными объектами субъектов локального сегмента и удаленными субъектами. Вторая схема также описывает потоки, которые могут реализоваться лишь через ассоциированные объекты удаленных субъектов. Первая схема подробно изучалась ранее.
Вторая и третья схемы по смыслу тождественны, поскольку выбор локального сегмента КС произволен. Итак, будем рассматривать потоки между внешними субъектами и локальными объектами с учетом замечания об обязательном участии в потоке локального субъекта.
В терминах потоков рассмотрим межсубъектное взаимодействие между удаленным субъектом X и локальным субъектом 5). Целью данного взаимодействия является реализация потока между локальным объектом Oj и ассоциированным объектом Ох субъекта X, причем данный поток проходит через ассоциированные объекты локального субъекта 5).
Говоря о потоках, нельзя опускать потенциально возможное свойство порождения субъектом S, нового субъекта S*.: Greate(S„ Ov) ->
Порождение данного субъекта может произойти из объекта-источника:
•	локального сегмента КС;
•	внешнего сегмента КС.
290
В большинстве случаев рассматривается упрощенная модель работы территориально распределенной КС, которая состоит из двух ЭВМ. Имеются две ЭВМ, соединенных каналом связи. На рассматриваемых ЭВМ установлено телекоммуникационное ПО (ТПО), обеспечивающее совместную работу прикладных программ и аппаратуры передачи данных (модемов) для обмена информацией по каналу связи. Передаваемая и принимаемая информация представляется в различных частях КС на различных уровнях (файлы, части файлов, пакеты). В телекоммуникационном ПО обеих ЭВМ имеется возможность чтения/записи на внешние носители прямого доступа, управляемая посылками из канала связи (в противном случае невозможно хранение принятой информации). Запись происходит с участием собственно телекоммуникационного ПО либо прикладной программы принимающей станции. Кроме того, всегда существует возможность записи в оперативную память принимающей ЭВМ (буферизация). Буферизации могут подвергаться команды управления, поступающие от передающей ЭВМ, либо передаваемые данные.
Полагаем, что злоумышленник — это лицо, которое имеет доступ к каналу связи и располагает идентичным по отношению к передающей ЭВМ комплексом программных и аппаратных средств. Таким образом, работу злоумышленника можно представить как работу либо передающей, либо принимающей ЭВМ, производящей посылку (или прием) на принимающую ЭВМ управляющей и содержательной информации. Обычно говорят о том, что на атакуемой злоумышленником ЭВМ работает некий программный субъект, который традиционно называется телекоммуникационным субъектом. Как правило, современный телекоммуникационный субъект обладает развитым сервисом, причем работает с информацией на уровне файлов ОС (например, продукты FTP Software). Злоумышленные действия в рассматриваемом случае возможны двух основных видов:
•	пассивное воздействие, связанное с чтением данных с атакуемой ЭВМ и транспортировкой их на ЭВМ злоумышленника (воздействие инициировано с активной ЭВМ);
•	активное воздействие, связанное с навязыванием данных (новых файлов) и модификацией уже существующих.
Обобщим данную модель и сформулируем ее на языке потоков.
Обозначим потоки от ассоциированного объекта Ох субъекта X к ассоциированному объекту Ок субъекта S, и, наоборот, Stream(y, Ох) -э Ок и Stream(X Ок) Ох. Предположим также, что свойства субъекта S, таковы, что возможно существование потоков вида Stream^,, О7) -> Ок и Stream^,, Ок) Ок. По свойству транзитивности потоков имеет место доступ субъекта X к объекту Oj через субъект S,.
291
В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта:
1) доступ к объекту Oj со стороны субъекта S) при управляющем воздействии субъекта X;
2) порождение субъектом S, из локального объекта нового субъекта 5,* для которого существует поток Stream(X, 5,*).
Существенных различий с точки зрения доступа субъекта X к локальному объекту между ситуациями активности субъекта 5, или St* не существует — в обоих случаях существует сложный поток, включающий в себя ассоциированные объекты локального субъекта (S/ или 5j* соответственно).
Различие описанных ситуаций находится в области корректного межсубъектного взаимодействия в рамках ЛС КС, т.е. поскольку процесс активизации может быть инициирован субъектом X, вновь порожденный субъект помимо реализации потоков к внешнему субъекту может реализовать и потоки к ассоциированным объектам субъектов ЛС КС, например к МБС и МБО. В данном случае нарушается основное условие попарной корректности субъектов.
Будем полагать, что в ЛС КС могут существовать только попарно корректные субъекты, замкнутые в ИПС (т.е. в составе ЛС КС существует МБС), с контролем целостности порождаемых субъектов. Кроме того, в множестве субъектов ЛС КС действует МБО, реализующий некоторую стратегию безопасности.
Рассмотрим общепринятую на сегодняшний день стратегию безопасности в контексте сформулированного взаимодействия локального и внешнего сегмента КС. Предварительно заметим, что в сформулированных условиях (генерация ИПС) для выделенного ЛС КС в случае отсутствия или неактивности ТПО) гарантированно реализуется любая стратегия безопасности, заданная в МБО.
Предположим для произвольно выделенного нами ЛС КС наличие т пользователей: Рх, ..., Р„, ..., Рт.
Введем понятие прав доступа субъектов к объектам как возможностей реализации потоков Stream(S„„ От) -> Ov (От ассоциированный объект Sm) — право доступа типа W (Write — запись) и потоков Stream(S„„ Ov) От — право доступа R (Read — чтение). Следовательно, если субъект имеет право доступа R к объекту Ov, то это эквивалентно возможности существования потока Stream(S„,, Ov) -> От.
Задаваясь некоторыми свойствами потока Stream^, От) -> Oj или Stream^, О7) -> О„„ можно говорить о некотором конечном множестве прав G = {gl, ..., gl}. В рассматриваемом случае мощность множества G равна 2.
Определение 3. Множеством доступных пользователю Р„ субъектов S„ называется множество субъектов, которые данный пользо-292
ватель может активизировать в ИПС из произвольного множества объектов-источников.
Определение 4. Множеством доступных пользователю Р„ объектов L„(T) относительно права доступа Т называется подмножество всех объектов, относительно которых реализуемы потоки соответствующего права доступа при активизации всех субъектов, входящих в S„ и имеющих право доступа Т.
Рассмотрим традиционную стратегию безопасности, связанную с понятием доступа пользователя (не субъекта!) к объекту. Данная политика задает £„(7) для любого подмножества множества субъектов S„ (если субъект потенциально способен реализовать поток, соответствующий праву доступа Г) и в период работы пользователя Р„ обеспечивает для выполнения потоков права Т любому субъекту из S„ доступ к любому объекту, принадлежащему £„(7).
Для введенного множества прав это означает, что любой Stream^,, 0к)	07 разрешен, если S, принадлежит S„, a Oj при-
надлежит Ь„(1У). Практически это означает, что в спроектированной с учетом такой стратегии безопасности системе защиты права пользователей определяются программами управления относительно пользователей, а не принадлежащих им программ (субъектов).
Определение 5. Стратегией безопасности с полным проецированием прав пользователя или методом доступа с полным проецированием прав пользователя Р„ на объекты КС называется такой порядок составления ПРД, при котором любой из субъектов, принадлежащий S„, обладает одним и тем же правом доступа 7 к любому объекту множества L„{T).
Сформулируем утверждение, описывающее потоки в ЛС КС в присутствии телекоммуникационного субъекта S,.
Утверждение 1 (о распределенной КС с полным проецированием прав пользователя на субъекты). В условиях действия стратегии безопасности с полным проецированием прав пользователя Рп на локальные объекты КС субъект X имеет доступ 7 к любому объекту множества £„(7) при условии существования потоков Stream (X, Ок) -> Ох и Stream(X Ох) -> 0ки доступности субъекта 5, для пользователя Р„.
Доказательство. Пусть у пользователя есть право R доступа к объекту Oj. В условиях полного проецирования прав на любой субъект это означает, что для любого субъекта Sm из S„ (доступному пользователю) возможен поток Stream (Sm, О]) -> От, где 0т — ассоциированный объект Sm. По условию доказываемого утверждения S, входит в S„, следовательно, существует Stream(5„ Oj) Ок. По условию утверждения существует и поток Stream^, ОД -> Ох. По свойству транзитивности потоков существует Stream(X О7) -> Ох. Это означает, что субъект X также имеет право доступа R к объекту Oj. Поскольку Oj произвольно выбран из множества L„(R), ко
293
торое описано потоком Strearn(Sm, 0у) -> 0„„ то утверждение верно для всех объектов Ь„{Т).
Аналогично доказывается утверждение в случае наличия у пользователя права доступа РИк объекту О,. Утверждение доказано.
Из данного утверждения следует, что система защиты от НСД любого ЛС КС, в котором гарантированно выполнена стратегия безопасности с полным проецированием прав доступа пользователей (к системам с такой политикой безопасности относится подавляющее большинство программно-аппаратных систем защиты локальных ресурсов, а также практически все штатные средства защиты в ОС), является потенциально ненадежной (т.е. допускающей возможность злоумышленных действий) при подключении к внешним сетям (т.е. при дополнении множества субъектов телекоммуникационным субъектом для взаимодействия с внешним сегментом КС). Необходима коррекция методов составления ПРД в системах, где возможно воздействие внешнего злоумышленника.
Сформулируем конструктивную стратегию безопасности, исключающую описанные ранее ситуации.
Определение 6. Методом расщепления прав пользователя по отношению к множеству доступных ему субъектов называется такой порядок составления ПРД, при котором права доступа пользователя Р„ задаются отдельно для каждого доступного пользователю субъекта (или подмножества субъектов), принадлежащего множеству S„.
Метод расщепления прав включает в себя метод проецирова^-ния прав доступа (когда для любого субъекта задаются равные права доступа к объектам).
Сформулируем утверждение, описывающее условия защиты локальных объектов от внешнего злоумышленника.
Утверждение 2 (о доступе в системе с проецированием прав). В условиях расщепления прав субъект X получит тот же доступ к объекту Oj, что и субъект S,- при условии существования потоков Stream^, Ох) -> Ок и Stream(X Ок) -> и отсутствии в ЛС КС других субъектов, для которых существуют потоки между их ассоциированными объектами и Ох.
Доказательство. Поскольку других субъектов, связанных с внешним субъектом X, в ЛС КС нет, то возможны потоки к объекту Oj только через ассоциированный объект Ок субъекта 5,. Поскольку между 0к и Oj возможен только поток, соответствующий праву доступа S,, то и между Ох и Oj возможен только такой же поток. Утверждение доказано.
Следствие. В условиях расщепления прав субъект X не получит доступ к объекту Oj в том случае, если субъект S, не имеет доступ к Oj и не существует другого субъекта Sr в локальном сегменте КС, для которого существуют потоки между ассоциированными объектами данного субъекта и Ох.
294
Доказанные утверждения позволяют сформировать методику проектирования защиты ЛС КС при условии попарной корректности всех субъектов (включая телекоммуникационный) и гарантированного выполнения стратегии безопасности.
Методика проектирования защиты описывается последовательностью шагов.
1.	Формулируется стратегия безопасности с расщеплением прав пользователей (допустимо выделить два множества субъектов — чисто локальные и телекоммуникационные — и установить раздельные права для этих групп).
2.	Относительно каждого субъекта или групп субъектов формируется множество прав доступа к конкретным объектам (или группам объектов).
3.	Реализуется МБО, выполняющий указанную стратегию безопасности.
4.	Субъекты ЛС КС замыкаются в ИПС с контролем целостности объектов-источников.
Сформулируем одну из возможных стратегий безопасности, связанную с группированием объектов. Предположим, что объекты подразделяются на три подмножества: О, — доступные только пользователям ЛС КС (относительно 0^ все пользователи имеют доступ R и Ж), О2 — множество доступных для внешних пользователей объектов с правом доступа R (например, объекты типа электронных объявлений); О3 — множество доступных для внешних пользователей объектов с правом W (например, почтовые ящики для входящих писем). Субъекты также разделены на две группы: 5] — локальные субъекты; S2 — телекоммуникационные субъекты.
Тогда правила разграничения доступа в ЛС КС формулируются согласно табл. 5.3.
Произвольная стратегия безопасности, разделяющая локальные и телекоммуникационные субъекты при их доступе к объектам, будет гарантировать разделение также внутренних и внешних пользователей.
Рассмотрим возможность преднамеренной компрометации информации самим пользователем. Такая возможность реализуется инициированием потока Stream(5„ О7) -> Ох со стороны управля-
Таблица 5.3
Групповые правила разграничения доступа в ЛС КС
	О,	О2	о,
5.	RW		RW
S2	—	R	W
295
Таблица 5.4
Правила разграничения доступа при запрете транспортировки вне избранных объектов
	Otr	On
	RW	RW
	—	RW
ющего телекоммуникационным субъектом 5, пользователя, имеющего злоумышленные цели. Обозначим множество критичных к отправке во внешнюю сеть объектов как Окг. При разделении прав между локальными и телекоммуникационными субъектами можно задать такие ПРД, при реализации которых в МБО можно обеспечить полноценную работу локальных субъектов с объектами множества Окг, но невозможность транспортировки объектов 0кг во внешнюю сеть. Обозначим множество некритичных к транспортировке и модификации локальных объектов как On.
Тогда ПРД относительно введенных групп субъектов 5] и S2 задаются соотношениями, представленными в табл. 5.4.
Теперь обратимся к ситуации, когда возможно порождение субъекта S*, нарушающего корректность межсубъектного взаимодействия. Возможны два случая:
1) объект-источник Огдля порождения 5,* является внешним (не ассоциированным) для активизирующего субъекта 5,;
2) объект-источник Ov является ассоциированным для субъекта Sj (в данном случае ассоциированный объект-источник может быть неизменным или зависеть от информации, передаваемой субъектом X).
В первом случае при действии МБС с контролем целостности объекта-источника порождение нового субъекта возможно с вероятностью, не превышающей вероятность принять нетождественный объект-источник за тождественный эталонному (данный параметр полностью определен свойствами функции контроля целостности).
Рассмотрим второй случай, обращая внимание на практические вопросы влияния на ассоциированные объекты других субъектов или данного. Очевидно, что активное воздействие предоставляет широкие возможности для реализации как непосредственного, так и опосредованного НСД.
Пусть происходит процесс записи в оперативную память принимающей ПЭВМ, принадлежащей ЛС КС. Практически это означает существование потока к ассоциированным объектам телекоммуникационного субъекта ЛС КС. При этом активизация нового
296
субъекта в ПЭВМ может произойти только тогда, когда процессор начнет выполнять инструкции в области памяти ПРМ ПЭВМ, куда был помещен принятый код. Это может произойти по трем причинам:
1)	область памяти для записи приходится на исполняемую программу либо на область, в которую постоянно передается управление (таблица прерываний, драйверы операционной системы и т.д.);
2)	запись происходит в область, находящуюся вне критичных для работы программной среды зон, но происходит некорректно (некорректность возникает в основном при записи длинных отрезков принимаемых данных в буферы меньшего размера), за счет этого производится «переполнение» (нарушение попарной корректности) и дальнейшая работа происходит в условии п. 1;
3)	запись приходится в область размещения самого ТПО, и в ней образуется код, который в дальнейшем используется (например, обработчик некоторого прерывания в ТПО ПРМ ЭВМ первоначально указывал на команду Iret, после модификации порцией принятых данных он указывает на некоторую процедуру).
Пример второй ситуации — известный репликатор Морриса, внедрявшийся в ПРМ ПЭВМ с использованием ошибок в буферизации принимаемых строк в UNIX.
Третья ситуация встречалась в ряде телекоммуникационных драйверов и в штатном режиме использовалась для модификации функций ТПО по сигналу передающей ЭВМ.
Все описанные ситуации означают нарушение корректности межсубъектного взаимодействия. Очевидно, что все они могут быть исключены при выполнении условий проектирования ИПС для телекоммуникационного ПО.
Теперь рассмотрим запись принимаемой информации на внешние носители прямого доступа. В данном случае полагается, что в передаваемых данных встречается команда «запись», адресованная ПРМ ПЭВМ (возможно, с некоторыми параметрами, определяющими место записи), а следующие за ней данные записываются в указанное место. При этом возможна запись на различном уровне представления объектов, например запись в виде секторов и запись в виде файлов.
Рассмотрим запись в виде секторов. Сектора могут приходиться на исполняемые файлы, впоследствии РПВ будет активизировано при запуске этих файлов. Однако такой способ весьма сложен и является «малоприцельным». Гораздо более интересный случай — запись в загрузочные сектора. При этом при записи в загрузочный сектор винчестера ПРМ ПЭВМ оказывается пораженной загрузочной закладкой, а при записи в загрузочный сектор дискеты закладка может распространиться и на другие ПЭВМ. Описанная ситуация также встречалась в телекоммуникационном ПО: для
297
приема данных из канала был организован виртуальный диск в оперативной памяти (с целью ускорения процедур ввода-вывода); запись на виртуальный диск управлялась из канала связи посылкой «координат» записи (дорожка, сектор, поверхность чтения) и данных для записи. Поскольку запись происходила через прерывание int 13h, то для внешнего злоумышленника было потенциально возможно выполнить запись в загрузочный сектор некоторой посланной им информации (загрузочной закладки).
Интересным является внедрение РПВ в «консервированном виде». Так, для пересылки по каналу связи целиком всей дискеты часто используются программы типа TELEDISK. Данная программа преобразует последовательность всех секторов внешнего носителя (ГМД) в файл, который затем передается в канал; при приеме этот файл «разворачивается» аналогичной программой в тождественный гибкий диск. При наличии закладки на передаваемом ГМД она будет «законсервирована» в файле, передана на ПРМ ПЭВМ и при благоприятных условиях активизирована уже на приемном конце.
Посылка РПВ в виде исполняемого файла используется чаще всего для удаленного внедрения закладок и при достаточной тривиальности почти всегда приводит к успеху.
Зачастую пользователь провоцируется на запуск некоторого исполняемого файла. Так, в одном случае пользователям передавался набор файлов, среди которых был архивированный (ZIP) файл. Для его разворачивания в текущей директории (куда был принят набор файлов) запускалась программа PKUNZIP, на которую почти всегда установлен путь. Однако мало кто из пользователей замечал, что в наборе переданных файлов уже есть программа с таким именем. Естественно, запускалась именно она и помимо разворачивания архива производилась установка закладки.
Описанные атаки связаны с формированием объекта-источника, содержащего злоумышленные действия, в составе объектов ЛС КС. Очевидно, что в условиях действия ИПС с контролем целостности объектов-источников активизация субъекта из объекта-источника, не входящего в список объектов-источников для множества S„ ЛС КС, невозможна в принципе, а при замене одного из «легальных» объектов-источников возможна с вероятностью принять измененный объект за эталонный.
5.4.7. Защита процессов переработки информации в Интернете и Интранете
Интернет — глобальная компьютерная сеть, охватывающая весь мир. Сегодня он имеет около 15 млн абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7... 10% Интернет образует «ядро», обеспечивающее связь различных ин
298
формационных сетей, принадлежащих различным учреждениям во всем мире.
Если раньше сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределенного доступа к ресурсам. Около 200 лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.
Сеть Интернет, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире.
Компании привлекают быстрота связи, низкая стоимость услуг, возможность проведения совместных работ, доступные программы, уникальная база данных сети Интернет. Они рассматривают глобальную сеть как дополнение к своим собственным локальным сетям.
Интернет состоит из множества локальных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанным между собой различными линиями связи. Интернет можно представить себе в виде мозаики, сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т.д.
При низкой стоимости услуг (часто это только фиксированная ежемесячная плата за используемые линии или телефон) пользователи могут получить доступ к коммерческим и некоммерческим информационным службам США, Канады, Австралии и многих европейских стран. В архивах свободного доступа этой сети можно найти информацию практически по всем сферам человеческой деятельности, начиная с новых научных открытий и кончая прогнозом погоды на завтра.
Кроме того, Интернет предоставляет уникальные возможности дешевой, надежной и конфиденциальной глобальной связи по всему миру. Это оказывается очень удобным для фирм, имеющих свои филиалы по всему миру, транснациональных корпораций и структур управления. Обычно использование инфраструктуры Интернет для международной связи обходится значительно дешевле прямой компьютерной связи через спутниковый канал или телефон.
Электронная почта — самая распространенная услуга сети Интернет. В настоящее время свой адрес в электронной почте имеют приблизительно 20 млн человек. Посылка письма по электронной почте обходится значительно дешевле посылки обычного письма. Кроме того, сообщение, посланное по электронной почте, дойдет до адресата за несколько часов, в то время как обычное письмо может добираться до адресата несколько дней, а то и недель.
299
В настоящее время Интернет испытывает период подъема во многом благодаря активной поддержке со стороны правительств европейских стран и США. Ежегодно в США выделяется около 1...2 млн долл, на создание новой сетевой инфраструктуры. Исследования в области сетевых коммуникаций финансируются также правительствами Великобритании, Швеции, Финляндии, Германии.
Однако государственное финансирование — лишь небольшая часть поступающих средств, так как все более заметной становится коммерцизация сети (80...90% средств поступает из частного сектора).
Проблемы защиты процессов переработки информации в Интернете. Интернет и ИБ несовместимы по самой природе. Интернет — чисто корпоративная сеть, однако в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства она объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т.д.), являющиеся по определению сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Интернет со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Как известно, чем проще доступ в сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в нее — хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы файлы и программы, не говоря уже о возможности их порчи и корректировки.
Что же определяет бурный рост Интернета, характеризующийся ежегодным удвоением числа пользователей? Ответ прост — низкая стоимость программного обеспечения (TCP/IP), которое в настоящее время включено в WINDOWS 95, низкая стоимость доступа в Интернет (либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировым информационным ресурсам.
Платой за пользование Интернет является всеобщее снижение И Б, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию Интернет, ставят фильтры (fire-wall) между внутренней сетью и сетью Интернет, что фактически означает выход из единого адресного пространства. Еще большую безопасность дает отход от протокола TCP/IP и доступ в Интернет через шлюзы.
Этот переход можно осуществлять одновременно с процессом построения Всемирной информационной сети общего пользования на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечива
300
ют высокоскоростной доступ (10 Мбит/с) к локальному Web-cep-веру через сеть кабельного телевидения.
Для решения этих и других вопросов при переходе к новой архитектуре Интернет нужно:
1)	ликвидировать физическую связь между будущей сетью Интернет (которая превратится во Всемирную информационную сеть общего пользования) и корпоративными и ведомственными сетями, сохранив между ними лишь информационную связь через систему World Wide Web;
2)	заменить маршрутизаторы на коммутаторы, исключив обработку в узлах IP-протокола и заменив его на режим трансляции кадров Этернет, при котором процесс коммутации сводится к простой операции сравнения МАС-адресов;
3)	перейти в новое единое адресное пространство на базе физических адресов доступа к среде передачи (МАС-уровень), привязанное к географическому расположению сети и позволяющее в рамках 48 бит создать адреса для более чем 64 трлн независимых узлов.
Безопасность данных является одной из главных проблем в Интернете. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Разумеется, все это не способствует популярности Интернета в деловых кругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и к частным сетям, практически равные шансы стать жертвами компьютерного террора.
Каждая организация, имеющая дело с какими бы то ни было ценностями, рано или поздно сталкивается с посягательством на них. Предусмотрительные начинают планировать защиту заранее, непредусмотрительные — после первого крупного «прокола». Так или иначе возникает вопрос: что, как и от кого защищать?
Обычно первая реакция на угрозу — стремление спрятать ценности в недоступное место и приставить к ним охрану. Это относительно несложно, если речь идет от таких ценностях, которые вам долго не понадобятся: убрали и забыли. Гораздо сложнее, если вам необходимо постоянно работать с ними. Каждое обращение в хранилище за вашими ценностями потребует выполнения особой процедуры, отнимет время и создаст дополнительные неудобства. Такова дилемма безопасности: приходится делать выбор между защищенностью вашего имущества и его доступностью для вас, а значит, и возможностью полезного использования.
301
Все это справедливо и в отношении информации. Например, база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только вы установили эти диски в компьютер и начали использовать, сразу появляется несколько каналов, по которым злоумышленник имеет возможность без вашего ведома получить доступ к вашим тайнам. Иными словами, ваша информация либо недоступна для всех, включая и вас, либо не защищена на 100%.
Может показаться, что из этой ситуации нет выхода, но ИБ сродни безопасности мореплавания: и то, и другое возможно лишь с учетом некоторой допустимой степени риска.
В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.
В банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк (кроме наличных денег и еще кое-чего), существуют лишь в виде той или иной информации; во-вторых, банк не может существовать без связей с внешним миром (без клиентов, корреспондентов и т.д.). При этом по внешним связям обязательно передается та самая информация, выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностях и их движении, которые иногда стоят дороже самих ценностей). Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Вовне банк передает распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана априори.
Эти соображения справедливы по отношению не только к автоматизированным системам, но и к системам, построенным на традиционном бумажном документообороте и не использующим иных связей, кроме курьерской почты. Автоматизация добавила головной боли службам безопасности, а новые тенденции развития сферы банковских услуг, целиком основанные на информационных технологиях, усугубляют проблему.
На раннем этапе автоматизации внедрение банковских систем (и вообще средств автоматизации банковской деятельности) не повышало открытость банка. Общение с внешним миром, как и прежде, шло через операционистов и курьеров, поэтому дополнительная угроза безопасности информации исходила лишь от возможных злоупотреблений со стороны работавших в самом банке специалистов по ИТ.
Положение изменилось после того, как на рынке финансовых услуг стали появляться продукты, возникновение которых было
302
немыслимо без ИТ. В первую очередь, это пластиковые карточки. Пока обслуживание по карточкам шло в режиме голосовой авторизации, открытость информационной системы банка повышалась незначительно. Но затем появились банкоматы, POS-терминалы и другие устройства самообслуживания, т.е. средства, принадлежащие к информационной системе банка, но расположенные вне ее и доступные посторонним для банка лицам.
Повысившаяся открытость системы потребовала специальных мер для контроля и регулирования обмена информацией: дополнительных средств идентификации и аутентификации лиц, которые запрашивают доступ к системе (PIN-код, информация о клиенте на магнитной полосе или в памяти микросхемы карточки, шифрование данных, контрольные числа и другие средства защиты карточек), средств криптозащиты процессов переработки информации в каналах связи и т.д.
Еще больший сдвиг баланса защищенность—открытость в сторону открытости связан с телекоммуникациями. Системы электронных расчетов между банками защитить относительно несложно, так как субъектами электронного обмена информацией выступают сами банки. Там, где защите не уделялось необходимое внимание, результаты были вполне предсказуемы. Наиболее яркий пример — наша страна. Использование крайне примитивных средств защиты телекоммуникаций в 1992 г. привело к огромным потерям на фальшивых авизо.
Общая тенденция развития телекоммуникаций и массового распространения вычислительной техники привела к тому, что на рынке банковских услуг во всем мире появились новые, чисто телекоммуникационные продукты, в первую очередь, системы Home Banking (отечественный аналог — «клиент —банк»). Это потребовало обеспечения для клиентов круглосуточного доступа к автоматизированной банковской системе для проведения операций, причем полномочия на совершение банковских транзакций получил непосредственно клиент. Степень открытости информационной системы банка возросла почти до предела, поэтому требуются особые, специальные меры для того, чтобы столь же значительно не упала ее защищенность.
Наконец, наступила эпоха информационной супермагистрали — взрывообразное развитие сети Интернет и связанных с нею услуг. Вместе с новыми возможностями эта сеть принесла и новые опасности. Казалось бы, какая разница, каким образом клиент связывается с банком: по коммутируемой линии, приходящей на модемный пул банковского узла связи, или по IP-протоколу через Интернет? Однако в первом случае максимально возможное количество подключений ограничивается техническими характеристиками модемного пула, во втором случае — возможностями Интернета, которые могут быть существенно выше. Кроме того,
303
сетевой адрес банка общедоступен, тогда как телефонные номера модемного пула могут сообщаться лишь заинтересованным лицам. Соответственно открытость банка, чья информационная система связана с Интернетом, значительно выше, чем в первом случае. Так, только за пять месяцев 1995 г. компьютерную сеть Citicorp взламывали 40 раз! (Это свидетельствует, впрочем, не столько о какой-то опасности Интернета вообще, сколько о недостаточно квалифицированной работе администраторов безопасности Citicorp.)
Все это вызывает необходимость пересмотра подходов к обеспечению И Б банка. Подключаясь к Интернету, следует заново провести анализ риска и составить план защиты информационной системы, а также конкретный план ликвидации последствий, возникающих в случае тех или иных нарушений конфиденциальности, сохранности и доступности информации.
На первый взгляд, для нашей страны проблема ИБ банка не столь остра: до Интернета ли нам, если в большинстве банков стоят системы второго поколения, работающие по технологии файл-сервер. К сожалению, и у нас уже зарегистрированы компьютерные кражи. Положение осложняется двумя проблемами. Первая проблема заключается в том, что, как показывает опыт общения с представителями банковских служб безопасности, и в руководстве, и среди персонала этих служб преобладают бывшие оперативные сотрудники органов внутренних дел или госбезопасности. Они обладают высокой квалификацией в своей области, но в большинстве своем слабо знакомы с ИТ. Специалистов по ИБ в нашей стране вообще очень мало, потому что массовой эта профессия становится только сейчас.
Вторая проблема связана с тем, что в очень многих банках безопасность автоматизированной банковской системы не анализируется и не обеспечивается всерьез. Очень мало банков, имеющих тот необходимый набор организационных документов (анализ риска, план защиты и план ликвидации последствий), о котором говорилось ранее. Более того, безопасность процессов переработки информации просто не может быть обеспечена в рамках имеющейся в банке автоматизированной системы и принятых правил работы с ней.
Что касается автоматизированных банковских систем, то наиболее распространенные системы второго-третьего поколений состоят из набора автономных программных модулей, запускаемых из командной строки DOS на рабочих станциях. Оператор имеет возможность в любой момент выйти в DOS из такого программного модуля. Предполагается, что это необходимо для перехода в другой программный модуль, но фактически в такой системе не существует никаких способов не только исключить запуск оператором любых других программ (от безобидной игры до
304
программы, модифицирующей данные банковских счетов), но и проконтролировать действия оператора. В ряде систем этих поколений, в том числе разработанных весьма солидными отечественными фирмами и продаваемых сотнями, файлы счетов не шифруются, т. е. с данными в них можно ознакомиться простейшими общедоступными средствами. Многие разработчики ограничивают средства администрирования безопасности штатными средствами сетевой операционной системы: вошел в сеть — делай, что хочешь.
Тем не менее в России банки и другие организации уделяют ИТ много внимания и достаточно быстро усваивают новое. Сеть Интернет и финансовые продукты, связанные с ней, войдут в жизнь банков России быстрее, чем это предполагают скептики, поэтому уже сейчас необходимо озаботиться вопросами ИБ на другом, более профессиональном уровне, чем это делалось до сих пор.
Технологии и средства защиты процессов переработки информации в Интернете. Сейчас вряд ли кому-то надо доказывать, что при подключении к Интернету вы подвергаете риску безопасность вашей локальной сети и конфиденциальность содержащейся в ней информации. По данным CERT Coordination Center в 1995 г. было зарегистрировано 2421 инцидентов — взломов локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI), среди 500 наиболее крупных организаций, компаний и университетов с 1991 г. число незаконных вторжений возросло на 48,9 %, а потери, вызванные этими атаками, оцениваются в 66 млн долл. США.
Одним из наиболее распространенных механизмов защиты от интернетовских бандитов (хакеров) является применение межсетевых экранов — брэндмауэров (firewalls). Но вследствие непрофессионализма администраторов и недостатков некоторых типов брэндмауэров порядка 30 % взломов совершается после установки защитных систем.
Несмотря на кажущийся правовой хаос в рассматриваемой области любая деятельность по разработке, продаже и использованию средств защиты процессов переработки информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Гостехкомиссией России.
Технология работы в глобальных сетях Solstice FireWall-1. Вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения ИБ, предназначенных для использования на: различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (firewalls), призванные контролировать доступ к информации со стороны пользователей внешних сетей.
305
В данной книге рассматриваются основные понятия экранирующих систем, а также требования, предъявляемые к ним. На примере пакета Solstice FireWall-1 разбираются несколько типичных случаев использования таких систем, особенно вопросы обеспечения безопасности Интернет-подключений и использование разграничений доступа внутри корпоративной сети организации.
Межсетевое экранирование в Интернет двух информационных систем или двух множеств информационных систем осуществляют путем постановки экрана между ними.
Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая информационная мембрана. В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и на основе заложенных в них алгоритмов принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа, в частности, фиксировать все незаконные попытки доступа к информации, и дополнительно сигнализировать о ситуациях, требующих немедленной реакции, т.е. поднимать тревогу.
Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия «внутри» и «снаружи», и задача экрана заключается в защите внутренней сети от потенциально враждебного окружения. Важнейшим примером потенциально враждебной внешней сети является Интернет.
При рассмотрении проблемы безопасного подключения к Интернету и разграничения доступа внутри корпоративной сети организации необходимо соблюсти следующие условия.
1.	Очевидное требование к таким системам — это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
2.	Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.
3.	Экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4.	Экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в пиковых режимах. Это необходимо для того, чтобы систему Firewall нельзя было «забросать» большим количеством вызовов, которые привели бы к нарушению ее работы.
306
5.	Система обеспечения безопасности должна быть надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6.	В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой стратегии безопасности.
7.	Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки и в процессе работы им требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.
Примером реализации ИБ в Интернете является программный комплекс Solstice FireWall-1 компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.
Функциональная схема и основные компоненты Solstice FireWall-1 представлены на рис. 5.4.
Центральным для системы FireWall-1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса.
Администратору безопасности сети для конфигурирования комплекса FireWall-1 необходимо выполнить следующие действия:
•	определить объекты, участвующие в процессе обработки информации (имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации);
•	описать сетевые протоколы и сервисы, с которыми будут работать приложения (обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1);
•	с помощью введенных понятий описать технологию разграничения доступа в следующих терминах: «Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале». Совокупность таких записей компилируется в исполнимую форму блоком управления и затем передается на исполнение в модули фильтрации.
307
Модули фильтрации могут располагаться на компьютерах — шлюзах или выделенных серверах — или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются два типа маршрутизаторов: Cisco IOS 9.x, 10.x; BayNetworks (Wellfleet) OS v.8.
Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и в зависимости от заданных правил пропускают или отбрасывают эти пакеты с соответствующей записью в регистрационном журнале. Эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.
Технологический процесс практической реализации стратегии безопасности организации с помощью программного пакета FireWall-1 представлен на рис. 5.5.
Центральный офис
Журнал администратора
Рис. 5.4. Функциональная схема и основные компоненты Solstice
Fire Wall-1:
1 — шлюз; 2 — журнал регистрации событий; 3 — компьютер; 4 — спутника-модуль фильтрации потоков; i—i — лист доступа маршрутизатора
308
Рис. 5.5. Технологический процесс практической реализации стратегии безопасности организации с помощью программного пакета FireWall-1
На уровне руководства разрабатываются и утверждаются правила стратегии безопасности организации. После утверждения эти правила переводят на уровень подотдела компьютерной безопасности, который формирует структуру типа «откуда, куда и каким способом доступ разрешен или, наоборот, запрещен». Такие структуры легко переносятся в базы правил системы FireWall-1.
Затем на основе этой базы правил на уровне управления в FireWall-1 формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии затем переносятся на физические компоненты сети, после чего правила стратегии безопасности вступают в силу.
В процессе работы по уровню фильтрации пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а также запускают механизмы тревоги, требующие от администратора немедленной реакции (см. рис. 5.5, этап 7).
На основе анализа записей и событий, сделанных системой, подотдел компьютерной безопасности организации на этапах 8, 9
309
и 10 может разрабатывать предложения по изменению и дальнейшему развитию стратегии безопасности.
При этом реализуются следующие правила:
1)	из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например по UNIX-паролю;
2)	всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента;
3)	из Интернета разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.
После загрузки правил FireWall-1 для каждого пакета, передаваемого по сети, администратор последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю. При этом необходима защита системы, на которой размещен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине или, по крайней мере, строго ограничить список пользователей, которым это разрешено, а также принять меры по физическому ограничению доступа и защите обычными средствами ОС UNIX.
Если первоначальная конфигурация сети меняется, а вместе с ней меняется и стратегия безопасности, и если организация решила установить у себя несколько общедоступных серверов для предоставления информационных услуг, например серверы World Wide Web, FTP или другие информационные серверы, то их часто выделяют в свою собственную подсеть, имеющую выход в Интернет через шлюз (рис. 5.6).
Внутренняя сеть организации
Интернет
Рис. 5.6. Схема шлюза Интернет при использовании серверов: 1 — 'шлюз
310
Поскольку в предыдущем примере локальная сеть была уже защищена, то все, что нам надо сделать, это просто разрешить соответствующий доступ в выделенную подсеть. Это делается с помощью одной дополнительной строки в редакторе правил, которая здесь показана. Такая ситуация является типичной при изменении конфигурации FireWall-1. Обычно для этого требуется изменение одной или небольшого числа строк в наборе правил доступа, что, несомненно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры FireWall-1.
При работе с FTP необходима аутентификация пользователей.
При этом Solstice FireWall-1 позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации FireWall-1 заменяет стандартные FTP и telnet демоны UNIX на собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задается при описании пользователей и или групп пользователей и может проводиться следующими способами:
•	использование UNIX-пароля;
•	применение программы S/Key генерации одноразовых паролей;
•	применение карточки SecurlD с аппаратной генерацией одноразовых паролей.
Особую проблему для обеспечения безопасности представляют собой UDP-протоколы, входящие в состав набора TCP/IP. С одной стороны, на их основе создано множество приложений, а с другой стороны, все они являются протоколами «без состояния», что приводит к отсутствию различий между запросом и ответом, приходящим защищаемой сети извне. Для решения этой проблемы используются гибкие алгоритмы фильтрации UDP-пакетов. Так, пакет FireWall-1 решает эту проблему созданием контекста соединений поверх UDP-сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов, поскольку их параметры хранятся в памяти FireWall-1.
Данная возможность присутствует в немногих программах экранирования, распространяемых в настоящий момент.
Подобные механизмы задействуются для приложений, использующих RPC, и для FTP-сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые FireWall-1 отслеживает аналогичным образом, запоминая необходимую информацию при запросах на таких сеансы и обеспечивая только законный обмен данными.
311
Данные возможности пакета Solstice FireWall-1 резко выделяют его среди всех остальных межсетевых экранов. Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Интернете.
Система Solstice Fire Wall-1 имеет собственный встроенный объектно-ориентированный язык программирования, применяемый для описания поведения модулей — фильтров системы. Результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти не используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно.
Fire Wall-1 полностью прозрачен для конечных пользователей и обладает очень высокой скоростью работы. Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации.
Компания Sun Microsystems приводит такие данные об эффективности работы Solstice FireWall-1. Модули фильтрации на Интернет-шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Этернета 10 Мбайт/с, забирают на себя не более 10 % вычислительной мощности процессора SPARCstation 5,85 МГц или компьютера 486DX2-50 с операционной системой Solaris/x86.
Solstice Fire Wall-1 — эффективное средство защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами.
Solstice FireWall-1 обеспечивает высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP.
Solstice FireWall-1 характеризуется прозрачностью для легальных пользователей и высокой эффективностью.
По совокупности технических и стоимостных характеристик Solstice Fire Wall-1 занимает лидирующую позицию среди межсетевых экранов.
Проблему безопасности в Интернете составляют технологии пользования WWW-серверами. Ограничения доступа в WWW-серверах строят в двух вариантах:
•	ограничение доступа по IP-адресам клиентских машин;
•	до идентификатора получателя с паролем для данного вида документов.
Такого рода ввод ограничений стал использоваться достаточно часто, так как многие стремятся в Интернет, чтобы использовать
312
его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саму рассылку информации, на получение которой существует договор. По первому варианту доступ к приватным документам можно разрешить либо, наоборот, запретить, используя IP-адреса конкретных машин или сеток, например:
123.456.78.9
123.456.79.
В этом случае доступ будет разрешен (или запрещен — в зависимости от контекста) для машины с IP-адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
В варианте ограничения по идентификатору получателя доступ к приватным документам можно разрешить либо, наоборот, запретить, используя присвоенное конкретному пользователю имя и пароль. Причем пароль в явном виде нигде не хранится.
Рассмотрим следующий пример. Агентство печати предоставляет свою продукцию только своим подписчикам, которые заключили договор и оплатили подписку. WWW-сервер находится в сети Интернет и общедоступен. В этом случае пользователь использует присвоенное ему имя и пароль. Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае — получает сообщение.
Информационная безопасность в Интранете. Архитектура Интранет подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите процессов переработки информации.
В Интранет-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-серверу. Web-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа. Кроме того, необходимо обеспечение новых свойств, особенно безопасности программной среды и на серверной, и на клиентской сторонах.
Меры по обеспечению ИБ в Интранете можно подразделить на четыре уровня:
•	законодательный (законы, нормативные акты, стандарты и т.д.);
•	административный (действия общего характера, предпринимаемые руководством организации);
•	процедурный (конкретные меры безопасности);
•	программно-технический (конкретные технические меры).
В настоящее время наиболее подробным законодательным документом в области ИБ является Уголовный кодекс РФ.
В разд. IX «Преступления против общественной безопасности» имеется гл. 28 «Преступления в сфере компьютерной информа
313
ции». Она содержит три статьи: ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ» и ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».
Уголовный кодекс РФ стоит на страже всех аспектов ИБ: доступности, целостности, конфиденциальности, предусматривая наказания за уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Весьма энергичную работу в области современных ИТ проводит Гостехкомиссия России. В рамках серии руководящих документов (РД) Гостехкомиссии России подготовлен проект РД, устанавливающий классификацию межсетевых экранов (firewalls, или брандмауэров) по уровню обеспечения защищенности от НСД. Это важный документ, позволяющий упорядочить использование защитных средств, необходимых для реализации технологии Интранет.
Стратегия безопасности определяется как совокупность документированных управленческих решений, направленных на защиту процессов переработки информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
•	разделение обязанностей;
•	усиление самого слабого звена;
•	«эшелонированность» обороны;
•	минимизация привилегий;
•	невозможность перехода в небезопасное состояние;
•	разнообразие защитных средств;
•	простота и управляемость информационной системы;
•	обеспечение всеобщей поддержки мер безопасности.
Применительно к межсетевым экранам все информационные потоки в защищаемую сеть и из нее должны проходить через экран. Не должно быть тайных модемных входов или тестовых линий, идущих в обход экрана.
Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения ИБ приобретает организационный и социальный характер.
Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важный для организации процесс. Это особенно важно для предотвращения злонамеренных или неквалифицированных действий системного администратора.
314
Усиление самого слабого звена требует сначала его установления, а затем реализации мер по его усилению.
Реализация принципа «эшелонированности» обороны предписывает не полагаться на одну защитную преграду, какой бы надежной она ни казалась. За многоуровневыми средствами физической защиты должен следовать уровень защиты программно-технических средств, за идентификацией и аутентификацией — управление доступом и как последний рубеж — протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.
Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости ломается механизм подъемного моста, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.
Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).
Очень важен принцип простоты и управляемости информационной системы в целом и, особенно, защитных средств. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование. В этой связи важна интегрирующая роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и трудноуправляемой.
Принцип обеспечения всеобщей поддержки мер безопасности носит организационный и социальный характер проявления. Если пользователи и (или) системные администраторы считают ИБ чем-то излишним или даже враждебным, то режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояль
315
ности персонала, на постоянное теоретическое и практическое обучение.
Анализ рисков — важнейший этап выработки стратегии безопасности. При оценке рисков, которым подвержены Интранет-системы, нужно учитывать:
•	новые угрозы по отношению к старым сервисам, которые следуют из возможности пассивного или активного прослушивания сети. Пассивное прослушивание означает чтение сетевого трафика, а активное — его изменение (кражу, дублирование или модификацию передаваемых данных). Например, аутентификация удаленного клиента с помощью пароля многократного использования не может считаться надежной в сетевой среде, независимо от длины пароля;
•	новые (сетевые) сервисы и ассоциированные с ними угрозы.
Как правило, в Интранет-системах следует придерживаться принципа «все, что не разрешено, то запрещено», поскольку лишний сетевой сервис может предоставить канал проникновения в корпоративную систему. Ту же мысль выражает положение «все непонятное — опасно».
Интранет-технология не предъявляет каких-либо специфических требований к мерам процедурного уровня. Отдельного рассмотрения заслуживают лишь два обстоятельства:
•	описание должностей, связанных с определением, наполнением и поддержанием корпоративной гипертекстовой структуры официальных документов;
•	поддержка жизненного цикла информации, наполняющей Интранет.
При описании должностей целесообразно исходить из аналогии между Интранетом и, например, издательством. В издательстве существует директор, определяющий общую направленность деятельности. В Интранете ему соответствует Web-администратор, решающий, какая корпоративная информация должна присутствовать на Web-сервере и как следует структурировать дерево (точнее, граф) HTML-документов.
В многопрофильных издательствах существуют редакции, занимающиеся конкретными направлениями (математические книги, детские книги и т.д.). Аналогично в Интранете выделяют должность публикатора, ведающего появлением документов отдельных подразделений и определяющего перечень и характер публикаций.
У каждой книги есть титульный редактор, отвечающий перед издательством за свою работу. В Интранете редакторы занимаются вставкой документов в корпоративное дерево, их коррекцией и удалением. В больших организациях «слой» публикатор/редактор может состоять из нескольких уровней.
Наконец, и в издательстве, и в Интранет должны быть авторы, создающие документы. Они не должны иметь прав на модифика
316
цию корпоративного дерева и отдельных документов, их дело — передать свой труд редактору.
Кроме официальных, корпоративных документов в Интранете могут присутствовать групповые и личные документы, порядок работы с которыми (роли, права доступа) определяется, соответственно, групповыми и личными интересами.
Для поддержки жизненного цикла Интранет-информации необходимо использовать средства конфигурационного управления. Достоинство Интранет-технологии заключается в том, что основные операции конфигурационного управления — внесение изменений (создание новой версии) и извлечение старой версии документа — естественным образом вписываются в рамки Web-интерфейса.
На первое место среди таких мер программно-технического уровня обеспечения ИБ Интранета также можно поставить межсетевые экраны — средство разграничения доступа, служащее для защиты от внешних угроз и угроз со стороны пользователей других сегментов корпоративных сетей (см. подразд. 5.4.5).
Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС — это огромная программа, содержащая помимо явных ошибок некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений (как и врач, не знающий всех побочных воздействий рекомендуемых лекарств). Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и (или) редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.д.).
Единственный перспективный путь связан с разработкой специализированных защитных средств, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.
Межсетевой экран для Интранета — это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 5.7). Контроль информационных потоков заключается в их фильтрации, т.е. в выборочном пропускании через экран, возможно, с выполнением неко-
317
Рис. 5.7. Схема межсетевого экрана Интранет
торых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов стратегии безопасности организации.
Целесообразно разделить случаи, когда экран устанавливается на границе с внешней (обычно общедоступной) сетью или на границе между сегментами одной корпоративной сети (соответственно мы будем говорить о внешнем и внутреннем межсетевых экранах).
Как правило, при общении с внешними сетями в Интранете, как в любой КС, используется исключительно семейство протоколов TCP/IP. Поэтому внешний межсетевой экран должен учитывать специфику этих протоколов. Для внутренних экранов ситуация сложнее. Здесь следует принимать во внимание помимо TCP/IP, по крайней мере, протоколы SPX/IPX, применяемые в сетях Novell NetWare. Иными словами, от внутренних экранов нередко требуется многопротокольность.
Ситуации, когда корпоративная сеть содержит лишь один внешний канал, является, скорее, исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования (рис. 5.8). В этом случае каждое подключение должно защищаться своим экраном. Можно считать, что корпоративный внешний межсетевой экран является составным и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.
При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по тому, на каком уровне производится фильтрация — канальном, сетевом, транспортном или прикладном. Соответственно можно говорить об экранирующих концентраторах, о маршрутизаторах, транспортном экранировании и прикладных экранах. Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях.
318
При принятии решения «пропустить/не пропустить» межсетевые экраны могут использовать не только информацию, содержащуюся в фильтруемых потоках, но и данные, полученные из окружения, например текущее время.
Таким образом, возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Чем выше уровень в модели ISO/OSI, на котором функционирует экран, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В то же время фильтрация на каждом из перечисленных выше уровней обладает своими достоинствами, такими как низкая стоимость, высокая эффективность или прозрачность для пользователей. В большинстве случаев используются смешанные конфигурации, в которых объединены разнотипные экраны. Наиболее типичным является сочетание экранирующих маршрутизаторов и прикладного экрана с внешними и внутренними сетями, схема соединения которых приведена на рис. 5.9.
Приведенная конфигурация называется экранирующей подсетью. Как правило, сервисы, которые организация предоставляет
Рис. 5.8. Схема экранирования корпоративной сети, состоящей из нескольких территориально разнесенных сегментов (площадок), каждый из которых подключен к сети общего пользования
319
Внешняя сеть (Интранет)
Экранируемая подсеть
Внешний экранирующий маршрутизатор
Прикладной экран
Внешний экранирующий маршрутизатор
Внутрення сеть
Рис. 5.9. Схема соединения экранирующих маршрутизаторов и прикладного экрана с внешними и внутренними сетями
для внешнего применения (например, представительский Web-cep-вер), целесообразно выносить как раз в экранирующую подсеть.
Помимо выразительных возможностей и допустимого числа правил качество межсетевого экрана определяется еще двумя характеристиками: простотой применения и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций. В свою очередь, в последнем аспекте выделяют средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор, и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, запрещенных стратегией безопасности.
Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. При выполнении централизованного администрирования следует еще позаботиться о защите информации от пассивного и активного прослушивания сети, т.е. обеспечить целостность и конфиденциальность информации.
Природа экранирования (фильтрации) как механизма безопасности очень глубока. Помимо блокирования потоков данных, нарушающих стратегию безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя
320
действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном. Такая схема истинных и кажущихся информационных потоков представлена на рис. 5.10. При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется.
Более общим методом сокрытия информации о топологии защищаемой сети является трансляция внутренних сетевых адресов, которая попутно решает проблему расширения адресного пространства, выделенного организации.
Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый видит лишь то, что ему положено. Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, в частности к таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация баз данных.
Безопасность программной среды может быть обеспечена применением активных агентов (когда между компьютерами передаются не только пассивные, но и активные исполняемые данные, т.е. программы). Первоначальная цель — уменьшить сетевой трафик, выполняя основную часть обработки там, где располагаются данные (приближение программ к данным). На практике это означает перемещение программ на серверы. Классический пример реализации подобного подхода — это хранимые процедуры в реляционных СУБД.
Субъекты и объекты
Истинные информационные потоки
Рис. 5.10. Истинные и кажущиеся информационные потоки
321
Для Web-серверов аналогом хранимых процедур являются программы, обслуживающие общий шлюзовый интерфейс (CGI — Common Gateway Interface).
CGI-процедуры располагаются на серверах и обычно используются для динамического порождения HTML-документов. Стратегия безопасности организации и процедурные меры должны определять, кто имеет право помещать на сервер CGI-процедуры. Жесткий контроль здесь необходим, поскольку выполнение сервером некорректной программы может привести к тяжелым последствиям. Разумная мера технического характера — минимизация привилегий пользователя, от имени которого выполняется Web-сервер.
В технологии Интранет, если заботиться о качестве и выразительной силе пользовательского интерфейса, возникает необходимость перемещения программ с Web-серверов на клиентские компьютеры — для создания анимации, выполнения семантического контроля при вводе данных и т.д. Активные агенты — это неотъемлемая часть технологии Интранет.
В каком бы направлении ни перемещались программы по сети, эти действия представляют повышенную опасность, так как программа, полученная из ненадежного источника, может содержать непреднамеренно внесенные ошибки или целенаправленно созданный зловредный код. Такая программа потенциально угрожает всем основным аспектам ИБ:
•	доступности (программа может поглотить все наличные ресурсы);
•	целостности (программа может удалить или повредить данные);
•	конфиденциальности (программа может прочитать данные и передать их по сети).
Так, система программирования Java предлагает три оборонительных рубежа:
•	надежность языка;
•	контроль при получении программ;
•	контроль при выполнении программ.
Существует еще одно очень важное средство обеспечения ИБ — беспрецедентная открытость Java-системы. Исходные тексты Java-компилятора и интерпретатора доступны для проверки, поэтому велика вероятность, что ошибки и недочеты первыми будут обнаруживать честные специалисты, а не злоумышленники.
В концептуальном плане наибольшие трудности представляет контролируемое выполнение программ, загруженных по сети. Прежде всего, необходимо определить, какие действия считаются для таких программ допустимыми. Если исходить из того, что Java — это язык для написания клиентских частей приложений, одним из основных требований к которым является мобильность,
322
то загруженная программа может обслуживать только пользовательский интерфейс и осуществлять сетевое взаимодействие с сервером. Программа не может работать с файлами хотя бы потому, что на Java-терминале их, возможно, не будет. Более содержательные действия должны производиться на серверной стороне или осуществляться программами, локальными для клиентской системы.
Интересный подход предлагают специалисты компании Sun Microsystems для обеспечения безопасного выполнения командных файлов. Речь идет о среде Safe-Tcl (Tool Comman Language — инструментальный командный язык). Sun предложила так называемую ячеечную модель интерпретации командных файлов. Существует главный интерпретатор, которому доступны все возможности языка.
Если в процессе работы приложения необходимо выполнить сомнительный командный файл, то порождается подчиненный командный интерпретатор, обладающий ограниченной функциональностью (например, из него могут быть удалены средства работы с файлами и сетевые возможности). В результате потенциально опасные программы оказываются заключенными в ячейки, защищающие пользовательские системы от враждебных действий. Для выполнения действий, которые считаются привилегированными, подчиненный интерпретатор может обращаться с запросами к главному. Здесь просматривается аналогия с разделением адресных пространств операционной системы и пользовательских процессов и использованием последними системных вызовов. Подобная модель уже около 30 лет является стандартной для многопользовательских ОС.
Наряду с обеспечением безопасности программной среды важнейшим является вопрос о разграничении доступа к объектам Web-сервиса. Для решения этого вопроса необходимо уяснить, что является объектом, как идентифицируются субъекты и какая модель управления доступом — принудительная или произвольная — применяется.
В Web-серверах объектами доступа выступают универсальные локаторы ресурсов (URL — Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности: HTML-файлы, CGI-процедуры и т.д. Как правило, субъекты доступа идентифицируются по IP-адресам и (или) именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.
В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.
323
Для раннего выявления попыток нелегального проникновения в Web-сервер важен регулярный анализ регистрационной информации.
Защита системы, на которой функционирует Web-сервер, должна следовать универсальным рекомендациям, главной из которых является максимальное упрощение. Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии — упорядочены в соответствии со служебными обязанностями.
Еще один общий принцип заключается в том, чтобы минимизировать объем информации о сервере, которую могут получить пользователи. Многие серверы в случае обращения по имени каталога и отсутствия файла index.HTML в нем выдают HTML-вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов с исходными текстами CGI-процедур или с иной конфиденциальной информацией. Такого рода дополнительные возможности целесообразно отключать, поскольку лишнее знание (злоумышленника) умножает печали (владельца сервера).
Методы, применяемые в открытых сетях для подтверждения и проверки подлинности субъектов, должны быть устойчивы к пассивному и активному прослушиванию сети. Суть их сводится к следующему:
•	субъект демонстрирует знание секретного ключа; при этом ключ либо вообще не передается по сети, либо передается в зашифрованном виде;
•	субъект демонстрирует обладание программным или аппаратным средством генерации одноразовых паролей или средством, работающим в режиме запрос —ответ. Нетрудно заметить, что перехват и последующее воспроизведение одноразового пароля или ответа на запрос ничего не дает злоумышленнику;
•	субъект демонстрирует подлинность своего местоположения, при этом используется система навигационных спутников.
Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом — криптографическим. Так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане ИБ. Выделенные линии хотя бы частично будут располагаться в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение. Единственное достоинство — это гарантированная пропускная способность выделенных линий, а вовсе не какая-то повышенная защищенность. Впрочем, современные оптоволоконные каналы способны удовлетворить потребности многих абонентов, поэтому и указанное достоинство не всегда реально.
324
В мирное время 95 % трафика Министерства обороны США передается через сети общего пользования (в частности, через Интернет). В военное время эта доля должна составлять лишь 70 %. Можно предположить, что Пентагон — не самая бедная организация. Американские военные полагаются на сети общего пользования потому, что развивать собственную инфраструктуру в условиях быстрых технологических изменений — занятие очень дорогое и бесперспективное, оправданное даже для важных национальных организаций только в исключительных случаях.
Представляется естественным возложить на межсетевой экран задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтобы такое шифрование/дешиф-рование стало возможным, должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов.
После того как межсетевые экраны осуществили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность сегментов сети проявляется лишь в разной скорости обмена с разными сегментами. В остальном вся сеть выглядит как единое целое, а от абонентов не требуется привлечение каких-либо дополнительных защитных средств.
Важнейшим аспектом ИБ также является управляемость системы. Управляемость системы — это и поддержание высокой доступности системы за счет раннего выявления и ликвидации проблем, и возможность изменения аппаратной и программной конфигурации в соответствии с изменившимися условиями или потребностями, и оповещение о попытках нарушения информационной безопасности практически в реальном времени, и снижение числа ошибок администрирования, и многое другое.
Наиболее остро проблема управляемости встает на клиентских рабочих местах и на стыке клиентской и серверной частей информационной системы. Причина проста — клиентских мест гораздо больше, чем серверных, они, как правило, разбросаны по значительно большей площади, их используют люди с разной квалификацией и привычками. Обслуживание и администрирование клиентских рабочих мест — занятие чрезвычайно сложное, дорогое и чреватое ошибками. Технология Интранет за счет простоты и однородности архитектуры позволяет сделать стоимость администрирования клиентского рабочего места практически нулевой. Важно и то, что замена и повторный ввод в эксплуатацию клиентского компьютера могут быть осуществлены очень быстро, поскольку это «клиенты без состояния», у них нет ничего, что требовало бы длительного восстановления или конфигурирования.
На стыке клиентской и серверной частей Интранет-системы находится Web-сервер. Это позволяет иметь единый механизм регистрации пользователей и наделения их правами доступа с по
325
следующим централизованным администрированием. Взаимодействие с многочисленными разнородными сервисами оказывается скрытым не только от пользователей, но и в значительной степени от системного администратора.
Задача обеспечения ИБ в Интранете оказывается более простой, чем в случае произвольных распределенных систем, построенных в архитектуре клиент/сервер. Причина тому — однородность и простота архитектуры Интранет. Если разработчики прикладных систем сумеют в полной мере воспользоваться этим преимуществом, то на программно-техническом уровне им будет достаточно несколько недорогих и простых в освоении продуктов. Правда, к этому необходимо присовокупить продуманную стратегию безопасности и целостный набор мер процедурного уровня.
Контрольные вопросы
1.	Какие средства аутентификации пользователей КС вы знаете?
2.	Перечислите средства идентификации пользователей КС.
3.	Что такое диспетчер доступа?
4.	Перечислите защитные механизмы программно-аппаратных комплексов защиты ПЭВМ. Приведите примеры.
5.	Какие методы контроля целостности ПО вы знаете?
6.	Перечислите методы противодействия дизассемблированию.
7.	Что такое ОБИ и как организуется его работа?
8.	Приведите основные классификационные признаки компьютерных вирусов.
9.	Приведите разновидности файловых вирусов.
10.	Какие методы, средства и технологии борьбы с компьютерными вирусами вы знаете?
11.	Перечислите основные правила безопасной работы КС.
12.	Чем обеспечивается целостность и доступность информации в КС?
13.	Перечислите основные рекомендации эффективного обеспечения ИБ ОС.
14.	Что такое инференция, агрегирование, комбинирование запросов?
15.	Приведите основные методы и средства обеспечения ИБ в вычислительных сетях.
16.	Для чего предназначены и чем отличаются модели протоколов OSI и TCP/IP?
17.	В чем заключается метод межсетевого экранирования?
18.	Перечислите основные методы и средства защиты процессов переработки информации в Интернете и Интранете.
СПИСОК ЛИТЕРАТУРЫ
1.	Буг Г. Объектно-ориентированное проектирование с примерами применения / Г. Буг. — М.: Конкорд, 1992.
2.	Галатенко В. И. Информационная безопасность // Открытые системы. - М., 1995.-№5(13).
3.	Герасименко В. А. Основы защиты информации / В. А. Герасименко, А. А. Мамок. — М.: МИФИ, 1997.
4.	Глазов Б.И. Методические основы информационно-кибернетической системотехники / Б. И. Глазов. — М. : РВСН, 1992.
5.	Грушо А. А. Теоретические основы защиты информации / А. А. Гру-шо, Е.Е. Тимонина. — М. : Изд. Агентства «Яхтсмен», 1996.
6.	Завгородний В. И. Комплексная защита информации в компьютерных системах: учеб, пособие / В. И. Завгородний. — М.: ЛОГОС: ПБОЮЛ Н. А. Егоров, 2001.
7.	Колмогоров А. Н. Теория информации и теория алгоритмов / А. Н. Колмогоров. — М.: Наука, 1987.
8.	Крутов С. В. Защита в операционных системах / С. В. Крутов, И. В. Мацкевич, В. Г. Проскурин. — М. : Радио и связь, 2000.
9.	Кузьмин И. В. Аппаратный контроль ЭЦВМ / И. В. Кузьмин, Р. Г. Бурназян, А. А. Ковергин. — М. : Энергия, 1974.
10.	Ловцов Д. А. Введение в информационную теорию АСУ /Д. А. Ловцов. — М.: Военная академия им. Ф.Э. Дзержинского, 1996.
11.	Мамиконов А. Г. Проектирование АСУ / А. Г. Мамиконов. — М. : Высш, шк., 1987.
12.	Медновский И.Д. Атака через INTERNET / И.Д. Медновский, П.В. Семьянов, В. В. Платонов ; под ред. П.Д. Зегжды. — СПб. : Мир и семья, 1997.
13.	Мельников В. В. Защита информации в компьютерных системах / В. В. Мельников. — М. : Финансы и статистика : Электроинформ, 1997.
14.	Мельников В.П. Информационная безопасность : учеб, пособие / В. П. Мельников, С. А. Клейменов, А. М. Петраков ; под ред. С. А. Клейменова. — М.: Изд. центр «Академия», 2005.
15.	Моисеев Н. Н. Элементы теории оптимальных систем / Н. Н. Моисеев. — М.: Наука, 1975.
16.	Николаев В. М. Системотехника: методы и приложения / В. М. Николаев, В. М. Брук. — Л.: Машиностроение. Ленингр. отд-ние, 1985.
17.	Партыка Т.Л. Информационная безопасность : учеб, пособие / Т.Л.Партыка, И. И. Попов. — М. : Форум : Инфра-М, 2002.
18.	СяоД. Защита ЭВМ / Д.Сяо, Д. Керр, С.Мэдник; пер. с англ. — М.: Мир, 1982.
19.	Теория информации и ее приложения : Сборник переводов / под ред. А. А. Харкевича. — М.: Физматиздат, 1959.
327
20.	Теория и практика обеспечения информационной безопасности / под ред. П.Д. Зегжды. — М.: Изд. Агентства «Яхтсмен», 1996.
21.	Торокин А. А. Основы инженерно-технической защиты информации / А. А. Торокин. — М. : ОСЬ-89, 1998.
22.	Урсул А.Д. Путь в ноосферу. Концепция выживания и безопасности развития цивилизации /А.Д. Урсул. — М. : Машиностроение, 1990.
23.	Фигурнов В.Э. IBM PC для пользователя / В. Э. Фигурнов. — М. : Инфра-М, 1996.
24.	Харкевич А. А. О ценности информации // Проблемы кибернетики / А. А.Харкевич. — М.: Наука, 1960. — Вып. 4. — С. 53 — 59.
25.	Хоффман Л. Дж. Современные методы защиты информации : пер. с англ. / Л. Дж. Хоффман. — М.: Сов. радио, 1980.
26.	Шилейко А. В. Введение в информационную теорию систем / А.В.Шилейко, В.Ф.Кочнев, Ф.Ф.Химушин ; под ред. А.В.Шилейко. — М. : Радио и связь, 1985.
27.	Шрейдер Ю.А. О семантических аспектах теории информации. Информация и кибернетика / Ю.А. Шрейдер. — М. : Сов. радио, 1967.
28.	Шураков В. В. Обеспечение сохранности информации в системах обработки данных / В. В. Шураков. — М. : Финансы и статистика, 1985.
29.	Юзвишин И. И. Основы информациологии : учебник / И. И. Юзви-шин. — 3-е изд., перераб. и доп. — М.: Высш, шк., 2001.
30.	ГОСТ Р 34.10 — 94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. — М.: Росстандарт, 1994.
31.	Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели незащищенности от НСД к информации. — М. : Jet Info, 1997.
32.	Доктрина информационной безопасности Российской Федерации. Утверждена Президентом РФ 09.09.2000. Совм. изд. ред. «Российская газета» и Международной Академии Информатизации. — М.: Межд. изд. «Ин-формациология», 2000.
33.	Кодекс Российской Федерации об административных правонарушениях. — М. : Инфра-М, 2002.
34.	Bell D., L.La Padula. Secure Computer System : Mathematical Foundation, ESD-TR-73-278. — V.l. — MITRE Corporation.
35.	Lendwehr C.E., Heitmeyer C.L., McLean J. // A security models for military message system. — ACM transactions of computer systems, 1984.
36.	Lendwehr C. Formal models for Computer Security. ACM Computing Surveys. — Vol. 13. — № 3. — 1984.
ОГЛАВЛЕНИЕ
Предисловие............................................... 3
Список сокращений..........................................7
Глава 1. Информационная безопасность деятельности общества и ее основные положения.........................................10
1.1. Информационные геополитические и экономические процессы современного общества..................................10
1.1.1. Основные положения информатизации общества и обеспечение безопасности его деятельности........10
1.1.2. Составляющие национальных интересов Российской Федерации в информационной сфере...................18
1.1.3. Основные свойства и характеристики информационного обеспечения безопасности функционирования
информационных систем управления предприятий и фирм ...20
1.2. Комплексное обеспечение ИБ государства и организационных
структур.................................................29
1.2.1.	Основные положения государственной политики обеспечения ИБ РФ........................................29
1.2.2.	Система обеспечения ИБ РФ, ее основные функции и организационные основы.................................33
1.2.3.	Общие методы обеспечения ИБ РФ....................34
1.2.4.	Особенности обеспечения ИБ РФ в различных сферах жизни общества...........................................35
1.3. Организационные, физико-технические, информационные и программно-математические угрозы.......................43
1.3.1.	Комплексные и глобальные угрозы ИБ деятельности человечества и обществ...................................43
1.3.2.	Источники угроз ИБ РФ.............................46
Глава 2. Организационное и правовое	обеспечение ИБ..........52
2.1.	Правовое регулирование информационных потоков в различных видах деятельности общества.................................52
2.2.	Международные и отечественные правовые и нормативные акты обеспечения ИБ процессов переработки информации.............57
2.2.1.	Международные правовые и нормативные акты
обеспечения ИБ......................................58
2.2.2.	Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ...................61
2.3.	Организационное регулирование защиты процессов переработки информации..................................................63
329
2.3.1.	Категорирование объектов и защита информационной собственности............................................64
2.3.2.	Ответственность за нарушение законодательства в информационной сфере...................................71
Глава 3. Методологические основы обеспечения информационной безопасности жизнедеятельности общества и его структур......75
3.1.	Современные подходы к обеспечению решения проблем ИБ деятельности общества......................................75
3.2.	Методология информационного противоборства............81
3.2.1.	Цели, задачи, признаки и содержание геополитического информационного противоборства...........................81
3.2.2.	Информационно-манипулятивные технологии..........85
3.2.3.	Технологии информационного противоборства в Интернете и их анализ..............................................96
3.3.	Области и объекты защиты информационной деятельности на предприятиях и в организациях..........................100
3.3.1.	Области и сферы обеспечения ИБ предприятий
и организаций......................................100
3.3.2.	Производственные и социальные объекты защиты информационной деятельности и обеспечения ИБ............102
3.4.	Технологии обеспечения безопасности обработки информации в управлении информационными объектами....................107
3.4.1.	Современные подходы к технологиям и методам
обеспечения ИБ на предприятиях.....................107
3.4.2.	Технологии предотвращения угроз ИБ деятельности предприятий.............................................117
3.4.3.	Методы и средства парирования угроз.............143
3.4.4.	Методы и средства нейтрализации угроз...........149
Глава 4. Методологическое и техническое обеспечение ИБ функционирования предприятий..............................158
4.1.	Методологические основы технического обеспечения защиты процессов переработки информации и контроля
ее эффективности.......................................158
4.1.1.	Системы оповещения о попытках вторжения.........158
4.1.2.	Системы опознавания нарушителей.................163
4.1.3.	Механическая защита объекта.....................166
4.1.4.	Автоматизация технического контроля защиты потоков информации..............................................169
4.2.	Комплексный и системный подходы к обеспечению ИБ объектов, технических средств и физических лиц.............'........176
4.2.1.	Методология и содержание обеспечения ИБ
при комплексном и системном подходах...............176
4.2.2.	Системная реализация защиты процессов переработки информации на отдельных объектах информационных систем управления.......................................180
330
4.3.	Общие вопросы организации противодействия информационной и технической агрессии. Защита технических средств и объектов предприятий от утечки информации и несанкционированного доступа....................................................189
4.4.	Эффективность защиты процессов переработки информации и методология ее расчета...................................194
Глава 5. Программно-аппаратные средства обеспечения ИБ функционирования организаций...............................202
5.1.	Методы и средства ограничения доступа к компонентам ЭВМ. Программно-аппаратные средства зашиты ПЭВМ..................202
5.1.1.	Методы и средства ограничения доступа к компонентам
ЭВМ................................................202
5.1.2.	Программно-аппаратные средства защиты ПЭВМ.......211
5.2.	Методы и средства организации обеспечения хранения и переработки информации в КС..............................220
5.3.	Защита программного обеспечения от изучения, вирусного заражения, разрушающих программных действий и изменений ... 223 5.3.1. Основные классификационные признаки компьютерных
вирусов............................................223
5.3.2.	Некоторые компьютерные	вирусы....................227
5.3.3.	Методы и технологии борьбы с компьютерными вирусами...............................................231
5.3.4.	Условия безопасной работы КС и технология обнаружения заражения вирусами.....................................235
5.3.5.	Контроль целостности и системные вопросы защиты программ и данных......................................238
5.4.	Программно-аппаратные средства обеспечения ИБ в типовых ОС, СУБД и вычислительных сетях..................244
5.4.1.	Основные положения программно-аппаратного
и организационного обеспечения ИБ в операционных системах...........................................244
5.4.2.	Защита процессов переработки информации в СУБД...245
5.4.3.	Обеспечение	ИБ в ОС DOS и WINDOWS................248
5.4.4.	Обеспечение	ИБ в ОС Linux и UNIX.................256
5.4.5.	Программно-аппаратные средства обеспечения ИБ в вычислительных сетях.................................277
5.4.6.	Методы и средства защиты процессов переработки информации в локальном	и внешнем сегментах КС.....286
5.4.7.	Защита процессов переработки информации в Интернете и Интранете............................................298
Список литературы..........................................327
Учебное издание
Мельников Владимир Павлович Клейменов Сергей Анатольевич Петраков Александр Михайлович
Информационная безопасность и защита информации
Учебное пособие
Под редакцией С. А. Клейменова
3-е издание, стереотипное
Редактор Е.А. Балыко
Технический редактор Е. Ф. Коржуева Компьютерная верстка: В.А.Крыжко Корректоры Т. В. Кузьмина, И. В. Могилевец
Изд. № 103109855. Подписано в печать 24.12.2007. Формат 60x90/16.
Гарнитура «Таймс». Бумага офсетная № 1. Печать офсетная. Уел. печ. л, 21,0.
Тираж 2 500 экз. Заказ № 25685.
Издательский центр «Академия», www.acadcmia-moscow.ru
Санитарно-эпидемиологическое заключение № 77.99.02.953.Д.004796.07.04 от 20.07.2004. 117342, Москва, ул. Бутлерова, 17-Б, к. 360. Тел./факс: (495)330-1092, 334-8337.
Отпечатано в ОАО «Саратовский полиграфкомбинат».
410004, г. Саратов,'ул. Чернышевского, 59. www.sarpk.ru