Метод и модель рефлексивного управления защищённостью сетевых автоматизированных систем Карманов Андрей Геннадиевич

Содержание к диссертации

Введение

1. Обзор информационной безопасности сетевых технологий и компьютерных систем в мировом информационном пространстве .8

1.1. Основные аспекты информационного противодействия в экономической сфере 8

1.1.1. Определение и сфера действия 8

1.1.2. Информационная эра 12

1.1.3. Что такое информационная война? 12

1.2. Информационная безопасность сетевых технологий и компьютерных систем 18

1.2.1. Основные понятия компьютерной безопасности 18

1.2.2. Особенности безопасности компьютерных сетей 19

1.2.3. Классификация удаленных атак на распределенные вычислительные системы 20

1.2.4. Причины успеха удаленных атак на сеть Internet 24

1.3. Защита от удаленных атак в сетевых информационных технологиях 27

1.3.1. Программно-аппаратные методы защиты от удаленных атак в сети Internet 27

1.3.2. Программные методы защиты, применяемые в сети Internet 29

1.3.4. Методы повышения безопасности информационных систем посредством рефлексивного управления динамической защитой 35

2. Методы и модели рефлексивного взаимодействия СЗИ и угроз защиты 37

2.1. Изображение простейшего процесса принятия решения в вопросах рефлексивного управления динамической защитой АИС.37

2.1.2. Вариант решения частной задачи получения информации о персонажах (без учета внутреннего мира персонажа) 38

2.1.3. Построение простейшего процесса принятия решения в вопросах рефлексивного управления в динамической защите АИС... 41

2.2. Рефлексивное управление динамической защитой АИС .. 46

2.2.1. Рефлексивное управление динамической защитой АИС в конфликте между X и Y в рамках многочлена S = Р + Рх + (Р + Рх)у.. 46

2.2.2. Рефлексивное управление динамической защитой АИС в конфликте, протекающем в рамках многочлена S=P+(P+Py)z+(P+(P+Py)z)y 49

2.2.3. Рефлексивное управление динамической защитой АИС в конфликте, протекающем в рамках многочлена S=P+(P+Px)y+(P+(P+Px)y)x 52

2.2.4. Изображение рефлексивной системы при последовательном осознании 54

2.3. Управление процессом рефлексивного управления защитой АИС 61

2.3.1. Управление процессом рефлексивного управления защитой объектов информатики 61

2.3.2. Графический способ изображения процессов управления рефлексивным управлением защиты ОИ 62

2.3.3. Символический способ изображения процессов управления рефлексивным управлением динамической защиты ОИ 64

2.3.4. Связь Г-многочленов с S-многочленами 66

3. Проектирование систем рефлексивного управления динамической защитой 71

3.1. Проблемы проектирования сложных программных средств рефлексивного управления динамической защитой 71

3.2. Организационная структура подготовки и реализации информационного управления системой рефлексивного управления динамической защиты 82

3.3. Модели и методы концептуальной разработки систем рефлексивного управления динамической защитой в сетевой АС.. 92

3.3.1. Структура описания предметной области 93

3.3.2. Типы и правила объединения элементов модели 100

Заключение 106

Список литературы 122

Приложение 126

• Информационная безопасность сетевых технологий и компьютерных систем
• Рефлексивное управление динамической защитой АИС
• Управление процессом рефлексивного управления защитой АИС
• Организационная структура подготовки и реализации информационного управления системой рефлексивного управления динамической защиты

Введение к работе

Современные сетевые технологии уже трудно представить без защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам защиты, может ли администратор безопасности своевременно узнать о начале таких атак?

Противостояние атакам важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.

Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостеи. Процесс анализа защищенности предполагает исследование сети для выявления в ней слабых мест и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются: люки в системах (back door) и программы типа троянский конь ; слабые пароли; восприимчивость к проникновению из внешних систем и атакам типа отказ в обслуживании ; отсутствие необходимых обновлений (patch, hotfix) операционных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Обнаружение атак это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и оценивают различные операции, в том числе с учетом известных уязвимостеи. a ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.

Учёт перечисленных факторов требует ведения дополнительных исследований информационных конфликтующих структур в АИС, с целью введения рефлексивного управления динамической защитой в глобальных информационных сетях.

Данным направлением занимаются учёные Липаев В. В., Осовецкий Л. Г., Герасименко В. Г., Зегжда Ф. Д., Фетисов В. А.

Целью работы является повышение эффективности динамической защиты и создание нестандартной модели исследования поведения персонажей АИС, разработка методов, ограничивающих возможности нарушителя по преодолению систем защиты, а также введение методик действий администратора безопасности по рефлексивному управлению динамической защитой.

Задачи исследования. Для достижения поставленной цели необходимо решить следующие задачи:

1) Исследовать и проанализировать воздействия нарушителя на СЗИ и предложить методы повышения эффективности защиты АИС, что включает в себя решение следующих задач:

1.1. Разработать обобщённые модели и исследовать потенциальные возможности введения рефлексивного управления динамической защитой АИС.

1.2. С учётом возможностей рефлексивного управления динамической защиты в используемом программно-аппаратном обеспечении разработать модель функционирования АИС и оценить возможности такой защиты по предотвращению несанкционированного доступа к программно-аппаратным элементам и информационным ресурсам АИС.

1.3. Разработка методик действий администратора безопасности по рефлексивному управлению динамической защитой ( в том числе оценки степени защищённости АИС) и предложить методы повышения эффективности защиты АИС от несанкционированного доступа нарушителя.

Разработать метод, ограничивающий возможность нарушителя по преодолению и вскрытию программных алгоритмов обработки и защиты информации и эффективному применению администратором безопасности средств противодействия действиям нарушителя.

Разработать рекомендации по программно-технической реализации средств рефлексивной динамической защиты информации от несанкционированного доступа для АИС.

1. Обзор информационной безопасности сетевых технологий и компьютерных систем в мировом информационном пространстве

1.1. Основные аспекты информационного противодействия в экономической сфере

1.1.1. Определение и сфера действия

Информационная война - всеобъемлющая, целостая стратегия, обусловленная все возрастающей значимостью и ценностью информации в вопросах командования, управления и политики.

На современном этапе развития цивилизации информация играет ключевую роль в функционировании общественных, государственных институтов и в жизни каждого человека. На наших глазах процесс информатизации развивается стремительно и, зачастую, непредсказуемо, и мы лишь начинаем осознавать его социальные, политические, экономические, военные и другие последствия. Информатизация ведёт к созданию единого мирового информационного пространства, в рамках которого производится накопление, обработка, хранение и обмен информацией между объектами этого пространства - людьми, организациями, государствами. Вполне очевидно, что возможности быстрого обмена политической, экономической, научно-технической и другой информацией, применение новых информационных технологий во всех сферах общественной жизни, и особенно в производстве и управлении является несомненным благом. Но подобно тому, как быстрый промышленный рост создал угрозу экологии земли, а успехи ядерной физики породили опасность ядерной войны, так и информатизация может стать источником ряда серьезных проблем.

Переход от индустриального к информационному периоду развития общества сопровождается появлением новых понятий, образующихся на стыке научных исследований или практической деятельности различных областей знаний. Что такое информационная война, информационное оружие, информационная безопасность? Чтобы получить квалифицированное разъяснение, необходимо затронуть многие сферы деятельности, начиная от политики, права, заканчивая научными методами, «научным инструментом», который используется при изучении данной проблемы.

Все это сопровождается появлением задач, требующих незамедлительного решения. Их значимость требует научного подхода при анализе и синтезе явлений и процессов. Насколько качественно будет закладываться изначально фундамент в этих областях, настолько стройно и системно будет проходить ее дальнейшее становление и развитие. Каковы особенности информационной безопасности государства в различных сферах общественной жизни? Ответ на этот вопрос требует постоянной детальной проработки. Существующее поле угроз в сетевых технологиях приобретает все большую опасность. Постоянно увеличивающаяся концентрация информационных массивов, скорость их обработки, объем сетевого трафика, возможность удаленного информационного воздействия со скоростью распространения электромагнитных волн, создали почву для формирования конфликтующей структуры в глобальных информационных сетях.

В связи с этим необходимо выработать оптимальные методы исследования конфликтующих структур в глобальных сетях. Попытаться создать их модель, которая поможет разрешить многие научные проблемы в инфосфере. Вопрос довольно сложный, так как включает в себя, с одной стороны, сам феномен конфликта, а с другой стороны, информацию, как системообразующее понятие. Построение теории конфликта в инфосфере -это главная задача, так как конфликт в инфосфере это, прежде всего, конфликт мыслящих.

Безопасности информационных систем угрожают не только и не столько несовершеннолетние хакеры и недовольные сотрудники. Появление термина «Информационная война» означает, что предстоит столкнуться с менее проработанной, но несомненно более серьезной угрозой со стороны внешних и внутренних враждебных сил.

Следует отличать информационную войну от компьютерной преступности. Любое компьютерное преступление представляет собой факт нарушения того или иного закона. Оно может быть случайным, а может быть специально спланированным; может быть обособленным, а может быть составной частью обширного плана атаки. Напротив, ведение информационной войны никогда не бывает случайным или обособленным (и может даже не являться нарушением закона), а подразумевает согласованную деятельность по использованию информации как оружия для ведения боевых действий - будь то на реальном поле брани, либо в экономической, политической или социальной сферах.

Театр информационных боевых действий простирается от секретного кабинета до домашнего персонального компьютера и ведется на различных фронтах.

Электронное поле боя представлено постоянно растущим арсеналом электронных вооружений, преимущественно засекреченных. Говоря военным языком, они предназначены для боевых действий в области командования и управления войсками, или "штабной войны". Последние конфликты уже продемонстрировали всю мощь и поражающую силу информационных боевых действий - война в Персидском заливе и вторжение на Гаити. Во время войны в Персидском заливе силы союзников на информационном фронте провели комплекс операций в диапазоне от старомодной тактики разбрасывания пропагандистских листовок до вывода из строя сети военных коммуникаций Ирака с помощью компьютерного вируса.

Атаки инфраструктуры наносят удары по жизненно важным элементам, таким как телекоммуникации или транспортные системы. Подобные действия могут быть предприняты геополитическими или экономическими противниками или террористическими группами. Примером служит вывод из строя междугородной телефонной станции компании AT&T в 1990 году. В наши дни любой банк, любая электростанция, любая транспортная сеть и любая телевизионная студия представляют собой потенциальную мишень для воздействия из киберпространства.

Промышленный шпионаж и другие виды разведки грозят великим множеством тайных операций, осуществляемых корпорациями или государствами в отношении других корпораций или государств; например, сбор информации разведывательного характера о конкурентах, хищение патентованной информации и даже акты саботажа в форме искажения или уничтожения данных или услуг.

Конфиденциальность все более уязвима по мере появления возможности доступа к постоянно растущим объемам информации в постоянно растущем числе абонентских пунктов. Важные персоны таким образом могут стать объектом шантажа или злобной клеветы.

Как бы то ни было, термин "информационная война" обязан своим происхождением военным и обозначает жестокую и опасную деятельность, связанную с реальными, кровопролитными и разрушительными боевыми действиями. Военные эксперты, сформулировавшие доктрину информационной войны, отчетливо представляют себе отдельные ее грани: это штабная война, электронная война, психологические операции и так далее.

Следующее определение вышло из стен кабинета Директора информационных войск Министерства обороны Соединенных Штатов Америки: "Информационная война состоит из действий, предпринимаемых для достижения информационного превосходства в обеспечении национальной военной стратегии путем воздействия на информацию и информационные системы противника с одновременным укреплением и защитой нашей собственной информации и информационных систем. Информационная война представляет собой всеобъемлющую, целостную стратегию, призванную отдать должное значимости и ценности информации в вопросах командования, управления и выполнения приказов вооруженными силами и реализации национальной политики. Информационная война нацелена на все возможности и факторы уязвимости, неизбежно возникающие при возрастающей зависимости от информации, а также на использование информации во всевозможных конфликтах. Объектом внимания становятся информационные системы (включая соответствующие линии передач, обрабатывающие центры и человеческие факторы этих систем), а также информационные технологии, используемые в системах вооружений. Информационная война имеет наступательные и оборонительные составляющие, но начинается с целевого проектирования и разработки своей "Архитектуры командования, управления, коммуникаций, компьютеров и разведки", обеспечивающей лицам, принимающим решения, ощутимое информационное превосходство во всевозможных конфликтах".

Многие ведущие стратеги полагают, что противостояние армий, погибающих на полях генеральных сражений, очень скоро займет свое место на свалке истории рядом со шпорами и арбалетами. Высшая форма победы теперь состоит в том, чтобы выигрывать без крови. В то же время довольно трудно представить боевые действия как игру без страха и боли.

Таким образом, под угрозой информационной войны понимается намерение определенных сил воспользоваться поразительными возможностями, скрытыми в компьютерах, на необозримом киберпространстве, чтобы вести "бесконтактную" войну, в которой количество жертв (в прямом значении слова) сведено до минимума. Мы приближаемся к такой ступени развития, когда уже никто не является солдатом, но все являются участниками боевых действий. Задача теперь состоит не в уничтожении живой силы, но в подрыве целей, взглядов и мировоззрения населения, в разрушении социума.

Гражданская информационная война может быть развязана террористами, наркотическими картелями, подпольными торговцами оружием массового поражения. Крупномасштабное информационное противостояние между общественными группами или государствами имеет целью изменить расстановку сил в обществе.

Поскольку такая война связана с вопросами информации и коммуникаций, то если смотреть в корень, это есть война за знания - за то, кому известны ответы на вопросы: что, когда, где и почему и насколько надежными считает отдельно взятое общество или армия свои знания о себе и своих противниках.

Вот недавний пример. В марте 1996 года один из американских университетов обнародовал в Internet страницы секретной информации с описанием британских военных объектов в Северной Ирландии. Доступ к этому абонентскому пункту можно получить из любой точки земного шара и узнать подробные данные об армейской аппаратуре в Северной Ирландии, адреса предполагаемой базы службы МИ-5 и двух опорных пунктов Штаба верховного главнокомандования. Адреса директора и координатора разведывательной службы приводятся вместе с картой, демонстрирующей все военные базы и подробности операций британского экспедиционного корпуса.

1.1.2. Информационная эра

Технологическая революция привела к появлению термина "информационная эра" из-за того, что информационные системы стали частью нашей жизни и изменили ее коренным образом. Информационная эра также изменила способ ведения боевых действий, обеспечив командиров беспрецедентным количеством и качеством информации. Теперь командир может наблюдать за ходом ведения боевых действий, анализировать события и доводить информацию. Следует различать войну информационной эры и информационную войну. Война информационной эры использует информационную технологию как средство для успешного проведения боевых операций. Напротив, информационная война рассматривает информацию как отдельный объект или потенциальное оружие и как выгодную цель. Технологии информационной эры сделали возможной теоретическую возможность - прямое манипулирование информацией противника.

Что такое информация? Информация появляется на основе событий окружающего мира. События должны быть восприняты каким-то образом и проинтерпретированы, чтобы стать информацией. Поэтому информация результат двух вещей - воспринятых событий(данных) и команд, требуемых для интерпретации данных и связывания с ними значения. Отметим, что это определение абсолютно не связано с технологией. Тем не менее, что мы можем делать с информацией и как быстро мы можем это делать, зависит от технологии. Поэтому введем понятие информационной функции - это любая деятельность, связанная с получением, передачей, хранением и трансформацией информации.

Каковы военные информационные функции? Качество информации -показатель трудности ведения войны. Чем более качественной информацией владеет командир, тем большие него преимущества по сравнению с его врагом. Так в ВВС США анализ результатов разведки и прогноза погоды является основой для разработки полетного задания. Точная навигация увеличивает эффективность выполнения задания. Все вместе они являются видами военных информационных функций, которые увеличивают эффективность боевых операций. Поэтому дадим определение военным информационным функциям - это любые информационные функции, обеспечивающие или улучшающие решение войсками своих боевых задач.

1.1.3. Что такое информационная война?

Информационная война это целенаправленная деятельность конфликтующих систем, использующих высшие приоритеты (идеологически, хронологически, методологически) обобщенных средств противоборства центров кибернетической концентрации, когда в общественное сознание народа страны-жертвы агрессии внедряются такие ложные представления об окружающем мире, которые предоставляют агрессору свободно манипулировать как правительством, так и народом этой страны, и осуществлять захвата необходимых сырьевых, энергетических, людских ресурсов, без вооруженного столкновения обычного типа.

На концептуальном уровне можно сказать, что государства стремятся приобрести информацию, обеспечивающую выполнение их целей, воспользоваться ей и защитить ее. Эти использование и защита могут осуществляться в экономической, политической и военной сферах. Знание информации, которой владеет противник, является средством, позволяющим усилить нашу мощь и понизить мощь врага или противостоять ей, а также защитить наши ценности, включая нашу информацию. Информационное оружие воздействует на информацию, которой владеет враг и его информационные функции. При этом наши информационные функции защищаются, что позволяет уменьшить его волю или возможности вести борьбу.

Дадим определение информационной войне - это любое действие по использованию, разрушению, искажению вражеской информации и ее функций; защите нашей информации против подобных действий; и использованию наших собственных военных информационных функций. Это определение является основой для следующих утверждений. Информационная война - это любая атака против информационной функции, независимо от применяемых средств. Бомбардировка АТС -операция информационной войны. То же самое можно сказать и про вывод из строя программного обеспечения компьютера АТС. Информационная война - это любое действие по защите наших собственных информационных функций, независимо от применяемых средств. Укрепление и оборона здания АТС против бомбардировок - тоже часть информационной войны. То же самое можно сказать и про антивирусную программу, которая защищает программное обеспечение АТС. Информационная война - только средство, а не конечная цель, аналогично тому как бомбардировка - средство, а не цель. Информационную войну можно использовать как средство для проведения стратегической атаки или противодействия. Военные всегда пытались воздействовать на информацию, требующуюся врагу для эффективного управления своими силами. Обычно это делалось с помощью маневров и отвлекающих действий. Так как эти стратегии воздействовали на информацию, получаемую врагом, косвенно путем восприятия, они атаковали информацию врага косвенно. То есть, для того чтобы хитрость была эффективной, враг должен был сделать три вещи: наблюдать обманные действия посчитать обман правдой действовать после обмана в соответствии с целями обманывающего.

Тем не менее, современные средства выполнения информационных функций сделали информацию уязвимой к прямому доступу и манипуляции с ней. Современные технологии позволяют противнику изменить или создать информацию без предварительного получения фактов и их интерпретации. Вот краткий список характеристик современных информационных систем, приводящим к появлению подобной уязвимости: концентрированное хранение информации, скорость доступа, повсеместная передача информации, и большие возможности информационных систем выполнять свои функции автономно. Механизмы защиты могут уменьшить, но не до нуля эту уязвимость.

Составные части информационной войны

Психологические операции - использование информации для воздействия на аргументацию солдат врага.

Электронная война - не позволяет врагу получить точную информацию

Дезинформация - предоставляет врагу ложную информацию о наших силах и намерениях

Физическое разрушение - может быть частью информационной войны, если имеет целью воздействие на элементы информационных систем.

Меры безопасности - стремятся избежать того, чтобы враг узнал о наших возможностях и намерениях.

Прямые информационные атаки - прямое искажение информации без видимого изменения сущности, в которой она находится.

Виды информационных атак

Как ранее говорилось, существует два способа повлиять на информационные функции врага - косвенно или напрямую. Проиллюстрируем разницу между ними на примере. Пусть нашей целью является заставить врага думать, что авиаполк находится там, где он совсем не находится, и действовать на основании этой информации таким образом, чтобы это было выгодно нам.

Косвенная информационная атака: используя инженерные средства, мы можем построить макеты самолетов и ложные аэродромные сооружения, и имитировать деятельность по работе с ними. Мы полагаемся на то, что противник будет наблюдать ложный аэродром и считать его настоящим. Только тогда эта информация станет той, которую должен иметь противник по нашему мнению. Прямая информационная атака: если мы создаем информацию о ложном авиаполке в хранилище информации у противника, то результат будет точно такой же. Но средства, задействованные для получения этого результата, будут разительно отличаться. Другим примером прямой информационной атаки может быть изменение информации во вражеской базе данных об имеющихся коммуникациях в ходе боевых действий(внесение ложной информации о том, что мосты разрушены) для изоляции отдельных вражеских частей. Этого же можно добиться бомбардировкой мостов. И в том, и в другом случае вражеские аналитики, принимая решение на основе имеющейся у них информации, примут одно и то же решение -производить переброску войск через другие коммуникации.

Какова оборонная сторона информационной войны? Оборонительной стороной информационной войны являются меры безопасности, имеющие своей целью защитить информацию - не позволить противнику провести успешную информационную атаку на наши информационные функции. Современные меры защиты, такие как операционная безопасность и коммуникационная безопасность типичные средства по предотвращению и обнаружению косвенных действий врага, направленных на наши военные информационные функции. Напротив, такие меры защиты, как компьютерная безопасность включают в себя действия по предотвращению, обнаружению прямых информационных действий врага и организации контрдействий.

Задачи информационной войны

Существуют три задачи информационной войны: контролировать информационное пространство, чтобы мы могли использовать его, защищая при этом наши военные информационные функции от вражеских действий (контринформация). использовать контроль за информацией для ведения информационных атак на врага повысить общую эффективность вооруженных сил с помощью повсеместного использования военных информационных функций

Приведем наглядный пример применения информационной атаки при выполнении ВВС стратегической атаки. Предположим, что мы хотим ограничить стратегические возможности врага по переброске войск путем уменьшения запасов топлива. Сначала мы должны выявить нефтеперегонные заводы, которые будут наиболее подходящими целями при этой атаке. Потом нужно установить, какие заводы производят больше всего топлива. Для каждого завода нам надо выявить местоположение перегонных емкостей. Мы организуем атаку и, при значительной экономии сил, выводим заводы из строя, взрывая их только перегонные емкости, и оставляя все остальное оборудование нетронутым. Это классический пример стратегической атаки. Теперь посмотрим, как надо добиться той же цели в информационной войне. Все современные нефтеперегонные заводы имеют большие автоматизированные системы управления. В ходе анализа мы обнаружили несколько уязвимых информационных зависимостей, дающих нам средства воздействия на работу нефтеперегонного завода в нужное нам время. Позднее, в ходе конфликта, в ходе одной из операций по блокированию вражеской группировки мы использовали одно из уязвимых мест. Мы просто остановили эти заводы. Это, тоже классический пример стратегической атаки.

1.1.4. Вывод.

Для того, чтобы осуществить информационную войну, требуется как минимум предварительное благоустройство местности - некоторое "разведение ее по понятиям". В идеале - внедрение в общественное мнение истории, за которой бы следили и которой бы сопереживали. После чего -в эту историю вносится конкретная прагматическая схема. Вот пример такой, практически безупречной военно-информационной работы (сообщение "Интерфакса" начала сентября): "Министерство топлива и энергетики РФ опровергло сообщения некоторых СМИ о том, что глава этого ведомства Виктор Калюжный призвал нефтяников профинансировать блок Лужкова - Примакова. В сообщении пресс-службы Минтопэнерго, поступившем в "Интерфакс" в субботу, говорится, что "подобная дезинформация является провокацией с целью втянуть Министерство топлива и энергетики Российской Федерации, компании топливно-энергетического комплекса и лично министра Калюжного в "грязные" предвыборные политические технологии". Как отмечает пресс-служба министерства, "В. Калюжный нигде и никогда не призывал компании ТЭКа к поддержке и финансированию каких-либо политических партий, движений и блоков, не вел переговоров с кем-либо, в том числе с блоком "Отечество - Вся Россия" о включении своей кандидатуры в предвыборные списки". Министр топлива и энергетики РФ В. Калюжный неоднократно заявлял на коллегиях Минтопэнерго и публично в СМИ, что "Министерство топлива и энергетики является исполнительным, а не политическим органом, его единственной задачей является обеспечение населения и страны топливно-энергетическими ресурсами", говорится в сообщении пресс-службы".

Схема, заданная "некоторыми СМИ", вполне внятная и конкретная. Все слова известны, предполагаемые отношения не представляются невозможными. История - запомнится, ну а опровержение... ну кого это убедит: "Министерство топлива и энергетики является исполнительным, а не политическим органом, его единственной задачей является обеспечение населения и страны топливно-энергетическими ресурсами".

1.2. Информационная безопасность сетевых технологий и компьютерных систем.

1.2.1. Основные понятия компьютерной безопасности

Для того, чтобы рассматривать вопросы безопасности в Internet, необходимо ввести понятия, которыми оперирует теория компьютерной безопасности. Вообще говоря, их всего три: это угрозы, уязвимости и атаки.

Итак, угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.

Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

Далее, исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка" .

Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

1.2.2. Особенности безопасности компьютерных сетей

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно, при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы (ВС), передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удаленным атакам приобретает первостепенное значение.

Специфика распределенных ВС состоит в том, что если в локальных ВС наиболее частыми были угрозы раскрытия и целостности, то в сетевых системах, на первое место выходит угроза отказа в обслуживании.

Под удаленной атакой будем понимать информационное разрушающее воздействие на распределенную ВС, программно осуществляемое по каналам связи. Это определение охватывает обе особенности сетевых систем - распределенность компьютеров и распределенность информации. Поэтому далее будут рассмотрены два подвида таких атак - это удаленные атаки на инфраструктуру и протоколы сети и удаленные атаки на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах.

1.2.3. Классификация удаленных атак на распределенные вычислительные системы

Основная цель любой классификации состоит в том, чтобы предложить такие классификационные признаки, используя которые можно наиболее точно описать классифицируемые явления или объекты. В связи с тем, что ни в одном из известных авторам научном исследовании не проводилось различия между локальными и удаленными информационными воздействиями на ВС, то применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет наиболее точно раскрыть их сущность и описать механизмы и условия их осуществления. Это связано с тем, что данный класс воздействий характеризуется сугубо специфичными признаками для распределенных вычислительных систем. Поэтому для более точного описания удаленных атак и предлагается следующая классификация.

Итак, удаленные атаки можно классифицировать по следующим признакам:

1. По характеру воздействия

Пассивное

Активное

Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.

Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).

2. По цели воздействия нарушение конфиденциальности информации либо ресурсов системы нарушение целостности информации нарушение работоспособности системы

Этот классификационный признак является прямой проекцией трех основных типов угроз - раскрытия, целостности и отказа в обслуживании.

Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием.

Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия. Примером удаленной атаки, цель которой нарушение целостности информации, может служить типовая удаленная атака (УА) "Ложный объект РВС".

Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая УА "Отказ в обслуживании".

3. По условию начала осуществления воздействия

Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:

Атака по запросу от атакуемого объекта

В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в ОС Novell NetWare может служить SAP-запрос, а в сети Internet - DNS- и ARP-запросы. Удаленные атаки на объекты сети Internet, осуществляемые по запросу от атакуемой системы. Важно отметить, что данный тип удаленных атак наиболее характерен для распределенных ВС.

Атака по наступлению ожидаемого события на атакуемом объекте

В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект. Примером такого события может быть прерывание сеанса работы пользователя с сервером в ОС Novell NetWare без выдачи команды LOGOUT.

Безусловная атака

В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки. Пример атаки данного вида.

4. По наличию обратной связи с атакуемым объектом с обратной связью без обратной связи (однонаправленная атака)

Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для распределенных ВС.

В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную УА можно называть однонаправленной удаленной атакой. Примером однонаправленных атак является типовая УА "Отказ в обслуживании".

5. По расположению субъекта атаки относительно атакуемого объекта внутрисегментное межсегментное Рассмотрим ряд определений:

Субъект атаки (или источник атаки) - это атакующая программа или оператор, непосредственно осуществляющие воздействие.

Хост (host) - сетевой компьютер.

Маршрутизатор (router) - устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

Подсеть (subnetwork) (в терминологии Internet) - совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть -логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

Сегмент сети - физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина". При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

С точки зрения удаленной атаки чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах.

Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки.

В дальнейшем будет показано, что на практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную. Важно отметить, что межсегментная удаленная атака представляет гораздо большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

6. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие физический канальный сетевой транспортный сеансовый представительный прикладной

Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Распределенные ВС также являются открытыми системами. Любой сетевой протокол обмена, как и любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволит описать в терминах модели OSI функции, заложенные в сетевой протокол или программу. Удаленная атака также является сетевой программой. В связи с этим представляется логичным рассматривать удаленные атаки на распределенные ВС, проецируя их на эталонную модель ISO/OSI.

Классификацию удаленных атак на распределенные вычислительные системы можно представить в следующем виде:

1.2.4. Причины успеха удаленных атак на сеть Internet

Направленный «шторм» запросов

Использование передачи некорректного, специально подобранного «проса

Введение fMopyuuueanii

Наитие логики работы ^'жмяю&лаешяя»'*- .М8Ш& да^шзяж*-»*-

Сеть Internet представляет собой распределенную вычислительную систему, инфраструктура которой общеизвестна и хорошо описана в различной литературе, например. Поэтому причины успеха удаленных атак на распределенные ВС можно спроецировать на сеть Internet и сделать вывод о существовании в данной сети серьезных пробелов в обеспечении безопасности, на которых базируются причины. Внимательный читатель, изучая предыдущие разделы, уже, наверное, мысленно осуществил проекцию и обратил внимание на то, как недостатки, присущие абстрактной распределенной ВС, легко обнаруживаются в реальной РВС - Internet.

Отсутствие выделенного канала связи между объектами сети Internet. Глобальная сеть не может быть построена по принципу прямой связи между объектами системы, то есть невозможно для каждого объекта обеспечить выделенный канал для связи с любым другим объектом системы. Поэтому в Internet связь осуществляется через цепочку маршрутизаторов, а, следовательно, сообщение, проходя через большое количество промежуточных подсетей, может быть перехвачено. Также к Internet подключено большое число локальных Ethernet-сетей, использующих топологию "общая шина" . В сетях с такой топологией несложно программно осуществлять перехват всех сообщений в сети. Однако данный недостаток присущ скорее не Internet, a Ethernet.

Недостаточная идентификация и аутентификация объектов и субъектов сети Internet. В Internet в базовых протоколах обмена идентификация и аутентификация объектов практически отсутствует. Так, в прикладных протоколах FTP и TELNET имена и пароли пользователей передаются по сети в виде открытых незашифрованных сообщений. В существующем стандарте IP v4 протокол сетевого уровня - IP - не предусматривает никакой идентификации и аутентификации объектов (за исключением IP-адреса отправителя, подлинность которого, в свою очередь, невозможно подтвердить. Все проблемы с идентификацией разработчики переложили на следующий - транспортный - уровень. За этот уровень отвечают протоколы UDP и TCP. Протокол UDP не содержит в себе дополнительной идентифицирующей информации, однако используется для передачи управляющих ІСМР-сообщений. Таким образом, единственным протоколом, призванным обеспечить безопасность в Internet, является протокол TCP, взаимодействие с использованием которого осуществляется по виртуальному каналу.

Невозможность контроля за виртуальными каналами связи между объектами сети Internet. В существующем стандарте сети Internet невозможно обеспечить контроль за сетевыми соединениями, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Из-за этого любой хост в сети Internet может быть полностью парализован.

Отсутствие в Internet возможности контроля за маршрутом сообщений. Невозможность контроля в сети Internet за виртуальными каналами обуславливается отсутствием в сети контроля за маршрутом сообщений, а именно, в существующем стандарте IPv4 невозможно по пришедшему на хост сообщению определить путь, через который оно прошло, следовательно, невозможно проверить подлинность адреса отправителя.

Отсутствие в Internet полной информации о ее объектах и, следовательно, вынужденное использование алгоритмов удаленного поиска. Очевидно, что в глобальной сети невозможно обеспечить на каждом ее объекте наличие информации о любом другом объекте в сети. Поэтому, как говорилось ранее, необходимо использовать потенциально опасные алгоритмы удаленного поиска. В сети Internet используется по меньшей мере два алгоритма удаленного поиска: ARP и DNS.

Отсутствие в базовых протоколах Internet криптозащиты сообщений. В существующих базовых протоколах семейства TCP/IP, обеспечивающих взаимодействие на сетевом-сеансовом уровнях, не предусмотрена возможность шифрования сообщений, хотя очевидно, что добавить ее в протокол TCP не составляло труда. Разработчики этих базовых протоколов решили переложить задачу криптозащиты на протоколы более высоких уровней, например, прикладного. При этом базовые протоколы прикладного уровня (FTP, TELNET, HTTP и др.) также не предусматривали никакого шифрования сообщений. Только недавно появился общедоступный прикладной протокол SSL, встроенный в Netscape Navigator, позволяющий как надежно зашифровать сообщение, так и подтвердить его подлинность.

Хотелось бы заметить, что все описанные выше причины, по которым возможны удаленные атаки на сетевые соединения, делают сеть Internet небезопасной. Поэтому, в принципе, все пользователи этой сети пользуются ее услугами на свой страх и риск и могут быть атакованы в любой момент. В настоящее время пользователи сети Internet в большинстве своем из-за абсолютного непонимания источников и реальной силы угроз находятся в постоянном беспокойстве. Это напоминает тот вирусный бум, который был в начале 90-х годов.

1.3. Защита от удаленных атак в сетевых информационных технологиях

1.3.1. Программно-аппаратные методы защиты от удаленных атак в сети Internet С343

К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся: аппаратные шифраторы сетевого трафика; методика Firewall, реализуемая на базе программно-аппаратных средств; защищенные сетевые криптопротоколы; программно-аппаратные анализаторы сетевого трафика; защищенные сетевые ОС.

Опишем данные средства защиты, применяемые в Internet.

Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети. В общем случае методика Firewall реализует следующие основные три функции:

1. Многоуровневая фильтрация сетевого трафика. Фильтрация обычно осуществляется на трех уровнях OSI: Сетевом IP

Транспортном TCP, UDP

Прикладном FTP, TELNET, HTTP, SMTP

Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к Firewall-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.

2. Proxy-схема с идентификацией и аутентификацией пользователей на Firewall-хосте. Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.

3. Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation).

В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней ІР-сети, то ему можно порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть). Хостам в PVN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней PVN-сети виртуальный IP-адрес, очевидно, не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами PVN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания ІР-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной ІР-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).

Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы, сделанные на базе ЭВМ или мини-ЭВМ, обычно реализуют все функции Firewall-методики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сети, отделенный от внешней сети полнофункциональным Firewall-хостом. external

f """"""^ч Маршрутизатор ( Internet ]

Приватная, контролируемая Firewall IP-сетъ internal

Рис. 3.1.1. Обобщенная схема полнофункционального хоста Firewall.

Однако администраторам IP-сетей не стоит заблуждаться на тот счет, что Firewall это гарантия абсолютной защиты от удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности, сколько возможность централизованно осуществлять сетевую политику разграничения удаленного доступа к доступным ресурсам вашей сети. Да, в том случае, если, например, к данному хосту запрещен удаленный TELNET-доступ, то Firewall однозначно предотвратит возможность данного доступа. Но дело в том, что большинство удаленных атак имеют совершенно другие цели (бессмысленно пытаться получить определенный вид доступа, если он запрещен системой Firewall).

Из всего вышесказанного отнюдь не следует, что использование систем Firewall абсолютно бессмысленно. Нет, на данный момент этой методике нет альтернативы. Однако надо четко понимать и помнить ее основное назначение. Нам представляется, что применение методики Firewall для обеспечения сетевой безопасности является необходимым, но отнюдь не достаточным условием, и не нужно считать, что, поставив Firewall, вы разом решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных атак из сети Internet. Прогнившую с точки зрения безопасности сеть Internet никаким отдельно взятым Firewall' ом не защитишь!

1.3.2. Программные методы защиты, применяемые в сети Internet

К программным методам защиты в сети Internet можно отнести прежде всего защищенные криптопротоколы, с использованием которых появляется возможность надежной защиты соединения.

К иному классу программных методов защиты от удаленных атак относятся существующие на сегодняшний день программы, основная цель которых - анализ сетевого трафика на предмет наличия одного из известных активных удаленных воздействий.

Итак, понятно, что для того, чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству, необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи при использовании криптографии с открытым ключом. Далее мы рассмотрим основные на сегодняшний день подходы и протоколы, обеспечивающие защиту соединения. SKIP (Secure Key Internet Ргогосо1)-технологией называется стандарт инкапсуляции IP-пакетов, позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет из себя SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или UDP-пакет, который и передает соответствующему обычному модулю (TCP или UDP) ядра операционной системы. В принципе, ничто не мешает разработчику формировать по данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка. S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies (EIT) специально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность протокола S-HTTP делает его абсолютно специализированным средством защиты соединения, и, как следствие, невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.). Кроме того, ни один из существующих на сегодняшний день основных Web-броузеров (ни Netscape Navigator 3.0, ни Microsoft Explorer 3.0) не поддерживают данный протокол. SSL (Secure Socket Layer) - разработка компании Netscape -универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом, на сегодняшний день, по нашему мнению, является единственным универсальным средством, позволяющим динамически защитить любое соединение с использованием любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S-HTTP, функционирует на промежуточном сеансовом уровне OSI (между транспортным - TCP, UDP, - и прикладным - FTP, TELNET и т. д.). При этом процесс создания виртуального SSL-соединения происходит по схеме Диффи и Хеллмана, которая позволяет выработать криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов. Его поддерживают, естественно, Netscape Navigator 3.0 и, как ни странно, Microsoft Internet Explorer 3.0. Конечно, для установления SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера, поддерживающего SSL. Такие версии Web-серверов уже существуют. В заключении разговора о протоколе SSL нельзя не отметить следующий факт: законами США до недавнего времени был запрещен экспорт криптосистем с длиной ключа более 40 бит (недавно он был увеличен до 56 бит). Поэтому в существующих версиях броузеров используются именно 40-битные ключи. Криптоаналитиками путем экспериментов было выяснено, что в имеющейся версии протокола SSL шифрование с использованием 40-битного ключа не является надежной защитой для передаваемых по сети сообщений, так как путем простого перебора (2⁴⁰ комбинаций) этот ключ подбирается за время от 1,5 (на суперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений использовалось 120 рабочих станций и несколько мини ЭВМ).

Итак, очевидно, что повсеместное применение этих защищенных протоколов обмена, особенно SSL (конечно, с длиной ключа более 40 бит), поставит надежный барьер на пути всевозможных удаленных атак и серьезно усложнит жизнь хакеров всего мира. Однако весь трагизм сегодняшней ситуации с обеспечением безопасности в Internet состоит в том, что пока ни один из существующих криптопротоколов (а их уже немало) не оформился в качестве единого стандарта защиты соединения, который поддерживался бы всеми производителями сетевых ОС! Протокол SSL, из имеющихся на сегодня, подходит на эту роль наилучшим образом. Если бы его поддерживали все сетевые ОС, то не потребовалось бы создание специальных прикладных SSL-совместимых серверов (DNS, FTP, TELNET, WWW и др.). Если не договориться о принятии единого стандарта на защищенный протокол сеансового уровня, то тогда потребуется принятие многих стандартов на защиту каждой отдельной прикладной службы. Например, уже разработан экспериментальный, никем не поддерживаемый протокол Secure DNS. Также существуют экспериментальные SSL-совместимые Secure FTP- и TELNET-серверы. Но все это без принятия единого поддерживаемого всеми производителями стандарта на защищенный протокол не имеет абсолютно никакого смысла. А на сегодняшний день производители сетевых ОС не могут договориться о единой позиции на эту тему и, тем самым, перекладывают решение этих проблем непосредственно на пользователей Internet и предлагают им решать свои проблемы с информационной безопасностью так, как тем заблагорассудится!

Сетевой монитор безопасности IP Alert-1

Практические и теоретические изыскания авторов, по направлению, связанному с исследованием безопасности распределенных ВС, в том числе и сети Internet (два полярных направления исследования: нарушение и обеспечение информационной безопасности), навели на следующую мысль: в сети Internet, как и в других сетях (например, Novell NetWare, Windows NT), ощущается серьезная нехватка программного средства защиты, осуществляющего комплексный контроль (мониторинг) на канальном уровне за всем потоком передаваемой по сети информации с целью обнаружения всех типов удаленных воздействий. Исследование рынка программного обеспечения сетевых средств защиты для Internet выявило тот факт, что подобных комплексных средств обнаружения удаленных воздействий по нашим сведениям не существует, а те, что имеются, предназначены для обнаружения воздействий одного конкретного типа. Поэтому и была начата разработка средства контроля сегмента IP-сети, предназначенного для использования в сети Internet и получившее следующее название: сетевой монитор безопасности IP Alert-1. Основная задача этого средства, программно анализирующего сетевой трафик в канале передачи, состоит не в отражении осуществляемых по каналу связи удаленных атак, а в их обнаружении, протоколировании (ведении файла аудита с протоколированием в удобной для последующего визуального анализа форме всех событий, связанных с удаленными атаками на данный сегмент сети) и незамедлительным сигнализировании администратору безопасности в случае обнаружения удаленной атаки. Основной задачей сетевого монитора безопасности IP Alert-1 является осуществление контроля за безопасностью соответствующего сегмента сети Internet.

Сетевой монитор безопасности IP Alert-1 обладает следующими функциональными возможностями и позволяет, путем сетевого анализа, обнаружить следующие удаленные атаки на контролируемый им сегмент сети Internet.

Функциональные возможности сетевого монитора безопасности IP Alert-1:

1. Контроль за соответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами, находящимися внутри контролируемого сегмента сети. На хосте IP Alert-1 администратор безопасности создает статическую ARP-таблицу, куда заносит сведения о соответствующих IP- и Ethernet-адресах хостов, находящихся внутри контролируемого сегмента сети. Данная функция позволяет обнаружить несанкционированное изменение IP-адреса или его подмену (IP Spoofing).

Контроль за корректным использованием механизма удаленного ARP-поиска. Эта функция позволяет, используя статическую ARP-таблицу, определить удаленную атаку "Ложный ARP-сервер".

Контроль за корректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить все возможные виды удаленных атак на службу DNS.

Контроль на наличие ICMP Redirect сообщения. Данная функция оповещает об обнаружении ICMP Redirect сообщения и соответствующей удаленной атаки.

Контроль за корректностью попыток удаленного подключения путем анализа передаваемых запросов. Эта функция позволяет обнаружить, во-первых, попытку исследования закона изменения начального значения идентификатора ТСР-соединения - ISN, во-вторых, удаленную атаку "отказ в обслуживании", осуществляемую путем переполнения очереди запросов на подключение, и, в-третьих, направленный "шторм" ложных запросов на подключение (как TCP, так и UDP), приводящий также к отказу в обслуживании.

Рис. 7.2. Сетевой монитор безопасности IP Alert-1.

Таким образом, сетевой монитор безопасности IP Alert-1 позволяет обнаружить, оповестить и запротоколировать все виды удаленных атак. При этом данная программа никоим образом не является конкурентом системам Firewall. IP Alert-1, используя особенности удаленных атак на сеть Internet, служит необходимым дополнением - кстати, несравнимо более дешевым, - к системам Firewall. Без монитора безопасности большинство попыток осуществления удаленных атак на ваш сегмент сети останется скрыто от ваших глаз. Поэтому, если администратор IP-сети не желает оставаться безучастным и довольствоваться ролью простого статиста при удаленных атаках на его сеть, то ему желательно использовать сетевой монитор безопасности IP Alert-1.

1.3.3. Выводы

Каковы реальные возможности защиты Internet? Каковы требования к режиму использования Internet, сводящему риск до допустимых пределов?

Оценка безопасности Internet. Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей.

При этом подключение новых пользователей должно было быть максимально простым, а доступ к информации — наиболее удобным. Все это явно противоречит принципам создания защищенной системы, безопасность которой должна быть описана на всех стадиях ее создания и эксплуатации, а пользователи — наделены четкими полномочиями.

Создатели сети не стремились к этому, да и требования защиты настолько бы усложнили проект, что сделали бы его создание едва ли возможным.

Вывод: Internet создавался как незащищенная система, не предназначенная для хранения и обработки конфиденциальной информации. Более того, защищенный Internet не смог бы стать той системой, которой он сейчас является и не превратился бы в информационный образ мировой культуры, ее прошлого и настоящего. В этом самостоятельная ценность Сети и, возможно, ее небезопасность есть плата за такое высокое назначение.

Следствие: Имеется множество пользователей, заинтересованных в том, чтобы Internet стал системой с категорированной информацией и полномочиями пользователями, подчиненными установленной политике безопасности.

Однако наиболее яркие творения человеческого разума через некоторое время начинают жить самостоятельной жизнью, развиваясь и выходя за первоначальные замыслы создателей. Поэтому слабая защищенность сети с течением времени стала все больше беспокоить ее пользователей.

В Сети не должна находиться информация, раскрытия которой приведет к серьезным последствиям. Наоборот, в Сети необходимо размещать информацию, распространение которой желательно ее владельцу. При этом всегда необходимо учитывать тот факт, что в любой момент эта информация может быть перехвачена, искажена или может стать недоступной. Следовательно, речь должна идти не о защищенности Internet, а об обеспечении разумной достаточности информационной безопасности Сети.

Конечно, это не отменяет необходимости ознакомления пользователя с богатым и все время возрастающим арсеналом программных и аппаратных средств обеспечения информационной безопасности сети. Тем не менее отметим, что они не в состоянии превратить Internet в защищенную среду, что означило бы изменение ее природы.

Будет ли Internet защищенным? С нашей точки зрения, развитие средств безопасности Internet может войти в противоречие с ее назначением и исказит саму идею Сети. Более правомерна постановка вопроса о создании специализированной безопасной мировой инфосферы, предназначенной для управления мировым производством, транспортом, геополитикой. Видимо, прогресс приведет к необходимости создания такой единой системы. Такая среда общения будет обладать архитектурой безопасности и гарантировать целостность и конфиденциальность информации. Очевидно, что создатели этой системы должны обеспечить соблюдение политических и экономических интересов мировых субъектов, т. к. многопольное владение этой системой означает контроль над миром.

Ясно, что подобной средой не может быть Internet в сегодняшнем виде. Главное, на наш взгляд, — нужно воздержаться от стремления приблизить сегодняшний Internet к такой среде управления миром. Internet по-своему хорош в том виде, в каком он есть.

В чем перспектива защиты информационных систем в эпоху интеграции среды обработки информации? Выход из сложившегося положения состоит в четком разграничении информации, представляющей жизненный интерес для субъектов — пользователей — и создания специализированных систем ее обработки. Такие системы должны иметь возможность интегрирования в мировую сеть при обеспечении их односторонней информационной изоляции.

1.3.4. Методы повышения безопасности информационных систем посредством рефлексивного управления динамической защитой.

Под информационной безопасностью в Российской Федерации понимается состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

Для создания эффективной защиты необходимо более глубокое проникновение в природу конфликта, происходящего в автоматизированных информационных системах (АИС). Одним из таких направлений является построение теории рефлексивного управления динамической защитой АИС.

Рефлексивное управление защитой АИС - процесс передачи оснований для принятия решений и конкретных действий, одним из субъектов ИАС другому, направленное на обеспечение определенной защиты информации.

Рефлексивная модель управления защитой учитывает даже любые «обманные движения», провокации, интриги, маскировки, создания ложных программ и вообще ложь произвольного типа. К примеру, последнее может иметь сложное строение, например передача нарушителю правдивой информации (ПИ), чтобы он считал (Resolution) ее ложной. X —> ПИ —> У —> Rym- По аналогии возможны варианты X -» ПИ + ЛИ -> У -^ Rynm-пи или X -> ЛИ -> У -» R_ym.

Вариант решения частной задачи получения информации о субъектах (без учета внутреннего мира субъекта).

2. Методы и модели рефлексивного взаимодействия СЗИ и угроз защиты.

В главе формально описывается изображение простейшего процесса принятия решения сетевого администратора, рефлексивное управление динамической защитой автоматизированной информационной системы (АИС) в рамках модели многочленов, а также управление процессом рефлексивного управления динамической защитой АИС.

2.1. Изображение простейшего процесса принятия решения в вопросах рефлексивного управления динамической защитой АИС.

1.1. Компьютерная система безопасности рабочих станций, сетевых операционных систем и пакетов информации постоянно совершенствуя и развивая административные, командно-административные и программно-аппаратные методы, с одной стороны не гарантирует полную защищенность, с другой стороны усложнение системы безопасности приводит к возникновению ряда проблем для пользователя. Несмотря на естественное превосходство атакующих информационных действий над действиями системы защиты, уровень защищенности должен быть приведен к такому значению, чтобы было оптимальным соотношение стоимости эксплуатации подсистемы защиты АИС и ценности защищаемой информации.

Необходимо отметить, что созданная модель рефлексивного взаимодействия объектов информатики, с помощью которой исследуется проблема, базируется на алгебре логики Лефевра, применительно к ситуации информационного конфликта в сетевых автоматизированных системах.

Под персонажем или персонажами АИС будем понимать санкционированного пользователя (V), нарушителя (Y) и администратора безопасности (X).

Охватим лишь простейшие случаи феномена инфоконфликта глобальной сети, которые мы рассмотрим. Мы полагаем, что при помощи такого инструмента, как алгебра логики Лефевра, можно моделировать цели (Aim) персонажов АИС, способы решения задач - их доктрину (Doctrine), с учетом всевозможного набора существующих средств (Tool).

2.1.2. Вариант решения частной задачи получения информации о персонажах (без учета внутреннего мира персонажа).

Каким образом персонаж X может получить информацию о том, какой информацией располагает Y?

1) Очевидно, что если X может подключиться к каналу, по которому некто Z сообщит персонажу Y информацию, то эта информация попадет к персонажу X и он поместит ее внутрь модели персонажа Y, которой он располагает.

Рисунок 1.1

Рисунок 1.2

2) Очевидно также, что персонаж X может подключиться к каналу, по которому Y передает имеющуюся у него информацию персонажа Z.

3) Наконец, Y может просто сообщить персонажу X информацию,

Рисунок 1.3 которой он располагает. 4) Кроме этих естественных способов получения информации о нарушителе существует еще один: X может имеющуюся у него или специально изготовленную информацию сообщить Y и одновременно и одновременно поместить ее "внутри" модели Y, которой он располагает. Таким образом, X получает информацию о Y, поскольку

Рисунок 1.4 он сам ее в него заложил.

Рефлексивное управление и является таким способом получения информации о нарушителе.

Передаваемая информация может быть произвольного типа: это может быть информация о средствах, о самом себе, о нарушителе, о своей точке зрения на точку зрения нарушителя. Важно лишь, что после акта передачи этой информации персонаж X становится обладателем информации о своем нарушителе. Рефлексивным управлением СДЗОИ мы называем передачу оснований, из которых выводится предопределенное решение. Это лишь "рациональный вариант" получения информации о нарушителе, то есть специфический способ получение информации о поведении нарушителя. Очевидно, что это только частная задача. Сам внутренний мир нарушителя, безотносительно к его деятельности, может представлять для X самостоятельную ценность.

Рефлексивная модель управления защитой учитывает даже любые «обманные движения», провокации, интриги, маскировки, создания ложных программ и вообще ложь произвольного типа. К примеру, последнее может иметь сложное строение, например передача нарушителю правдивой информации (ПИ), чтобы он считал (Resolution) ее ложной. X -> ПИ -> У -> Яули- По аналогии возможны варианты X -> ПИ + ЛИ -> У -> Ryли+пи или X -> ЛИ -> У -» К_ут-

Поскольку простейшие типы рефлексивного управления динамической защитой объекта информатики (ДЗОИ) - это управление решениями, нам необходимо выделить элементы процессов принятия решения, и, хотя бы в грубой форме, установить связь между ними.

РОССИЙСКАЯ ОСУаА*^г;'~(:'.; їїЙ

2.1.3. Построение простейшего процесса принятия решения в вопросах рефлексивного управления в динамической защите АИС.

Первый вариант

Введем обозначения. S(security) - уровень защищенности системы в целом. P(protection) - непосредственная защита системы. C(comprehension) - оператор осознания.

Персонаж изображается многочленом S=P(l+x)=P+Px, где С=1+х

Рисунок 1.5

Пользователь наделенный правами супервизора, самостоятельно занимающийся РУДЗОИ. Его процесс принятия решения можно зафиксировать в следующей форме. Rx_t ~їх~ ^--D_X,

Ах_і Rx_t —'- Dx_t ZD —^L Tx_i Tx_t

Цель (А) особым образом соотносится со средством (Тх_;): цель определяется («наносится») на средство.

К цели и средству «применяется» доктрина Dxj

3. Результатом этого оперирования является решение, отнесенное к инструментарию сетевой технологии.

Второй вариант.

Предположим у персонажа X есть противник - У(нарушитель) Ситуация соответствует многочлену S = Р+Рх+(Р+Рх)у

При противодействии становится возможным характеризовать уровень защищенности системы Z, который будет определятся как отношение картины ситуации с позиции X и Y. ^z - 7Г7Т, где Sx(t) - количество картин ситуации с позиции X где Sy(t) - количество картин ситуации с позиции Y Для нашей ситуации: Sx = Р + Рх Sy = р + ру + Рху Z = 2/3 = 0,66

Рисунок 1.6

Нарушитель Y начинает имитировать размышления X, для этого он проделывет процедуру: Axj Dxj z> Rxj , но с существенным отличием: Txj Тх;

, но с существенным отличием:

АхіУі Dxjyi =) Rxiyi

ТхіУі ТхіУі

После того, как нарушитель получил Rxiyi он переведет это решение

Тхіуі на возможность набора своих средств, пополнения инструментария.

ЯхіУі ЯхіУі

ТхіУі _> Tyi

Теперь нарушитель определится со своей целью Ау и в соответствии с ней применит свою доктрину. В результате получается решение Ry; нарушителя У отнесенное к своим возможностям относительно средств (инструментария). Rxiyi ^ з Rx_{

Тхіу, Ту; Ту;

Приведем предыдущие выражения к единой форме и получим обобщенное символическое изображение принятия решения нарушителем СИС.

АхіУі.БхіУі з Rxiyi Rxjyj _> Rxiyi Ay_s Dyj з Rxj

ТхіУі T^yi _> Ту; Tyi Tyi

При рассмотрении условного примера видно, - стремление к математическому оптимуму Супервизора X может явиться причиной его поражения, поскольку его рассуждения легко имитируются.

Третий вариант.

Ситуация описывается выражением S = Р+[Р+(Р+Рх)у]х Уровень защищенности АИС Z - 7Г7Т, где Sx(t) - количество картин ситуации с позиции X _А') где Sy(t) - количество картин ситуации с позиции Y Для данной ситуации: Sx = Р + Рх+Рух+Рхух Sy = Р + Ру + Рху Z = 4/3 = 1,33

Для того, чтобы принять решение, X должен смоделировать процедуру принятия решения У, которая была изображена выше. Персонаж X не располагает исходными элементами (Ах іУі, Dxiy;, Тх_;у,), которыми располагает У.

Персонаж X не располагает исходными элементами (Txy,Axy,Dxy), которми располагает Y. X имеет "Аху с точки зрения X", "Тху с точки зрения X", "Dxy с точки зрения X". U_x естественно обозначить соответственно Ахух, Тхух, Dxyx.

Процедура принятия решения в этом случае изобразится следующим образом:

АХіУ;Хі_ . DXiyjXj Z> RX;V;X; RX;ViXj _» RXVX AV;X; . DyjX; ID R-ViXi Rxy __>

ТхіУіХі ТхіУіХ; _+ TyiXi ТуіХ; Ту_{х_; _> Тх ^РуіХі Ах;. Dxj => Rxj Тх Тх,

В этом соотношении легко просматривается общий закон, по которому производится построение "формул" для любых многочленов подобного типа.

Взаимоотношение персонажов может быть гораздо более сложным. По существу мы воспользовались многочленами, которые аналогичны схеме "X думает, что Y думает".

Отмечается два принципиальных типа отражения действительности, описываемых многочленом S = Р + Рх.

В I типе отражения персонаж Y отражает защиту системы, не включает в него себя как элемент защиты (рис. 1.7.). Здесь существует отличие между

Тх - с одной стороны и элементами Dx и Ах - с другой. Ах - является своеобразной функцией отраженного отношения самого себя как действующего лица к системе защиты.

Поскольку такой тип отражения не позволяет выделить это отношение, цель не может быть отражена. Она предстает в этом случае как своеобразная "интенция". Иными словами, осознание своей цели именно как "своей цели возможно лишь при условии осознания своих действий" или "своего отношения" к объекту. Это осознание превращает "интенцию" в цель.

Вообще, само понятие цели содержит в себе смысл "осознанной интенции". Цель выступает лишь как специфическое рефлексивное образование в теологических построениях.

Такой тип отражения можно фиксировать S = Р + Рх; точка

Рисунок 1.7 Рисунок 1.8 символизирует отсутствие "себя как материального образования во "внутреннем мире" X ". Персонаж как бы "выколот" из своего внутреннего мира.

Во II типе отражения персонаж включает "свое тело", свои внешние действия в картину системы защиты (рис.1.8.). В этом случае он может отрезать свое отношение к объекту и "интенция" может превратиться в цель Ах.

С доктриной Dx дело обстоит сложнее. Возможность ее осознания предполагает, что персонаж X отличает действительную картину СЗ (системы защиты) от самой действительности СЗ в своем внутреннем мире. Минимальный многочлен, в котором может произойти такое различение имеет вид Р+ (Р+Рх)х.

Чтобы не усложнять изложение допустим неточность, предполагая когда в многочлене отсутствуют слагаемые Тхх и Туу, персонажи обладают элементами Dx и Dy.

2.2. Рефлексивное управление динамической защитой ЛИС.

2.2.1. Рефлексивное управление динамической защитой АИС в конфликте между X и Y в рамках многочлена S = Р + Рх + (Р + Рх)у

В таком инфоконфликте рефлексивное управление в общем виде может быть заменено как приращение Рху -» Рх. В этой записи Рху не отраженный элемент, а планируемый. Это обстоятельство учитывается расстановкой индексов времени: Tx_i+jyi-»Tx_i+j Ax_i+jyi-»Ax_i+j Dx_i+jyi->Dx_i+j Rx_i+jyi->Rx_i+j 1. Рефлексивное управление посредством формирования структуры средств зашиты (Тх^у^Тх^

Это один из наиболее распространенных типов управления. Например, маскировка своих рабочих станций, серверов, используя функциональные особенности каждого уровня архитектурной модели OSI.

Рефлексивное управление посредством формирования цели нарушителя (Ax^Vi-^AXi+i)

Примером такого типа управления является провокация. Она может осуществляться путем коварного «дружеского совета», идеологической диверсии. Примером такого управления является известная детская забава, когда на видное место кладется банковский билет с замаскированной ниткой. Он используется как средство формирования вполне определенной цели у прохожего, которая к радости организаторов обычно формируется...

Размещение на сайте «интересного» программного продукта или информации с ограниченным к ним доступом порождает желание украсть «запретный плод».

Рефлексивное управление посредством формирования доктрины нарушителя (Dx^Vi^Dx^)

Доктрина нарушителя - это оперативное средство, в простейшем случае -алгоритм, посредством которого из цели и из всех имеющихся средств и возможностей преодоление ДСЗИ «вырабатывается» решение. Иногда эта доктрина предстает в вырожденном виде, как система элементарных предписаний, например, «если а>(3, то следует выбрать а» и т. д. Формирование доктрины нарушителя осуществляется посредством его обучения и повышения уровня определенных знаний и навыков. Например, действием по взламыванию сервера и получению информации систематически сознательно «противопоставляется» стандартная одна и та же защита сервера. В результате нарушитель закрепляет данное действие, как стандарт преодоления данной защиты сервера, что и использует администратор в решающий момент.

Рефлексивное управление посредством связки (ТХ|дУ;->-Тх^) з (Ахауг-»Ах^)

Такое рефлексивное управление динамической защитой АИС представляет собой уже более сложный процесс. Персонаж конфликтующей структуры рассматриваемой в АИС имеет цели различных степеней значимости. «Глобальная цель» может заключаться в том, чтобы обеспечить АИС необходимый и достаточный уровень защиты от действий нарушителя. Эта цель формируется до начала вхождения персонажов в конфликт и может сохраняться до его конца. Частная цель является одним из звеньев «глобальной цели». Она может возникать в процессе управления динамической защитой АИС в зависимости от складывающейся ситуации, которая формируется в ходе применения тех или иных средств(Т) достижения цели с обеих сторон конфликтующей структуры АИС. Причем администратор безопасности может использовать процедуру выведения частной цели исходя из набора возможных средств динамической защиты (ТхзАх) для построения рефлексивного управления.

Например, администратор Y значительно ослабив одно направление в подсистеме защиты АИС, таким образом, чтобы нарушитель Z смог отметить это ослабление в своем представлении о СЗИ, тем самым пытается передать нарушителю Z основания для вывода цели: например, овладеть информацией на определенном сервере. Порядок действий Y таков: сначала он формирует желаемый элемент А^уь затем подбирает такой Тг_;уі, чтобы из него выводилось Azy; далее производится действие, направленное на превращение Tx_i+jyj-»Tx_i+j. После этого начинает действовать нарушитель Z. Он дедуктивно выводит Az из Тх. Вся цепь совершаемых в этом случае превращений и выводов такова: Azy з Tzy —> Тх з Ах. Здесь производится превращение Azy -> Az посредством превращения Tzy —> Тх. Поэтому этот тип рефлексивного управления динамической защитой АИС целесообразно изобразить так: (Tzy -> Tz) з (Azy -> Az). Во многих реальных конфликтах невозможно передать набор всех средств защиты полностью. Обычно противнику преподносится система опорных «реперов» - г (например, представление ложного программного обеспечения), на которой он с изменениями строит свою картину системы защиты АИС. Это построение представляет логическую процедуру, и нарушитель, проводящий рефлексивное управление, исходит из того, что противоположная сторона - системный администратор, владеет некоторой фиксированной процедурой вывода. Нарушителю Y - передается «репер» - г - программное обеспечение. Поэтому «реперу» - г дедуктивно выводится подсистема защиты АИС, а из нее цель. Последовательность «превращения» и вывода такова:

Рассуждение Рассуждение X - администратор Y - нарушитель

Аух з Тух з rzy —> rz з Ту з Ay. Фактически произошла передачи цели, но эта цель была передана посредством передачи «репера» (ложного программного обеспечения). Рефлексивное управление подсистемой защиты АИС целесообразно изображать так: (ry_i+jXi-»ry_i+j) з (Ty_i+jXi->-Ty_i+j) з (Ay_j+jXi->Ay_i+j)

2.2.2. Рефлексивное управление динамической защитой АИС в конфликте, протекающем в рамках многочлена S=P+(P+Py)z+(P+(P+Py)z)y.

Персонаж АИС - Y потенциально может построить систему рефлексивного управления, которая описывается превращением: (P+Py)zx -> (P+Py)z, то есть могут произойти такие превращения: Pzy -» Ру Pyzy —> Pyz Раскроем последнее из этих превращений: Tyzy —> Tyz Ayzy -> Ayz Dyzy -> Dyz 1. Рефлексивное управление посредством превращения Тхух —>> Тху Это управление представляет собой передачу нарушителю якобы своего подхода к построению динамической рефлексивной защиты АИС. Передача может осуществляться сознательным «подбросом» ему соответствующей информации. Кроме того рефлексивное управление подсистемы защиты АИС такого типа будет «подтверждение» того, что скрытые преодоления подсистемы динамической защиты АИС не вскрыты (хотя на самом деле они вскрыты), а «ложные средства», построенные противником, восприняты как «настоящие средства», хотя на самом деле их ложность установлена.

2. Рефлексивное управление посредством превращений Ахух -> Аху Примером управления защитой такого типа является представление перед нарушителем такой картины защиты, которая побудила бы уйти на ложный, специально выделенный сервер, с целью добывания информации, и тем самым, обеспечить нормальный режим рабочей станции.

3. Рефлексивное управление защитой ОИ посредством превращения Dyzy =>Dyz

В рамках рассматриваемой рефлексивной структуры ПЗИ АИС существует значительное число разнообразных видов рефлексивного управления.

Например, если X - системный администратор, Y -нарушитель, то необходимо отметить, что многие информационные воздействия X выполняют две функции. С одной стороны, противодействие нарушителю ПЗИ АИС, с другой - сама конфигурация и динамика средств Y должны представлять своеобразную информацию, получив которую, нарушитель Y должен по замыслу X прийти ко вполне определенным заключениям о целях X. Цепочка выводов и превращений такова:

Ахух z> Тхух => Тху Z3 Аху

Поскольку своя цель передается противнику посредством передачи ему своей картины плацдарма, этот тип рефлексивного управления мы будем изображать следующим образом: (Тхух zd Тху) => (Ахух 3 Аху)

Например, X строит свою демонстративную рефлексивную защиту ОИ с целью заставить нарушителя Y вывести, будто бы X собирается хранить конфиденциальную информацию за этой демонстративной рефлексивной защитой. Значительную часть сил активная рефлексивная защита тратит на формирование из своего "тела" текста, обращенного к противнику.

Бывают такие обстоятельства, когда сторона X не может избежать адекватного превращения Тх -»Тху. При этом во многих случаях сторона Y способна вскрыть цель X, выведя ее из Пху.

Чтобы избежать вскрытия своих подлинных целей, в построенной рефлексивной защите сторона X может попытаться выбрать такую цель (Tool), при которой набор средств защиты, порожденный процессом ее реализации и открытый для Y, позволял бы выводить несколько равновероятных целей, среди которых должна "укрываться" действительная цель построенной рефлексивной защиты. (Тх -» Тху) zd (Ах ->

Примером действий, преследующих цель нейтрализации "дедукции" противника, может служить n-ое количество защищенных рабочих станций, какой-либо фирмы, на одной из которых хранится конфиденциальная информация, необходимая нарушителю. Эта информация способна переходить с одной станции на другую. Мы не скрываем факта имеющегося средства (Tool) защиты рабочих станций (Тх), то есть с необходимостью должно было произойти превращение Тх —> Тху, но при этом Тх было выбрано таким, что из него с равной вероятностью выводились несколько целей:

Получение необходимой информации з Тх -> Тху z> <

1-РС 2-РС

Именно это обстоятельство ставит нарушителя в весьма затруднительное положение.

2.2.3. Рефлексивное управление динамической защитой АИС в конфликте, протекающем в рамках многочлена S=P+(P+Px)y+(P+(P+Px)y)x.

В рамках многочлена S = Р + (Р + Рх)у + [Р + (Р + Рх)у]х рефлексивное управление может проводится не только X, но и Y. Он может стремиться регулировать следующие превращения:

Тху —> Тх Аху -» Ах Dxy -» Dx

Но поскольку противника X имитирует его внутренний мир и потенциально способен вывести возможность рефлексивного управления, то попытка может окончиться провалом.

Предположим, что Y уверен, что он успешно провел рефлексивное управление. Он, со своей позиции, наделил противника картиной средств, целью и доктриной. Тем самым, со своей точки зрения располагает информацией о его внутреннем мире.

Вырабатывая свое решение, он начинает пользоваться элементами Тху, Аху, Dxy. В действительности же произошел провал рефлексивного управления. Y передал X элементы, которые участвуют в выработке его решений. Следовательно, он облегчил задачу X. Вместо запланированных Y превращений произошли следующие:

Тху —> Тхух Аху —> Ахух Dxy —> Dxyx

Ах Dx Пх Аух Dyx Тух Ахух Dxyx Тхух і і і t t t Ay Dy Ту Axy Dxy Txy

Схема предельно возможной взаимной передачи такова: X

В случае же, когда противник Y не проводит вскрытого противником X рефлексивного управления, стрелок, идущих вверх, нет и X должен строить свою систему рефлексивного управления защитой:

Ах Dx Тх Аух Dyx Тух Ахух Dxyx Тхух ^^ ^^ <^f ^L- ^L' ^L>

Ах Dx Тх Axy Dxy Txy

Таким образом, провал, «провал» рефлексивного управления - это способ «передачи» нарушителю ценной для него информации. Обратите внимание на то, что в рамках многочлена S = Р + (Р + Рх)у + [Р + (Р + Рх)у]х персонажи X и Y проводят неосознанное ими самими рефлексивное управление. Рассмотрим персонаж Y. Он может пытаться совершить превращение Рху —> Рх, но в его внутреннем мире нет элемента Рху. Поэтому он не может проимитировать предыдущие превращения (Рху -> Рх)у.

Легко увидеть, что для подобной имитации требуется присутствие во внутреннем мире Y члена Рху. Аналогично, персонаж X не может проимитировать превращение Рхух —> Рху, поскольку он не располагает в своем внутреннем мире элементом Рхух (такой элемент существует с позиции внешнего пользователя). Таким образом, в рамках рассмотренных многочленов персонажи не могут осознавать проводимые ими виды рефлексивного управления.

Минимальный многочлен, в котором могут планироваться такие превращения, таков: S = P + [P + Px + Pxy]y + [P + Py + Pyx + Pxy + Pxyx]x

Используя запись многочлена с употреблением стрелок вместо некоторых знаков "+" для фиксации возможных превращений мы получим: S = Р + [Р + (Рх <- Рху)]у + [Р + (Ру <- Pyx) + (Pxy <- Рхух)]х

В таком изображении хорошо видна планируемость РУ защитой АИС. По-видимому, однозначность рефлексивного управления не является необходимым условием его реализации.

Поэтому мы рассматриваем более простые многочлены в рамках которых не происходит осознание самих схем рефлексивного управления защитой. Анализ более сложных схем рефлексивного управления защитой, протекающих в рамках более сложных многочленов, может проводиться аналогичным образом.

2.2.4. Изображение рефлексивной системы при последовательном осознании.

5,=Р+Р_Х S₂=P+P_x + (P+P_x)y

5₃ =Р+Р_Х+ (Р+Р_х)у + (Р+Рх+ (Р+Рх)у)х

5₄ =Р+Р_Х+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у

5₅=Р+Р_Х+ (Р+Рх)_у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)_У + (Р+Рх+ (Р+Р_х)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у)х S₆=P+P_X+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у + (Р+Рх+ (Р+Р_х)_у + (Р+Р_х+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у)х + (Р+Рх+ (Р+Рх)у + (Р+Р_х+ (Р+Рх)у)х + (Р+Рх+ (Р+Р_Х)у + (Р+Рх+ (Р+Рх)у)х)у + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у)х)у

5₇=Р+Р_Х+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у + (Р+Рх+ (Р+Р_х)у + (Р+Р_х+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Р_Х+ (Р+Рх)у)х)у)х + (Р+Рх+ (Р+Рх)у + (Р+Р_х+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х)у)х)у + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Р_х+ (Р+Р_х)у + (Р+Рх+ (Р+Рх)у)х)у + (Р+Рх+ (Р+Рх)у + (Р+Рх+ (Р+Рх)у)х + (Р+Рх+ (Р+Рх)у + (P+P_x+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+P_x)_y)_x)_y + (P+P_x+ (P+P_x)y + (P+P_x+ (P+P_x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y)x S₈=P+P_X+ (P+P_x)_y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+P_X+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+P_x)_y)_x)_y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y)x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+P_x)_y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+P_x)_y)_x)_y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_X)y)_x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+Px)y)x)y)x)y)x)y

5₉=P+P_X+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x)_y)_x)_y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y)x)y)x + (P+Px+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_X)y)_X)y)_X)y + (P+P_X+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+P_x)y)x)y + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_X)_y)_X)y)_X + (P+P_X+ (P+P_X)y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x)_y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_X)y)_X + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x)_y)_x)_y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_X)y)_X + (P+P_X+ (P+P_X)y + (P+P_x+ (P+P_x)_y)_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x + (P+P_x+ (P+P_x)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)_x)_y)_x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+P_x)y)x)y + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+P_X+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_X)y)_X)y)_X)y)x)y)x

5₁₀=P+P_X+ (P+Px)_y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+P_X)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+P_x)y)_x)y + (P+P_x+ (P+P_x)y + (P+P_X+ (P+P_X)y)_X + (P+P_x+ (P+P_x)y + (P+P_x+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+P_x)_y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y)x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+P_x)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)_y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)_y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+P_x)y)_x)y)_x)y)_X)y + (P+P_X+ (P+P_X)y + (P+P_X+ (P+Px)y)x + (P+P_X+ (P+P_X)y + (P+Px+ (P+P_x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+P_X+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_X)y + (P+P_x+ (P+P_X)y)_X)y)_X + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x)y + (P+P_X+ (P+P_x)y + (P+P_x+ (P+P_X)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)x)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)x + (P+P_x+ (P+P_x)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_X+ (P+P_X)y + (P+P_X+ (P+P_X)y)_X)y)_X + (P+P_x+ (P+P_X)y + (P+P_X+ (P+P_X)y)_X + (P+P_X+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_X)y + (P+P_X+ (P+P_x)_y + (P+P_x+ (P+P_X)y)x + (P+P_X+ (P+P_X)y + (P+P_x+ (P+P_X)y)_X)y)_X)y)_X)y)_X + (P+P_X+ (P+P_X)y + (P+P_X+ (P+Px)y)_X + (P+P_X+ (Р+Рх)_У + (P+Px+ (Р+Рх)_У)х)_У + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)_x)_y + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)_v)_x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+P_x)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+P_x)_y + (P+P_x+ (P+P_x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)_x)y)x)y)x + (P+Px+ (P+Px)_y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+P_x)_y)x + (P+Px+ (P+Px)_y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)_y)x)_y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x)y)_x + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+P_x)_y)x + (P+Px+ (P+P_x)_y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)y + (P+P_x+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+P_x)_y + (P+P_x+ (P+P_x)y)_x)y + (P+P_x+ (P+P_x)_y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+P_x+ (P+P_x)y)x)y)_X)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)_y)x + (P+Px+ (P+Px)_y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x + (P+P_x+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+P_x+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+P_x+ (P+P_x)y + (P+Px+ (P+Px)y)x)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+P_x)y + (P+Px+ (P+Px)y)x)y + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x + (P+Px+ (P+Px)y + (P+Px+ (P+Px)y)x)y)x)y)x)y)x)y

Данное изображение взаимодействия субъектов сетевой АС не позволяет получить информацию об адекватности отражения персонажами картин, лежащих перед другими персонажами. Нарушитель Y может иметь как адекватное отражение Рх, так и принципиально неадекватное. Символика регистрирует лишь факт «существования» такого члена во внутреннем мире персонажа Y. Необходимый специальный комментарий, при употреблении этой символики, характеризующей степень адекватности с позиции внешнего исследователя, проводить в этом случае не будем.

Информационная безопасность сетевых технологий и компьютерных систем

Для того, чтобы рассматривать вопросы безопасности в Internet, необходимо ввести понятия, которыми оперирует теория компьютерной безопасности. Вообще говоря, их всего три: это угрозы, уязвимости и атаки.

Итак, угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.

Наконец, атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

Далее, исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка" .

Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно, при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы (ВС), передаются по сетевым соединениям в виде пакетов обмена.

Сетевые системы характерны тем, что, наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, к ним применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве. Это так называемые сетевые (или удаленные) атаки. Они характерны, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности ВС с точки зрения противостояния удаленным атакам приобретает первостепенное значение.

Специфика распределенных ВС состоит в том, что если в локальных ВС наиболее частыми были угрозы раскрытия и целостности, то в сетевых системах, на первое место выходит угроза отказа в обслуживании.

Под удаленной атакой будем понимать информационное разрушающее воздействие на распределенную ВС, программно осуществляемое по каналам связи. Это определение охватывает обе особенности сетевых систем - распределенность компьютеров и распределенность информации. Поэтому далее будут рассмотрены два подвида таких атак - это удаленные атаки на инфраструктуру и протоколы сети и удаленные атаки на телекоммуникационные службы. Первые используют уязвимости в сетевых протоколах и инфраструктуре сети, а вторые - уязвимости в телекоммуникационных службах.

Основная цель любой классификации состоит в том, чтобы предложить такие классификационные признаки, используя которые можно наиболее точно описать классифицируемые явления или объекты. В связи с тем, что ни в одном из известных авторам научном исследовании не проводилось различия между локальными и удаленными информационными воздействиями на ВС, то применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет наиболее точно раскрыть их сущность и описать механизмы и условия их осуществления. Это связано с тем, что данный класс воздействий характеризуется сугубо специфичными признаками для распределенных вычислительных систем. Поэтому для более точного описания удаленных атак и предлагается следующая классификация.

Итак, удаленные атаки можно классифицировать по следующим признакам: 1. По характеру воздействия Пассивное Активное Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.

Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).

Рефлексивное управление динамической защитой АИС

В таком инфоконфликте рефлексивное управление в общем виде может быть заменено как приращение Рху -» Рх. В этой записи Рху не отраженный элемент, а планируемый. Это обстоятельство учитывается расстановкой индексов времени:

Это один из наиболее распространенных типов управления. Например, маскировка своих рабочих станций, серверов, используя функциональные особенности каждого уровня архитектурной модели OSI.

Примером такого типа управления является провокация. Она может осуществляться путем коварного «дружеского совета», идеологической диверсии. Примером такого управления является известная детская забава, когда на видное место кладется банковский билет с замаскированной ниткой. Он используется как средство формирования вполне определенной цели у прохожего, которая к радости организаторов обычно формируется...

Размещение на сайте «интересного» программного продукта или информации с ограниченным к ним доступом порождает желание украсть «запретный плод».

Доктрина нарушителя - это оперативное средство, в простейшем случае -алгоритм, посредством которого из цели и из всех имеющихся средств и возможностей преодоление ДСЗИ «вырабатывается» решение. Иногда эта доктрина предстает в вырожденном виде, как система элементарных предписаний, например, «если а (3, то следует выбрать а» и т. д. Формирование доктрины нарушителя осуществляется посредством его обучения и повышения уровня определенных знаний и навыков. Например, действием по взламыванию сервера и получению информации систематически сознательно «противопоставляется» стандартная одна и та же защита сервера. В результате нарушитель закрепляет данное действие, как стандарт преодоления данной защиты сервера, что и использует администратор в решающий момент.

Такое рефлексивное управление динамической защитой АИС представляет собой уже более сложный процесс. Персонаж конфликтующей структуры рассматриваемой в АИС имеет цели различных степеней значимости. «Глобальная цель» может заключаться в том, чтобы обеспечить АИС необходимый и достаточный уровень защиты от действий нарушителя. Эта цель формируется до начала вхождения персонажов в конфликт и может сохраняться до его конца. Частная цель является одним из звеньев «глобальной цели». Она может возникать в процессе управления динамической защитой АИС в зависимости от складывающейся ситуации, которая формируется в ходе применения тех или иных средств(Т) достижения цели с обеих сторон конфликтующей структуры АИС. Причем администратор безопасности может использовать процедуру выведения частной цели исходя из набора возможных средств динамической защиты (ТхзАх) для построения рефлексивного управления.

Например, администратор Y значительно ослабив одно направление в подсистеме защиты АИС, таким образом, чтобы нарушитель Z смог отметить это ослабление в своем представлении о СЗИ, тем самым пытается передать нарушителю Z основания для вывода цели: например, овладеть информацией на определенном сервере. Порядок действий Y таков: сначала он формирует желаемый элемент А уь затем подбирает такой Тг;уі, чтобы из него выводилось Azy; далее производится действие, направленное на превращение Txi+jyj-»Txi+j. После этого начинает действовать нарушитель Z. Он дедуктивно выводит Az из Тх. Вся цепь совершаемых в этом случае превращений и выводов такова:

Ах. Здесь производится превращение Azy - Az посредством превращения Tzy — Тх. Поэтому этот тип рефлексивного управления динамической защитой АИС целесообразно изобразить так:

Во многих реальных конфликтах невозможно передать набор всех средств защиты полностью. Обычно противнику преподносится система опорных «реперов» - г (например, представление ложного программного обеспечения), на которой он с изменениями строит свою картину системы защиты АИС. Это построение представляет логическую процедуру, и нарушитель, проводящий рефлексивное управление, исходит из того, что противоположная сторона - системный администратор, владеет некоторой фиксированной процедурой вывода. Нарушителю Y - передается «репер»

Управление процессом рефлексивного управления защитой АИС

Персонаж X адекватно отражает "рефлексивное устройство" персонажа Y. Для простоты дальнейшего изложения условимся иногда обозначать персонажа X символом «А», а персонажа Y - символом «В».

Мы уже видели, что подобное строение многочлена, фиксирующего ситуацию, позволяет персонажу В пытаться проводить рефлексивное управление. Совершенно очевидно, что персонаж А также может проводить рефлексивное управление персонажем В, формировать его цель, доктрину и т. д. Но перед персонажем А открывается новая возможность управлять процессом рефлексивного управления, которое проводит персонаж В.

Цели управления процессом рефлексивного управления могут быть различными. Например, цель может состоять в максимизации объема получаемой информации о том, каков А с позиции В, что дает возможность А более тонко прогнозировать решение, принимаемое В, и, следовательно, более успешно решать свою собственную задачу.

Исследуя процессы управления РУ, анализ будем проводить для случая произвольного числа персонажей и произвольных иерархий управлений РУ защитой ОИ.

В результате явится особый алгебраический язык, который позволяет сделать сложные процессы такого рода "чувственно воспринимаемыми" и решать вопрос об эквивалентности или неэквивалентности схем управления РУ защитой ОИ произвольной сложности.

Простейший случай рефлексивного управления, когда управление осуществляется над персонажем, который не проводит рефлексивного управления, будем изображать стрелкой, идущей из А в В (рис. 3.2.1).

Если персонаж В подключается и начинает управлять процессом управления, который совершает А, то мы получим схему приведенную на рисунке 3.2.2.

Стрелка, исходящая из узла В, замыкается на стрелке. Персонаж А проводит рефлексивное управление, а персонаж В управляет этим управлением. Нетрудно сделать следующий шаг. Персонаж А, отразив сам факт, что его рефлексивное управление управляется, может подключиться к "вторичному управлению", построенному В (рис. 3.2.3).

Подобные схемы для двух персонажей легко обобщаются. Действительно, если персонаж В отразил новую действительность, то он может начать строить управление более высокого уровня (рис. 3.2.4.).

Особый класс представляют собой схемы, изображенные на рисунке 3.2.5: персонаж строит "руководство" уже проводимым рефлексивным управлением (рис. 3.2.5а). По-видимому, такие схемы представляют интерес для анализа тех случаев, когда сам персонаж представляет собой сложную иерархическую систему, в которой рефлексивное управление нижележащим звеном контролируется вышестоящим звеном. На рисунке 3.2.56 изображен случай самоуправления персонажа А.

Такая схема может быть получена в результате уменьшения масштаба рассматриваемой картины. Тогда точка А и В на рисунке 3.2.1 как бы сольются в одну и мы получим схему, представленную на рисунке 3.2.56.

Если нас не интересует структура иерархий управления, реализующихся в персонаже А, то схема на рисунке 6а может быть заменена схемой на рисунке 3.2.1. Если иерархия чрезвычайно существенна для исследования, то целесообразно представить персонажа А как двух различных персонажей, тогда мы просто получим схему в которой будет не два персонажа, а три.

Наиболее простой случай взаимодействия трех персонажей изображен на рисунке 3.2.6. Персонаж А проводит рефлексивное управление, но оно управляется персонажем С.

Случай взаимодействия трех персонажей усложняется, если появляются вторичные управления (рис. 3.2.7). Эту же схему взаимодействия можно представить так, как показано на рисунке 3.2.3. Смысл этих схем прежний, однако изображения отличаются друг от друга.

Для более сложных случаев простой анализ "глазом" вообще не позволяет выявить топологическую эквивалентность различных рисунков, а тем более выделять более тонкие различия. Когда мы имеем дело с обычными графами, то каждому графу ставится в соответствие матрица, заполненная нулями и единицами. Задача выяснения топологической эквивалентности графов сводится к сопоставлению этих матриц.

По существу способ, который мы изложим ниже, позволяет по некоторой элементарной алгебраической форме судить об эквивалентности или неэквивалентности различных схем, а также делать определенные заключения о характере системы в целом.

Организационная структура подготовки и реализации информационного управления системой рефлексивного управления динамической защиты

Основным органом планирования и управления разработкой и реализацией мероприятий ИУ должна быть специализированная организационная структура.

Главными функциями такой структуры являются: обеспечение своевременного выявления проблемы, ее анализ и выработка эффективных управленческих решений; обеспечение качественной постановки целей и их детализации с ориентацией на общую и специализированные сегменты аудитории; обеспечение прогнозной оценки эффективности принятых управленческих решений; обеспечение эффективной обратной связи и оценки эффективности принимаемых решений.

В соответствии с выполняемыми функциями эта структура должна обеспечивать реализацию следующих направлений деятельности: подготовки стратегических, тактических и оперативных решений в области ИУ и их документирование; обработки поступающей информации, ведения баз данных и знаний, комплексной оценки обстановки; моделирования эффективности воздействия ИУ с использованием средств и возможностей вычислительной техники; доведения принятых решений до реализации и контроля за их исполнением, мониторинга и оценки эффективности.

Принятие и реализация решений — сложнейшие процессы управленческой деятельности этой структуры, в которой, как в никакой другой, от руководителя и ее членов требуется компетентность, высокая оперативная подготовка, знания и навыки использования техники, умение ставить цели и достигать их, способность брать ответственность на себя.

Управленческие решения принимаются в различной обстановке, включая кризисную, и тем не менее они должны быть приняты своевременно, быть максимально обоснованными и обеспечивать наиболее полное и эффективное использование имеющихся возможностей.

Для этого требуется четкое уяснение руководством целей и задач предстоящей операции, всесторонняя и объективная оценка обстановки, компетентность. Основными составляющими этого сложного процесса являются: сбор и подготовка исходных данных, построение модели развития ситуации, формулировка (принятие) решения руководителем, конкретизация и детализация решения в плане реализации ИУ, доведение данного решения до исполнителей, а также организация, оперативное управление и контроль за его реализацией Централизованное управление позволяет руководству в короткие сроки и наилучшим образом координировать деятельность исполнителей в зонах воздействия ИУ, эффективно использовать технику и ограниченные ресурсы, быстро переносить усилия с одного направления на другое, контролировать любую ситуацию и в случае необходимости замыкать на себя любую инициативу в управлении. Вместе с тем руководству на местах должна быть предоставлена широкая возможность проявления инициативы и творчества.

Наибольшая степень централизации управления целесообразна прежде всего при решении сложных задач в кризисных ситуациях. Инициатива сотрудников при этом направляется главным образом на то, чтобы с наименьшими потерями и минимальным расходом материальных средств в самые короткие сроки выполнить поставленные задачи.

При планировании работ по реализации ИУ используется, как уже было отмечено выше, программно-целевой подход. Он обеспечивает сохранение полноты и комплексности учета всех связей и имеющихся сил, средств, четкую формулировку первоочередных (основных) и вспомогательных целей, доведение плановых решений до конкретных мероприятий и работ, направленных на достижение и реализуемость этих целей.

В процессе программно-целевого планирования разбиение общей проблемы на направления и задачи (вплоть до заданий) должно сопровождаться определением того, какую задачу, когда, каким образом и с каким конечным результатом выполняет каждый исполнитель. Кроме того, предполагается реализация принципа максимальной ответственности непосредственных исполнителей, имеющих в своем распоряжении определенные ресурсы для реализации ИУ. За счет рационального сочетания централизованного контроля, обеспечивающего достижение конечных целей, и децентрализации выбора конкретных средств повышается эффективность планирования и управления процессом реализации ИУ.

Если для большинства обычных организаций информация является своеобразным ресурсом, то при реализации ИУ она уже не только ресурс, но и стратегическое оружие, используемое для эффективного информационного управления. При реализации ИУ не существует затрат труда и капитала, не связанных с использованием информации. Информация, информационный фонд становятся основным ресурсом эффективного принятия решений. Как правило, основной проблемой в принятии и реализации эффективных управленческих решений является не недостаток ресурсов и капитала, а отсутствие информации, необходимой для использования этих ресурсов и капитала с наибольшим успехом. По мере поступления конкретной, детализированной информации о состоянии объекта управления конкретизируются и специальные меры, направленные на достижение конечных целей.

В системе ИУ должна функционировать расширенная информационная система, построенная на основе активного использования существующих средств массовой информации, ин4юрмацион-но-вычислительной техники и системы передачи данных, которая должна быть открытой для внешней среды, активно взаимодействовать с группами и организациями внутри и вне системы управления. Такая информационная система, с одной стороны, должна обеспечивать необходимой информацией структурные подразделения системы управления, а также принятие решений на различных уровнях управления; с другой стороны, информационная система должна быть такой, чтобы в ее рамках динамика формирования информационной среды соответствовала динамике формирования новых предметных областей ИУ.

Информация, собранная в результате мониторинга или составленная сотрудником системы управления, не принесет большой пользы, если она своевременно, в четкой и ясной форме не будет предоставлена руководству — лицам, принимающим решения. Информация должна быть подана так, чтобы полученные сведения легко можно было увязать с решаемой проблемой и тенденциями ее развития. На практике выполнить эти, казалось бы, простые требования нелегко, поскольку общий объем оперативной и статистической информации значителен и затрагивает многие стороны. От системы мониторинга поступают десятки и сотни сообщений о складывающейся ситуации. К этим сообщениям добавляется значительное количество архивных и статистических материалов, подготовленных в результате специальных исследований. С другой стороны, объем достоверных сведений о конкретных событиях, о текущей ситуации, как правило, очень невелик. К тому же поступающая оперативная информация требует проверки, дополнительной аналитической обработки, что увеличивает запаздывание ее представления руководству.

Похожие диссертации на Метод и модель рефлексивного управления защищённостью сетевых автоматизированных систем

Методы и модели систем обработки документированных данныхМохов, Андрей Игоревич

Построение автоматизированных моделей систем по эквивалентным схемам методами аналогий и теории графовФельк Зинаида Александровна

Методы и модели автоматизированного проектирования систем водоотведенияАртамонов, Владимир Владимирович

Методы и модели интерактивного проектирования инженерных систем жилых зданий в среде INTERNETКазаков, Александр Александрович

Модель и метод оценки эффективности комплексных систем защиты информации сетевых автоматизированных системКиселёв, Павел Леонидович

Методы и модели для автоматизированного проектирования интеллектуальных систем сопровождения программных продуктовКиселев Андрей Вячеславович

Модели и методы поддержки оптимального проектирования резервированных систем сбора и обработки информации кластерной архитектурыГолубев, Иван Юрьевич

Разработка моделей и методов синтеза проектных решений для технических систем с приоритетамиСоснин, Владимир Валерьевич

Метод синтеза структур, модели и инструментальные средства интерактивных систем объемного геометрического моделированияБалабанов, Андрей Валерьевич

Методы и модели представления и обработки знаний в экспертных системах строительного проектирования (на примере предметной области "Проектирование линейных железобетонных конструкций")Яловец, Андрей Леонидович