Содержание к диссертации
Введение
Глава 1 Постановка проблемы синтеза защищенных телекомму никационных систем 26
1.1 Системный подход к проектированию защищенных те-лекоммуникационных систем 26
1.2 Анализ состояния проблемы синтеза телекоммуникационных систем 40
1.3 Классификационные признаки защищенных телекоммуникационных систем 51
1.4 Формальные модели представления телекоммуникационных систем 65
1.5 Постановка проблемы и актуальных задач формализации синтеза защищенных телекоммуникационных систем 80
1.6 Выводы по главе 85
Глава 2 Методология формализованного синтеза защищенных телекоммуникационных систем 87
2.1 Концептуально-методологические положения формализованного синтеза телекоммуникационных систем 87
2.1.1 Отправные методологические положения 88
2.1.2 Формально-математические условия сохранения структурно-функциональной целостности 94
2.2 Логическая организация этапов и задач формализованной технологии МСТС 96
2.3 Принципы построения исходной модели структурно-функциональной целостности - дерева целей 100
2.3.1 Выбор формального способа задания критерия структурно-функциональной целостности 100
2.3.2 Принципы формирования морфологии дерева целей 103
2.4 Упорядочение структур и определение аналитических объектов проектирования 114
2.4.1 Определение исходных конструктивных объектов проектирования 114
2.4.2 Определение аналитических конструктивных объектов проектирования в структурированной цепи 119
2.5 Методологическая система формализации проектирования 136
2.6 Математический аппарат формирования структурно-функциональной целостности ТС 139
2.6.1 Классы эквивалентности отображений на уровнях дерева целей 139
2.6.2 Определение алгебраической модели и формального критерия структурно-функциональной целост ности на дереве целей 154
2.7 Выводы по главе 164
Глава 3 Алгоритмизация проектирования телекоммуникационных систем 167
3.1 Уровни представления процессов в телекоммуникационных системах 167
3.2 Алгоритмы оптимизация телекоммуникационной инфраструктуры 188
3.2.1 Одноуровневая оптимизация телекоммуникационной инфраструктуры 188
3.2.1.1 Алгоритмы оптимизации функционального уровня представления 188
3.2.1.2 Алгоритм оптимизации уровня обеспечения живучести 194
3.2.2 Многоуровневая оптимизация телекоммуникационной системы 195
3.3 Пример построения телекоммуникационной системы корпоративной сети ВУЗа 198
3.4 Выводы по главе 227
Глава 4 Разработка платформ безопасности телекоммуникаци онных систем 229
4.1 Обзор подходов к обеспечению безопасности ТС 229
4.2 Анализ средств обеспечения информационной безопасности ТС 236
4.3 Выбор основных механизмов защиты для реализации платформы безопасности ТС 242
4.4 Технология проектирования платформ безопасности ТС 248
4.5 Фреймовая модель технологии 257
4.6 Математическая модель построения политики безопасности ТС 263
4.7 Выводы по главе 274
Глава 5 Алгоритмизация методов синтеза платформ безопасности телекоммуникационных систем 275
5.1 Систематизация и локализация функции защиты и информационных потоков в ТС 275
5.2 Оптимизация состава комплексов средств защиты ТС . 277
5.3 Учет классов защищенности телекоммуникационных систем 286
5.4 Обеспечение защиты ТС от внешних и внутренних воздействий 292
5.5 Алгоритм распределения функций безопасности 295
5.6 Пример проектирования платформы безопасности телекоммуникационной системы 299
5.7 Выводы по главе 317
Заключение 318
Литература 322
Приложение 339
- Анализ состояния проблемы синтеза телекоммуникационных систем
- Логическая организация этапов и задач формализованной технологии МСТС
- Алгоритмы оптимизация телекоммуникационной инфраструктуры
- Выбор основных механизмов защиты для реализации платформы безопасности ТС
Введение к работе
Актуальность темы. Сегодня мир совершает переход из XX - «энергетического» века в XXI век, который со всей определенностью можно назвать «информационным». Ныне информация превратилась из абстрактного понятия в едва ли не самый ценный объект во Вселенной и ход всех значимых событий в науке, коммерции, социуме напрямую связан с процессами производства и владения информацией. По оценкам экспертов, темпы роста капиталовложений в информационную сферу намного превышают аналогичные показатели в производственной и других областях. Уже сейчас в области создания и переработки информации занято большая часть дееспособного населения Земли. В недалеком будущем произойдет, если уже не произошло, «абсолютное доминирование информации над материей» [29].
Прогресс в области обработки информации открыл для множества предприятий важнейшие и ставшие сравнительно дешевыми возможности: распределенные в сети вычисления и распределенные информационные системы. Последнее дало возможность небольшим фирмам объединить в сети свои управляющие, торговые и производственные структуры на корпоративный манер, а корпорациям - укрепить связи своих подразделений и улучшить управляемость.
Переход к распределенным системам обработки информации и управления потребовал комплексного использования различных каналов связи. Вплоть до ЭВМ третьего поколения вполне достаточными оказывались отдельные каналы, с помощью которых к ЭВМ подключались терминалы. Объединение вычислительных машин в распределенные вычислительные комплексы потребовало использования каналов связи, входящих в сети более высокого уровня. В связи с этим существенное развитие получили телекоммуникационные системы.
В последние годы в стране появился новый вид сетей связи, так называемые «корпоративные сети». Анализ ряда известных действующих и проектируемых сетей, которые в полной мере могут быть отнесены к разряду корпоративных (ИТКБС ЦБ РФ, сеть ОАО «Газпром», ОАО «Транснефть» и др.) показывает, что такие сети:
проектируются и строятся с жесткой ориентацией на решение функциональных задач, выполняемых компанией (например, ИТКБС ЦБ РФ - оперативный и надежный банковский оборот) [38, 39, 55, 58];
представляют собой организационно-техническое объединение средств связи и автоматизации [84, 85];
ориентируются преимущественно на собственные системы телекоммуникаций;
-ресурс сетей связи общего пользования используют главным образом для информационного обмена объектов корпоративной сети с объектами других сетей;
реализуются на базе оборудования, воплощающего в себе самые современные технологии;
создаются с учетом обеспечения самых высоких требований по информационной безопасности.
Функционально корпоративные сети реализуют процессы сбора, обработки, накопления, хранения, поиска и передачи информации между объектами сети в соответствии с ее иерархической организационно-функциональной структурой.
Совершенно очевидно, что приведенные особенности носят объективный характер и позволяют выделить корпоративные сети в отдельный класс телекоммуникационных систем.
Можно дать следующее определение корпоративной сети - это телекоммуникационная среда, создаваемая для обеспечения автоматизированного административно-хозяйственного и организационно-экономического управления деятельностью компании и ее субъектов, обладающая организационно-технической обособленностью и имеющая выход на сети общего пользования.
В настоящее время практически все телекоммуникационные системы (ТС) корпораций, так или иначе, имеют в своей основе распределенные хранилища (банки) данных, предоставляющие возможность оперативного доступа к данным из любой точки сети. Но это несомненное удобство в работе становится весьма спорным, если принимать во внимание вероятность информационной атаки, под которой следует понимать любое несанкционированное воздействие на ТС. Поскольку корпоративная структура подразумевает территориальную разнесённость подсистем, то это облегчает атаку на нее со стороны заинтересованных лиц. Доселе суще-
ствовавшая концепция обеспечения безопасности информации была ориентирована на защиту данных только на локальной территории, что совершенно недостаточно в условиях распределенного взаимодействия по неконтролируемым открытым каналам связи.
Средства безопасности телекоммуникационной системы определяются как меры, предохраняющие сеть от несанкционированного доступа (НСД), случайного или преднамеренного вмешательства в ее работу, попыток разрушения ее компонентов. Обеспечение безопасности ТС включает в себя защиту каналов связи, оборудования, программного обеспечения, данных и персонала.
Все методы и средства обеспечения безопасности ТС можно отнести к одному из следующих трех уровней.
Средства защиты физического уровня. Сюда относятся средства охраны зданий и помещений, в которых расположены элементы и узлы ТС, физический контроль доступа к компьютерам и терминалам ТС. Все эти средства являются внешними по отношению к самой ТС.
Средства защиты на уровне аппаратного и программного обеспечения ТС. Такие средства встраиваются в аппаратное и программное обеспечение ТС. Ввиду того, что современные ТС представляют собой единый комплекс, в котором неразрывно связано аппаратное и программное обеспечение, разделение этих двух подуровней при рассмотрении ТС с точки зрения безопасности не всегда является целесообразным.
Методы и средства стратегического уровня, осуществляющие управление ТС и поддержание ее безопасности, представленные в виде методических положений, стандартов, планов мероприятий и т.д.
В настоящее время на рынке представлено большое разнообразие аппаратно-программных средств защиты, которые условно можно разделить на несколько групп:
средства, обеспечивающие разграничение доступа к информации;
средства, обеспечивающие защиту информации при передаче ее по каналам связи;
средства, обеспечивающие защиту от воздействия программ-вирусов;
средства, обеспечивающие защиту от утечки информации по акустическим и электромагнитным полям, возникающим при работе технических средств;
материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.
Задачи защиты от угроз, связанных с несанкционированным доступом (НСД) к информации, возлагаются на комплекс аппаратно-программных средств защиты, реализуемый в рамках системы защиты информации от несанкционированного доступа (СЗИ НСД), состоящей из следующих четырех подсистем [53, 201, 227]:
управление доступом;
криптографической;
обеспечения целостности;
регистрации и учета.
Далее везде под информационной безопасностью ТС будем понимать комплекс мер, направленных на защиту от угроз, связанных с несанкционированным доступом к информации ТС.
Прогресс в области телекоммуникационных технологий ставит целый круг новых задач по обеспечению информационной безопасности. Частая смена аппаратно-программных платформ, непрерывное повышение производительности вы: числительных систем и каналов связи ставят задачу быстрого проектирования и оперативной доработки средств защиты информации телекоммуникационных систем в соответствии с изменившимися условиями эксплуатации.
Проектирование большой телекоммуникационной системы - сложная задача, связанная с решением многих проблем. По сведениям консалтинговой компании The Standish Group в США более 31% проектов телекоммуникационных систем не заканчивается в срок, почти 53% завершается с перерасходом бюджета (в среднем на 89%), и только 16.2% проектов укладывается в срок и в бюджет [43].
Причины такого положения бывают разные, но, в основном, это результат ошибок, внесенных на начальных стадиях проектирования. По данным международных консалтинговых компаний [43], вклад исследований, проводимых на начальных этапах проектирования, в интегральную стоимость системы на протяжении всего жизненного цикла оценивается примерно в 60%.
Поэтому начальные стадии проектирования выделяют в особую стадию - концептуального проектирования. Стадия концептуального проектирования телекоммуникационных систем объединяет задачи внешнего проектирования, связанные с формированием требований к системе, и такие задачи внутреннего проектирования, как синтез структуры создаваемой ТС и выбор наилучших технических решений. Техническим решением (ТР) называют описание архитектуры ТС на ранних стадиях проектирования, включающее информацию о выполняемых функциях, конструктивных элементах, их расположении и взаимосвязи. Динамичность, многоаспектность и противоречивость требований к ТС со стороны участников жизненного цикла, неполнота и неточность описания ТР являются причинами того, что большинство задач концептуального проектирования относятся к слабо структурируемым.
Известные методики и инструментальные средства концептуального проектирования (в т.ч. CASE-системы), развитые в области САПР и закрепленные стандартами серии IDEF, ориентированы на минимизацию трансформации описаний проектных данных между этапами, на создание единой информационной базы и на методическую поддержку отдельных задач, таких как создание функциональных, информационных, поведенческих моделей проектируемого объекта, выявление и анализ ограничений и т.д. Однако эти методики не затрагивают проблем генерации и выбора рациональных проектных решений, являющихся главным результатом исследований, проводимых на ранних стадиях проектирования.
Отмеченное позволяет сформулировать проблему, на решение которой направлена настоящая работа, а именно, разработка методов синтеза защищенных телекоммуникационных систем на стадии концептуального проектирования, позволяющих повысить обоснованность и эффективность процессов выработки целей и генерации рациональных проектных решений, а также сократить сроки проектирования и снизить затраты на создание ТС, отвечающих требованиям информационной безопасности.
Практика проектирования телекоммуникационных систем в настоящее время сталкивается с рядом трудностей [45-48, 50], обусловленных многими факторами, основными из которых являются:
- повышение ответственности за принимаемые решения и вследствие этого усложнение телекоммуникационных систем [1]. Современное производство по
своей сути сложнейший технологический процесс, требующий четко организованной, сбалансированной работы многих сотен разнопрофильных предприятий и тысяч специалистов различных специальностей, разностороннего материально-технического обеспечения. Даже при советской, централизованной системе планирования имели место сбои из-за нарушения технологического цикла и всех видов его обеспечения. В нынешних условиях несбалансированного, а зачастую стихийного рынка, нарушения этого процесса чреваты огромными потерями для компаний. Эффективность управления во многом зависит от оперативности сбора данных об обстановке, быстрого принятия правильных решений, оперативного, а зачастую и скрытого доведения указаний до исполнителей;
возросшие требования к обеспечению информационной безопасности ТС в условиях частой смены аппаратно-программных платформ и непрерывного повышения производительности вычислительных систем [51, 53, 93]. Новые условия хозяйствования поставили перед руководителями компаний всех уровней задачу обеспечения экономической и промышленной информационной безопасности. Одним из основных источников утечки информации являются технические средства и каналы связи. В условиях острой конкуренции на мировом рынке получение информации о деятельности компании, о производственных процессах на ее предприятиях путем проникновения в компьютерные сети и базы данных, получение доступа к каналам связи стало повседневной задачей не только конкурентов, но и определенной части криминальных структур;
возросшие требования к эффективности и надежности связей между элементами систем, создаваемых на основе модульных технологий, при которых определяющие формы устойчивости сложных систем (надежности и живучести) носят в основном структурный характер и требуют разработки специальных мер [2]. Топология сети очень сильно влияет на методы управления в ней, на ее надежность, живучесть и на ее стоимость. Поэтому выбор метода управления и среды передачи диктуется выбором топологии. Все эти задачи решаются на начальных этапах проектирования ТС;
необходимость быстрой адаптации и коррекции структуры системы в условиях резкого изменения спроса и ресурсов в отдельных звеньях, что приводит к необходимости получения более эффективной, однозначной взаимосвязи иерархий
целей корпоративной сети и архитектуры ТС [3, 46, 50]. Как показывает анализ публикаций, предлагаемые методы поддержки высокой эффективности и надежности функционирования телекоммуникационных сетей опираются на серьезную дополнительную алгоритмическую поддержку, которая предполагает сначала определение места дефекта, а потом соответствующее программно-аппаратное решение. Однако, в ответственных системах, работающих в реальном масштабе времени, необходимо сохранение 100% работоспособности при наличии одного и более отказов и в таких системах нет времени на устранение неисправности в общепринятом смысле, т.е. система должна иметь необходимую избыточность и как бы не замечать этих отказов [9, 10, 11, 22, 31-42, 75, 128, 129, 134];
быстрое моральное старение технической базы ТС, приводящее к серьезным доработкам и соответствующим затратам;
повышение требований к обеспечению преемственности в развитии системы, к ее эволюционности, закладываемой, как правило, на начальных стадиях проектирования [5, 16, 30].
При этом важна взаимосвязь и согласованность всех составных частей: эффективности функционирования, безопасности и живучести (надежности), выразившаяся в понятии структурно-функциональной целостности ТС. Эффективное управление функционированием телекоммуникационной системы может быть обеспечено только при адаптации архитектуры ТС к ее нагрузке и требованиям по живучести и безопасности. Как не может решаться вопрос эффективности функционирования ТС вне рассмотрения вопроса живучести сети, так и вопрос безопасности - без учета эффективности и живучести. Другими словами, при изменении структуры ТС в процессе ее эволюции или перепроектировании изменяется и безопасность сети, что должно быть учтено.
Выполнение указанных требований связано с необходимостью пересмотра традиционных подходов к синтезу ТС, с поиском путей обобщения и интеграции присущих им преимуществ в рамках единого методологического подхода.
Среди известных трех классов задач синтеза систем [30] к настоящему времени формально решены задачи первого класса (синтеза структуры при заданных алгоритмах функционирования) [157, 159] и задачи второго класса (синтеза оптимального поведения, алгоритмов функционирования системы при известной струк-
туре) [62, 63, 185, 191, 192, 202]. Так на уровне подсистем эффективно используются логико-алгебраические методы [39, 151], логико-лингвистические модели [34-37], методы автоматизации проектирования информационного обеспечения [116, 151-155, 197], методы оптимальной организации вычислительного процесса и использования ресурсов ЭВМ [123-127], методы структурного программирования, макетирования, и автоформализации профессиональных знаний [3, 8, 9, 15, 117] и другие, ориентированные на типизацию задач и ситуаций.
Современный уровень развития технической базы позволяет обеспечить необходимый уровень эффективности, надежности и информационной безопасности отдельных составляющих телекоммуникационной системы, реализующих выбранную модель решения той или иной функциональной задачи, используя при этом либо готовые серийные модули, либо набирая их из микромодулей программного обеспечения [120, 128, 136-138]. Это позволяет считать их эффективными элементами в составе ресурсной базы проектирования. На их основе совместно с использованием исходных моделей создаваемой системы получены наибольшие успехи в области создания интегрированных АСУ, новых информационных технологий [126-133, 151, 152, 156, 197, 204-206] и технологий «нисходящего проектирования» больших иерархических программных систем [119, 121, 125, 134], разработки диалоговых комплексов программного целевого планирования [15, 129] и реализации идеологии эволюционного синтеза систем [136, 137].
Однако достижение необходимой эффективности, заложенной в идеологии указанных подходов, сдерживается отсутствием адекватных математических критериев, определяющих формирование и оценку свойства структурно-функциональной целостности, включая сюда и случай дерева программных модулей в «нисходящем проектировании», а также отсутствие математических методов его передачи и контроля сохранения по этапам синтеза системы. В более широком плане это связано с отсутствием разработок общих принципов и методов формального решения задач синтеза систем при априорно неизвестных структуре и алгоритмах функционирования, и представляющего до настоящего времени открытую проблемную область.
Поэтому разработка методов синтеза защищенных телекоммуникационных систем на стадии концептуального проектирования, оптимизированных по крите-
рию структурно-функциональной целостности и эффективности при минимальных затратах, является важной и актуальной проблемой, имеющей большое народнохозяйственное значение. Помимо этого, такой синтез позволил бы получить аппарат быстрой коррекции структуры телекоммуникационной системы в различных ситуациях ее функционирования. Решение этой проблемы требует, в свою очередь, исследований и разработки современного теоретико-методологического и формально-математического аппарата.
Цели и задачи работы. Цель диссертационной работы - разработка методов синтеза защищенных телекоммуникационных систем на стадии концептуального проектирования, которые позволят повысить обоснованность и эффективность процессов выработки целей, генерации рациональных проектных решений, а также сократить сроки проектирования и снизить затраты на создание ТС, отвечающих требованиям информационной безопасности.
Основными задачами теоретических исследований и разработок, первоочередных для реализации основной цели, являются:
разработка концепции формализации синтеза ТС на начальных стадиях проектирования, исходя из требований обеспечения структурно-функциональной целостности (а именно, эффективности функционирования, информационной безопасности и живучести), эволюционности, модульности и гибкости структуры;
теоретическое обобщение опыта существующих подходов и разработка на его основе приемов, методов и математического аппарата обеспечения структурно-функциональной целостности ТС, исходя из необходимости учета фактора развития системы, а также интеграции структурно-функционального и функционально-структурного подходов (СФП и ФСП) к проектированию систем;
разработка моделей и методов защиты ТС от угроз, связанных с несанкционированным доступом к информации (синтез платформ безопасности ТС) в соответствии с критерием структурно-функциональной целостности, и необходимости снижения затрат на алгоритмизацию, программирование и вычисления;
разработка моделей и методов определения формально-аналитических объектов проектирования, реализующих функцию «носителей» свойства структурно-функциональной целостности на всех этапах формализованного синтеза защищенных телекоммуникационных систем.
С реализацией приведенных целей теоретических исследований в порядке последовательного решения поставленной проблемы было связано решение следующих четырех основных задач диссертационной работы и их подзадач:
Задача 1. Разработка концептуально-методологических основ синтеза защищенных телекоммуникационных систем.
Задача 1-1. Определение принципов построения системообразующей модели ТС.
Задача 1-2. Определение исходных объектов проектирования на категории «результат (функционирования)».
Задача 2. Разработка математического аппарата формирования структурно-функциональной целостности ТС.
Задача 2-1. Определение алгебраической модели и формального критерия структурно-функциональной целостности.
Задача 2-2. Определение конструктивных (аналитических) объектов проектирования, реализующих функцию «носителей» свойства структурно-функциональной целостности на всех этапах синтеза ТС.
Задача 3. Разработка моделей и методов синтеза телекоммуникационных систем на начальных стадиях проектирования, исходя из требований обеспечения структурно-функциональной целостности.
Задача 3-1. Определение иерархии слоев телекоммуникационных систем и синтез однозначной взаимосвязи слоев с системообразующей моделью ТС.
Задача 3-2. Синтез телекоммуникационных систем на основе применения комплементарных моделей разных уровней представления, исходя из требований обеспечения структурно-функциональной целостности ТС.
Задача 4. Разработка моделей и методов защиты ТС от угроз, связанных с несанкционированным доступом к информации (синтез платформ безопасности ТС) в соответствии с критерием структурно-функциональной целостности.
Задача 4-1. Разработка принципов построения семантических фреймовых сетей для описания платформ безопасности ТС.
Задача 4-2. Оптимальное распределение функций безопасности по компонентам телекоммуникационной инфраструктуры.
Методы исследований. Решение сформулированных в диссертации задач выполнено на основе теории систем, теории защиты информации, системного моделирования, теории принятия решений, методов исследования операций, программно-целевого планирования и управления, теории кибернетических систем, теории графов, теории частично упорядоченных алгебраических систем, некоторых разделов математической логики и теории больших систем.
Достоверность научных результатов, выводов и рекомендаций подтверждается математическими доказательствами сформулированных положений, расчетами и примерами, подтверждающими эффективность ТС при минимальной стоимости, сопряжением с существующими методами и результатами.
Научная новизна работы заключается в том, что в ней осуществлено теоретическое обобщение и решение крупной научной проблемы - разработки методов синтеза защищенных телекоммуникационных систем, имеющей важное народно-хозяйственное значение. Создан единый методологический комплекс решений слабо структурированных проблем концептуального проектирования защищенных телекоммуникационных систем, использование которого дает возможность значительно повысить обоснованность выработки эффективных проектных решений, снизить затраты на проектирование и адекватно разрешить актуальные требования практики, направленные на предупреждение угроз информационной безопасности.
В плане последовательного решения сформулированной проблемы впервые получены следующие основные научные результаты:
Разработана методологическая основа формализованного синтеза защищенных телекоммуникационных систем на стадии концептуального проектирования, включающая отправные положения концепции сохранения структурно-функциональной целостности ТС и необходимые формально-математические условия их реализации.
Разработан математический аппарат формирования структурно-функциональной целостности телекоммуникационных систем и определены конструктивные (аналитические) объекты проектирования, реализующие функцию «носителей» свойства структурно-функциональной целостности на всех этапах синтеза ТС.
Разработан метод прямого формализованного синтеза телекоммуникационных систем на стадии концептуального проектирования на основе применения
комплементарных графовых моделей разных уровней представления, исходя из требований обеспечения структурно-функциональной целостности.
Разработаны модели и методы защиты ТС от угроз, связанных с несанкционированным доступом к информации (формализованный метод синтез платформ безопасности ТС), на основе алгебры фреймов.
Разработаны принципы построения семантических фреймовых сетей для описания платформ безопасности ТС на базе построения типовых функций защиты.
6. Разработаны и сформулированы в виде Основных принципов МСТС
обобщения теоретико-методологических положений и рекомендаций по формали
зации синтеза защищенных ТС на начальных стадиях проектирования.
Практическая ценность работы заключается в том, что разработанный единый методологический комплекс принципов, математических моделей, критериев и методов синтеза защищенных телекоммуникационных систем позволяет реализовать на промышленных предприятиях новую инфокоммуникационную технологию концептуального проектирования, повысить за счет этого обоснованность и качество принимаемых проектных решений, сократить сроки начальных стадий проектирования и суммарные затраты на создание ТС, а также дает возможность:
адекватно и однозначно связать формальный синтез телекоммуникационной инфраструктуры с параметрами и структурой множества целей системы, интерпретировать их в традиционных терминах «частных целей», «системных задач» и «функциональных задач» в процессе структуризации предметной области;
получить эффективный аппарат для быстрой коррекции структуры телекоммуникационной системы через коррекцию частных целей решаемых задач при возникновении такой необходимости в определенных ситуациях функционирования или перепроектировании;
использовать на начальных этапах проектирования модели и методы синтеза защищенных ТС более адекватно, чем существующие, отражающие актуальные требования практики и перспективы развития технологии синтеза систем, в частности, взаимосвязь и согласованность требований по обеспечению эффективности функционирования, безопасности и живучести, сокращения сроков данных стадий
проектирования, интеграции и эволюционности на модульной основе, разработки требований к системам отдельных видов обеспечения;
- на более ранних стадиях проектирования получить оценки разрабатывае
мой структуры, реально достижимой эффективности и требуемых затрат - для
сравнения их с ожидаемой эффективностью, используя для этого аппарат сравни
тельно быстрого синтеза комплекса решаемых задач, включая возможность его ис
пользования также в качестве аппарата быстрой коррекции телекоммуникационной
инфраструктуры при необходимости в этом в процессе эксплуатации или при мо
дификации отдельных подсистем.
Полученные в диссертационной работе результаты в методологическом аспекте обладают большой инвариантностью и предназначены для использования в практике разработки широкого класса систем.
Основные научные положения диссертационной работы, выносимые на защиту:
1) единая концептуально-методологическая система формализованного синтеза защищенных ТС, позволяющая на начальных стадиях проектирования получить оценки разрабатываемой структуры, реально достижимой эффективности при минимальных затратах, в том числе:
определить и реализовать необходимые формально-математические условия и принципы структурно-функциональной целостности ТС;
определить и реализовать основные принципы обеспечения информационной безопасности ТС;
осуществить логическую организацию фаз, этапов и задач формализованной технологии синтеза защищенных ТС;
определить макромодели проектирования в виде дерева целей как «системообразующей модели»;
однозначно связать формальный синтез телекоммуникационной инфраструктуры с параметрами и структурой множества целей корпоративной сети, адекватно интерпретировать их в традиционных терминах «частных целей», «системных задач» и «функциональных задач» и получить эффективный аппарат для быстрой коррекции структуры телекоммуникационной системы через коррекцию част-
ных целей и задач при возникновении такой необходимости в определенных ситуациях функционирования или перепроектировании;
математический аппарат формирования структурно-функциональной целостности, получаемой на продуцирующем, с ориентацией дуг вверх, дереве целей корпоративной сети, который позволяет повторить механизм формирования данного свойства на последующих этапах синтеза и существенно сократить размерности предметной области, процедур и правил структурного синтеза;
метод прямого формализованного синтеза телекоммуникационных систем на стадии концептуального проектирования, исходя из требований обеспечения структурно-функциональной целостности, включающий этапы:
определения иерархии слоев телекоммуникационных систем и синтеза однозначной взаимосвязи слоев с системообразующей моделью ТС;
синтеза телекоммуникационной инфраструктуры на основе применения комплементарных графовых моделей разных уровней представления ТС.
4) модели и методы защиты ТС от угроз, связанных с несанкционированным
доступом к информации (синтез платформ безопасности ТС) в соответствии с кри
терием структурно-функциональной целостности, в том числе принципы построе
ния семантических фреймовых сетей для описания платформ безопасности ТС на
базе построения типовых функций защиты;
5) основные принципы синтеза защищенных ТС, представляющие собой
обобщения теоретико-методологических положений и рекомендаций по формали
зации синтеза защищенных ТС на стадии концептуального проектирования.
Реализация результатов. Итогами диссертационной работы являются разработанные и переданные в эксплуатацию в ряд организаций объектно-ориентированные программно-методические комплексы по определению системообразующих моделей корпоративных систем, методики и рекомендации по построению телекоммуникационных систем с учетом обеспечения их безопасности.
Результаты диссертационной работы внедрены и нашли практическое применение на ряде предприятий, в том числе в РАО ЕЭС России, ОАО МосЭнерго, в специальном проектно-изыскательном институте ГидроСпецПроект., в РУДЫ и др. При этом за счет автоматизации, сокращения сроков разработки и повышения ка-
чества проектных решений получен значительный технико-экономический, организационный и социальный эффект.
Открытые результаты диссертационной работы находят широкое применение в учебном процессе в Российском университете дружбы народов (РУДН). Научные результаты использованы при написании учебных пособий по соответствующим курсам.
Апробация результатов работы. Основные положения диссертационной работы докладывались и обсуждались на 3 всероссийских и 13 международных симпозиумах и конференциях. В том числе на II международном симпозиуме "Интеллектуальные системы" (Москва, 1996), IV и VI всероссийских научно-технических конференциях "Состояние и проблемы технических измерений" (Москва, 1998, 2000), V международном совещании-семинаре "Инженерно-физические проблемы новой техники" (Москва, 1998), the 3-d scientific-technical conference "Process control'98" (Kouty nad Desnou, Czech Republic, 1998), the XLIII scientific-technical conference "ETRAN'99" (Zlatybor, Yugoslavya Republic, 1999), the International Carpathian control conference "ICCC'2000" (High Tatras, Slovak Republic, 2000), the 2-d conference IFAC/IFIP/IEEE on management and control of production & logistics "MCPL'2000" (Grenoble, France, 2000), the IF AC symposium on manufacturing, modeling, management and control "MIM'2000" (Rio, Greece, 2000), the 15-th IEEE international symposium on intelligent control "ISIC'2000" (Patras, Greece, 2000), VII всероссийской научно-технической конференции "Нейрокомпьютеры и их применение" (Москва, 2001), II международной научно-практической конференции "Инновационные процессы в управлении предприятиями и организациями" (Пенза, 2003), I международной научной конференции "Компьютерное моделирование и информационные технологии в науке, инженерии и образовании" (Пенза, 2003), XIII, XIV и XV международных научно-технических конференциях "Датчики и преобразователи информации систем измерения, контроля и управления" (Москва, 2001,2002,2003).
Кроме того, результаты диссертации докладывались и обсуждались на конференциях, совещаниях и семинарах подразделений РУДН и в ряде организаций различных ведомств.
Публикации результатов работы. Основные результаты работы опубликованы в 5 монографиях, 5 учебных пособиях, 17 статьях и 22 трудах конференций.
Личный вклад. Все научные идеи и теоретические результаты работы, включая доказательства теорем, примеры и формулировку принципов, принадлежат лично автору. Практическая реализация конкретных программных разработок осуществлялась при непосредственном участии автора.
Структура диссертации. Диссертация состоит из введения, пяти глав, заключения, списка использованной литературы из 234 наименований и приложения.
Во введении обосновывается актуальность рассматриваемой проблемы. Излагаются цели и задачи исследования, научная новизна и практическая ценность полученных результатов.
В первой главе проводится анализ состояния проблемы синтеза защищенных телекоммуникационных систем в производственной и непроизводственной сферах. Дается краткая характеристика и тенденции современного развития телекоммуникационных систем. Подробно обсуждаются проблемные вопросы защиты информации в ТС. Рассматриваются основные характеристики и свойства защищенных ТС. Определяются уровни и модели представления ТС.
На основе анализа литературных и проектных источников определяются тенденции современного проектирования защищенных ТС, степень их адекватного удовлетворения, излагаются результаты анализа причин, имеющих принципиальных характер и не позволяющих обеспечить необходимую структурно-функциональную целостность при синтезе ТС на начальных стадиях проектирования. Определяется необходимость проведения исследований и разработок по решению данной проблемы, существенно влияющей на повышение информационной безопасности, эффективности функционирования и структурной устойчивости таких систем на жизненном цикле. Их проблематика представляет собой достаточно новую область теории и практики. Поиск решения проблемы структурно-функциональной целостности ТС связывается с начальными стадиями проектирования и формированием свойств, общих для подходов на данных стадиях разработок.
Значительная теоретико-методологическая общность подходов к проектированию рассматриваемого класса систем вызвана, в первую очередь, их «направлен-
ностью» на реализацию схожих функций обработки информации структурными единицами, на повышение эффективности выработки проектных решений, а также характерными, общими для данного класса систем, свойствами: эффективности, безопасности и живучести.
Материал второй главы посвящен разработке методологических положений, требований и условий реализации концепции синтеза защищенных ТС и представление данного комплекса в виде единой «методологической системы» формализации начальных стадий проектирования защищенных ТС, обладающих свойствами эффективности, безопасности и живучести, и допускающих их характеризацию с помощью дерева целей.
Решение данной задачи позволяет определить условия для последующего формализованного синтеза и аппарата формирования основных компонентов данной методологической системы.
В связи с этим в Главе 2 последовательно излагаются решения вопросов определения: 1) концепции формализации модульного проектирования телекоммуникационной инфраструктуры; 2) необходимых фаз, этапов и задач формализованной технологии синтеза телекоммуникационных систем; 3) принципов адекватного построения системообразующей модели - дерева целей; 4) конструктивных объектов проектирования, выполняющих функцию «носителей» свойства структурно-функциональной целостности; 5) содержательной постановки общей задачи мета-синтеза телекоммуникационных систем (МСТС) как основы для последующих разработок собственно методов синтеза.
В третьей главе представлены результаты разработки моделей и методов синтеза телекоммуникационных систем на стадии концептуального проектирования, основанные на использовании комплементарных графовых моделей разных уровней представления. Большое внимание уделяется вопросам синтеза однозначной взаимосвязи слоев телекоммуникационной инфраструктуры с системообразующей моделью ТС. Приводятся методы и алгоритмы одноуровневой и многоуровневой оптимизации, позволяющие вести совместное рассмотрение всех сфер функционирования ТС, исходя из требований структурно-функциональной целостности ТС.
Обобщаются теоретические результаты практической реализации и развития метода синтеза в проектировании конкретных телекоммуникационных систем, рассматривается практический пример проектирования телекоммуникационной системы.
В четвертой главе рассматривается методология построения платформ безопасности телекоммуникационных систем. Для описания платформ безопасности используется формализм семантических фреймовых сетей на базе построения типовых функций защиты: функции управления доступом, функции осуществления доступа, функции аутентификации, функции целостности и функции аудита. Показано взаимодействие типовых функций на концептуальном уровне и как они могут быть встроены в общую архитектуру систем защиты. Рассматривается формализация процесса разработки платформ безопасности на основе алгебры фреймов.
За основу проектирования распределения функций безопасности принято соотношение между существующей скоростью обмена и ценой устанавливаемого оборудования и программного обеспечения при установке необходимых компонентов защиты. Для обеспечения возможности реализации различных уровней защиты в алгоритм проектирования вводятся классы защищенности ТС.
В пятой главе представлена исходная схема алгоритмизации проектирования платформ безопасности ТС. Задачей такой алгоритмизации является распределение функций безопасности по компонентам телекоммуникационной системы. Рассмотрена эталонная модель технологии межсетевых экранов. Функциональной моделью можно руководствоваться при построении средств защиты для межсетевого экрана либо на одном уровне, либо в диапазоне уровней в многоуровневой модели телекоммуникационной сети. Представленная модель содержит набор базовых функций, обеспечивающих управление сетевым доступом. Дается характеристика каждой из этих функций. Приводится методика распределения функциональных компонент, позволяющая сократить временные издержки, возникающие при использовании межсетевых экранов в классических архитектурных схемах.
Рассматривается практический пример проектирования платформы безопасности корпоративной системы. Представлены экономические оценки и рекомендации по внедрению в корпоративной системе связи средств защиты информации.
В Заключении приведены обобщающие выводы по диссертационной работе.
В Приложении представлены документы подтверждающие экономический эффект от внедрения результатов исследований.
Анализ состояния проблемы синтеза телекоммуникационных систем
Целью данного параграфа является: анализ состояния исследований и разработок в области синтеза защищенных ТС, анализ степени достижения свойства «структурно-функциональной целостности» проектируемых систем. Сравнительный анализ существующих подходов и тенденций проводится на основе литературных и проектных источников и направлен на выявление причин «размывания» свойства структурно-функциональной целостности в процессе разработок систем данного класса [1, 3, 5, 6, 7, 10, 12-15, 33, 38, 42, 55, 59, 60, 62, 63, 75, 129, 138, 144, 158, 181, 185, 191,192].
Общими для технологий создаваемых систем, несмотря на отраслевые различия, становятся требования: 1) информационной безопасности; 2) живучести {надежности); 3) модульности; 4) гибкости и рефлективности (структур и управления); 5) эволюционности (преемственного саморазвития). Тезис «структурно-функциональной целостности» в экономическом аспекте означает также «противозатратный» принцип проектирования и эксплуатации таких систем, связанный непосредственно с уменьшением затрат различных ресурсов (временных, стоимостных, физических и др.) на начальных стадиях создания ТС и возможности саморазвития, эволюции ресурсно-функциональной базы в процессе эксплуатации в рамках целостной архитектуры [3, 4, 8, 9, 17-61, 70-790, 106-114, 116, 117, 119-120, 123, 138, 141-143, 151-168, 172, 181, 183-190, 193, 194, 197, 198, 200-203].
Для телекоммуникационных систем требование «целостности архитектуры» детализируется в ряд следующих основных требований: гибкости и маневренности на модульной основе как условий адаптации и перенастройки на оперативные цели и задачи, а также на помодульную замену функционально-вычислительных ресурсов (средств) в процессе их модификации и эволюции системы на жизненном цикле; интерпретирующего, единого характера технологии ее создания и саморазвития (эволюционности) на базе системно-методологического объединения свойств отдельных технологий: 1) организации процесса выработки решений, 2) технического проектирования, и 3) эксплуатации; автоматизации отдельных фаз и этапов выработки решений строящейся на основе рационального сочетания ВЦ коллективного пользования (ВЦКП), интегрированных информационных и информационно-вычислительных сетей и баз данных (ВС, ИВС, ИБД), распределенных по иерархии и географии, а также персо нальных средств и систем обеспечение управленческих решений (СОУР), включая средства диалога и экспертирования [116, 117, 119, 120, 123, 124, 125, 127, 128, 129, 130-133, 142, 143, 152, 153, 154].
В значительной степени для реализации указанных требований современный уровень развития теоретико-методологической базы и ресурсно-функциональной (аппаратной и программной) базы проектирования имеет эффективные технологии, методы и средства обеспечения в виде: 1) развитых технологий проектирования, строящихся на нормативно-прогностическом подходе. К ним относятся следующие три основные направления: а) системотехнический подход (СТП), связанный с работами Н.П. Бусленко, В.М. Глушкова [9], Л.А. Растригина [157], С.Ф. Матвиевского [167] и др., б) программно-целевой подход (ПЦП) связанный с работами Г.С. Поспелова, В.А. Ирикова, А.Е. Курилова, В.Л. Вена, В.М. Солодова, В.В. Шафранского, В.Н. Пантелеева, Ю.М. Репьева [118, 130], В.В. Битунова, Е.Е. Чистякова, В.А. Шульги и др.; в) эволюционный синтез, связанный с работами Е.П. Балашова и Д.В. Пузанкова [137, 138]; 2) эффективных технологий проектирования средств защиты, ориентированных на безопасность информации локальных, отдельных функциональных подсистем автоматизированных систем [29, 51, 53, 93, 201, 226]. Следует отметить, что методология и теоретическая база изучения проблем, возникающих при проектировании платформ безопасности телекоммуникационных систем, в настоящее время только формируется. Данная работа опирается на результаты исследований как российских, так и зарубежных специалистов в области защиты информации, таких как Герасименко В.А., Зегжда Д.П., Малюк А.А., Щербаков А.Ю., С. Adams, Е. Bi-ham, J. Daemen, L. Knudsen, B. Preneel, B. Schneier и др. [51, 201, 226, 227, 229 и др.], и развивает их отдельные положения применительно к задаче формализации подходов к построению и анализу платформ безопасности, представляющей одно из направлений исследований в области развития и совершенствования методов и средств защиты информации в рамках решения общей проблемы синтеза защищенных телекоммуникационных систем; 3) развитого арсенала математической теории принятия решений И средства поддержки (диалога, экспертирования), включая аппарат мета-управления и метаигр в работах В.Н. Буркова, В.В. Кондратьева [37, 38], а также согласования решений в системах планирования - работы К.А. Багриновского и В.П. Бусыгина [62, 63] и других авторов [23-27, 113, 114, 129, 154, 160, 161, 173, 177, 178, 190-192,202, 204], позволяющих получать локально и глобально-оптимальные решения; 4) математической теории систем - в абстрагированном [107-114] и прикладном плане [139, 151, 157, 188, 189, 194] включая математическую теорию иерархических структур [203] и основы графодиманики [204, 205]; 5) эффективных локальных технологий по видам обеспечения, таких как: 5.1) методы эффективной организации вычислительного процесса, позволяющих динамически сбалансировать входящие информационные потоки и процессы их обслуживания на основных ресурсах ЭВМ - работы О.И. Авена, ЯЛ. Когана [124, 125] и их последователей [126, 127, 128, 143, 144];
Логическая организация этапов и задач формализованной технологии МСТС
Целью данного параграфа является определение характера этапов формализованной технологии синтеза ТС и решаемых на каждом из них задач, необходимых для реализации концепции прямого синтеза телекоммуникационных систем и, определенных выше в параграфе 2.1, Отправных методологических положений подхода и условий формально-математического процесса сохранения структурно-функциональной целостности. Логическая организация взаимосвязанной последовательности этапов структурного синтеза и решаемых задач производится при этом: 1) по определяемой далее иерархической схеме уровней предлагаемой концепции и 2) по сопоставлению задач отдельных этапов с фазами получения структурно-функциональной целостности и с подзадачами четырех основных задач диссертации: «Задачи 1», «Задачи 2», «Задачи 3», «Задачи 4».
Изложенные выше, в разделах 2.1.1 и 2.1.2, Отправные методологические положения подхода (ОМП), условия и требования, налагаемые формально-математическим характером реализации концепции сохранения структурно-функциональной целостности (ФУСЦ), дают представление о том, что должно быть получено и (частично) как может быть получено в рамках концепции МСТС, отражая различные аспекты и степень детализации комплекса вопросов, взаимосвязанных и требующих своего разрешения. В определенной мере в них проявились и представления: 1) о макрообъектах проектирования (системообразующая модель - дерево целей) и их элементах, и 2) о характере фаз технологии формализованного МСТС, и 3) о макроэтапах синтеза.
На их основе можно уже выделять отдельные направления концентрации усилий на их решение, но очевидно, что требуется предварительно согласовать различные степени детализации элементов, условий и вопросов их взаимосвязи в рамках равномерности уровня огрубления абстракций и логической целостности концепции МСТС [177, 178]. То есть логически организовать их решение в виде взаимосвязанной последовательности этапов формализованной технологии проектирования на стадии концептуального проектирования и соответствующих задач, решаемых на данных этапах. Сложность и не разработанность данной проблематики, определяемые как собственно концепцией структурно-функциональной целостности, так и формально-математическим аспектом ее обеспечения в многообразии проявлений данного свойства, вызывают необходимость в иерархическом упорядочении представлений о самой концепции МСТС. Однозначных рекомендаций по определению необходимой иерархии, кроме приведенного выше методологического положения общего характера (равномерности уровня огрублений), не существует. Различные авторы предлагают, поэтому свои уровни представлений об этом, различные у каждого и отражающие специфику решаемых ими задач. Наиболее известны в системном проектировании схемы подходов В.М. Глушкова [9] и Н.П. Бусленко, с учетом этапов «внешнего» и «внутреннего» проектирования, в программно-целевом планировании - схема Г.С. Поспелова [4, 15, 130], в эволюционном синтезе систем - схема Е.П. Балашова [137, 138]. Несмотря на их различия, содержательная общность схем этих подходов может быть проиллюстрирована первыми тремя уровнями иерархии концепции по схеме В.М. Глушкова [9] (из общих четырех уровней): 1-й уровень - постановка задачи (определение объекта исследования, целей и критериев); 2-й уровень - очерчивание границ системы и ее первичной структуризации (разбиение на систему и внешнюю среду, определение замкнутости или открытости); 3-й уровень - составление математической модели системы (параметризация, выделение больших систем, сложных систем, иерархичности и т.д.).
Во многом содержательно аналогична этой схеме и схема Л.А. Растригина (см. [157]), где взаимосвязанные - через обратные связи - первые три уровня соответствуют: 1) формулировки цели; 2) определению объекта; 3) структурному синтезу модели (системы).
Сопоставление содержательной сущности задач каждого из трех приведенных уровней концепции по схемам данных авторов [9, 15, 129, 130, 137, 138, 157] с содержательной сущностью трех фаз-этапов формализации технологии МСТС (п. З ОМП, раздел 2.1.1) убеждает в возможности и целесообразности принятия данных фаз в качестве определителей соответствующих (им) уровней иерархии концепции МСТС. В силу ее важности для последующих разработок (и ссылок на нее) представим данную схему уровней в виде табл. 2.1.
Так 2-й уровень иерархии соотносится с моделированием процесса передачи структурно-функциональной целостности на множестве подкатегорий целей (к ним относятся объекты-«носители», получаемые формально), а 3-й уровень иерархии также связан с объектами подобных подкатегорий в плане частных задач и методов получения как их самих, так и свойств их структур. Каждому из уровней иерархии концепции должно соответствовать свое множество задач, детализирующих и конкретизирующих в традиционных терминах объектов макрофункции (и макрозадачи) уровня при решении задачи первого этапа МСТС. Необходимость учета исходного различия задаваемых и формируемых, но также определяемых до начала собственно процесса синтеза, объектов, а именно, исходно неаналитических и исходно аналитических объектов, порождает относительно автономный характер задачи формирования структурированной цепи «носителей» структурно-функциональной целостности и задачи формирования слоев подсистем и входящих в них функциональных модулей. Последние - исходно неаналитические объекты и макрообъекты, соотносимые с неформальной структурой проектируемой системы, что, в свою очередь, требует организации совмещения решений, получаемых раздельно на исходной области определения объектов в процессе МСТС.
Алгоритмы оптимизация телекоммуникационной инфраструктуры
Средство управления доступом используется для проведения в жизнь политики управления доступом. Выделяются два типа политики - политика, базирующаяся на идентификации, и политика, базирующаяся на правах.
Первый тип политики обычно полагается на средство аутентификации для верификации тождества субъекта, получающего доступ, перед предоставлением доступа к ресурсу. Тождество может проверяться для пользователя, процесса, конечной системы, промежуточной системы или сети. Форма тождества, используемая для принятия решения при управлении доступом, зависит от четкости аутентификации и от уровня, на котором обеспечивается это средство. Например, тождество пользователя и процесса уместно проверять при управлении доступом на прикладном уровне, но не на сетевом.
Политика, основывающаяся на правах, может полагаться на связь с некоторой формой авторизации с каждым субъектом, получающим доступ, и некоторой формой правил доступа к каждому защищаемому ресурсу. При такой политике решение о предоставлении доступа определяется набором правил, согласующих авторство с правами доступа, но не включающих проверку тождества. Например, можно сформулировать правило в терминах времени и даты, когда осуществляется
доступ. Это резко отличается от политики, при которой решение о доступе принимается исключительно на основе проверки тождества пользователя безотносительно времени или даты. Отметим, что реально используемые политики управления доступом часто являются комплексными, включающими комбинацию предоставления доступа на основе проверки тождества и правил, некоторые из них - пользовательские, а некоторые - административные.
Средства управления доступом могут быть предоставлены на сетевом, транспортном и прикладном уровнях модели.
Контроль участников взаимодействия определяется как защита от «отказа одного из субъектов, участвующих во взаимодействии, от участия во всем взаимодействии или его части». Определены две формы контроля участников: контроль участников с проверкой источника; контроль данных с проверкой доставки.
Обе формы имеют смысл только на прикладном уровне, в основном из-за того, что понятие «отказ» имеет смысл только для пользователей, и не имеет смысла для других субъектов. Это средство имеет две формы: симметричную и дополняющую.
Первая форма обеспечивает получателю данных проверку источника данных и целостности данных, и защищает от последующих попыток отправителя отказаться от посылки данных. Вторая форма обеспечивает отправителю проверку доставки данных, защищая от последующих попыток получателя отказаться от приема данных. Оба средства являются более мощными, чем аутентификация источника данных. Разница состоит в том, что получатель (отправитель) может доказать третьему лицу, что интересующие его данные были посланы отправителем (приняты получателем), и не были перехвачены кем-либо.
Доступность определяется как средство, являющееся объектом атак, которые хотят вызвать отказ в службе пользователям. В сети, включающей активные коммутирующие элементы, может быть использовано большое число механизмов секретности для защиты протоколов управления сетью от атак, которые могут привести к отказу от службы. Поэтому сетевой и прикладной уровни (включая процессы управления) являются основными местами, в которых может предоставляться средство доступности, и для этого может использоваться большое число механизмов.
Шифрование обычно используется для обеспечения конфиденциальности, но может также использоваться другими средствами обеспечения безопасности. Необходимость этого возникает из-за того, что шифрование имеет следующее свойство - любая модификация зашифрованного текста приводит к получению непредсказуемых изменений после дешифрации. Использование такой технологии обеспечивает хорошую основу для механизмов аутентификации и целостности на этом же или более высоких уровнях. Генерация, распределение и хранение криптографических ключей, используемых при шифровании, являются частными функциями управления секретностью.
В качестве специальных средств предусматриваются несколько средств, основными из которых являются генерация трафика, управление маршрутизацией и цифровая подпись.
Генерация трафика - это механизм, который может использоваться для предоставления некоторой конфиденциальности потока трафика на уровне, более высоком, чем физический (например, на сетевом или прикладном уровне). Генерация трафика может включать генерацию ложного трафика, дополнения для обычных пакетов и передачу пакетов адресатам, отличным от требуемого. Как обычные, так и ложные пакеты могут дополняться до постоянной максимальной длины, или могут дополняться до случайной, меняющейся длины.
Другим механизмом для обеспечения конфиденциальности является управление маршрутизацией. Оно используется на сетевом или прикладном уровнях для ограничения путей, по которым передаются данные от источника к пункту назначения. Выбор маршрутов может явно управляться пользовательскими системами, например, маршрутизация источника. Этот механизм может быть также использован для поддержки средства целостности с восстановлением, например, выбирая альтернативные пути после атак, повредивших пути взаимодействия.
Механизмы цифровой подписи обычно реализуются с использованием асимметричной криптографии. Цифровая подпись генерируется источником данных и проверяется приемником. Используя асимметричную криптографию (с открытым ключом) можно сгенерировать подпись, вычислив контрольную сумму для нужных данных, а затем зашифровав полученное значение парой ключей - закрытым ключом отправителя, открытым ключом получателя. Получатель расшифровывает пакет, используя открытый ключ отправителя и свой закрытый ключ, а затем проверяет целостность с помощью вычисления контрольной суммы. Кроме того, этот механизм может обеспечить средство контроля участников взаимодействия и реализацию средств аутентификации и целостности.
Выбор основных механизмов защиты для реализации платформы безопасности ТС
Проведенный анализ средств секретности позволяет выделить основные механизмы защиты, с помощью которых можно реализовать эти средства [29, 100].
Механизмы управления доступом используются для поддержки средств управления доступом. Существует широкий диапазон таких механизмов, большая часть которых была создана на основе технологии секретности компьютеров. Эти механизмы тесно связаны с используемыми политиками управления доступом. Например, для поддержки политики управления доступом на основе идентификации создают базу данных, которая определяет права доступа субъектов к ресурсам. Эта база данных может быть представлена в виде списков управления доступом, где каждый список связан с одним из ресурсов, и указывает идентификаторы и права каждого субъекта, уполномоченного на доступ к ресурсу (дискреционный доступ). Такая база данных может быть представлена и с помощью понятия возможностей, когда каждый авторизованный субъект имеет возможности, дающие ему права доступа к различным ресурсам (мандатный доступ).
Многие механизмы управления доступом используют механизм аутентификации для установления тождества субъекта или используют грифы секретности как исходные данные при принятии решения в управлении доступом на основе правил. Политики управления доступом на основе правил могут использовать и другие данные (например, время и дату, или путь доступа) при принятии решения о предоставлении доступа.
Целостность отдельного пакета часто реализуется с помощью добавления к пакету какого-либо значения функции от данных пакета (контрольной суммы). Эта контрольная сумма может быть вычислена с использованием различных методов. Механизмы такого вида обычно используются для поддержки целостности дейтаграмм, а также аутентификации источника данных. Если значение контрольной суммы, записанное отправителем, может быть проверено получателем, то получатель подтверждает не только целостность пакета, но и его источник, основываясь, например, на использовании симметричного ключа (известного только отправителю и получателю) для вычисления контрольной суммы. В этом случае также может быть применено шифрование с открытым ключом. Если требуется обеспечить целостность группы пакетов, то нужны дополнительные механизмы, связанные с переупорядочением, повтором и удалением пакетов. Последовательные номера в сочетании с контрольными суммами отдельных пакетов являются распространенным средством для обеспечения целостности при взаимодействии с установлением каналов.
Как отмечалось ранее, аутентификация источника данных часто реализуется с помощью использования механизмов целостности, в сочетании с технологиями управления криптографическими ключами. Аутентификация пользователей обычно реализуется с помощью паролей, пароли также могут быть использованы для взаимной аутентификации процессов, хотя их использование довольно проблематично в ТС.
Аутентификация взаимодействующих субъектов реализуется с помощью процедуры двойного или тройного квитирования установления связи. Одиночное квитирование обеспечивает только одностороннюю аутентификацию и не может дать гарантий без синхронизации часов. Двойное квитирование может обеспечить взаимную аутентификацию, но без взаимной уверенности в синхронизации часов. Тройное квитирование обеспечивает взаимную аутентификацию взаимодействующих процессов, при которой нет необходимости синхронизировать часы. В этом случае аутентификация обычно полагается на механизмы управления криптографическими ключами при ассоциировании аутентифицируемого субъекта с ключом.
Кроме того, одиночное и двойное квитирование включает передачу временных меток, что требует синхронизации часов.
Механизмы подтверждения третьим лицом включают использование третьего лица, которому доверяют два или более взаимодействующих субъекта, для подтверждения подлинности характеристик передаваемых данных. Самым типичным является использование механизма подтверждения третьим лицом в сочетании со средствами контроля участников взаимодействия. Например, средство подтверждения третьим лицом может использоваться в сочетании с асимметричными цифровыми подписями для обеспечения контроля участников взаимодействия с проверкой средства источника или доставки. Средства контроля участников взаимодействия не могут быть реализованы только с помощью механизма цифровой подписи, использованного отправителем или получателем, так как этот механизм не включает понятие времени.
Механизмы подтверждения третьим лицом могут быть использованы при реализации секретных временных меток, удостоверяя «подлинность времени», как часть процедуры регистрации документа или сообщения. Это может быть реализовано с помощью цифровой подписи, состоящей из имен отправителя и получателя, и времени и даты регистрации сообщения. Отметим, что в этом примере «электронный нотариус» не имеет доступа к самому сообщению, что позволяет сохранить конфиденциальность. Цифровая подпись от «электронного нотариуса» может быть предоставлена вместе с сообщением третьему лицу для проверки аутентификации сообщения, его целостности и времени регистрации.
При рассмотрении средств обеспечения информационной безопасности, указывались уровни, на которых имеет смысл применять соответствующие средства. В табл. 4.2 приведено распределение средств по уровням ЭМВОС.
