Программные средства защиты

Программными средствами защиты информации называются специальные программы, которые включают в состав программного обеспечения АСОД для решения в них (самостоятельно или в комплексе с дру­гими средствами) задач защиты. Программные средства являются важнейшей и непременной частью механизма защиты современных АСОД. Такая роль определяется следующими их достоинствами: универсаль­ностью» гибкостью, надежностью, простотой реализации, возможностью модификации и развития.

При этом под универсальностью понимается возможность решения программными средствами большого числа задач защиты.

Гибкость программных средств защиты заключается в двух характерных особенностях этого класса средств защиты: при параметрической реализации программ защиты они могут автоматически адаптироваться к конкретным условиям функционирования АСОД; программные сред­ства защиты могут быть адаптированы в структуре АСОД различным образом (могут быть включены в состав ОС и СУБД, могут функционировать, как самостоятельные пакеты программ зашиты, их можно распре­делить между отдельными элементами АСОД и т. д.).

Под надежностью понимается высокая программная устойчивость при большой продолжительности непрерывной работы и удовлетворение высоким требованиям к достоверности управляющих воздействий при наличии различных дестабилизирующих факторов.

Простота реализации программных средств защиты очевидна по сравнению с возможностью реализации любых других средств защиты.

Возможности изменения и развития программных средств защиты определяются самой их природой.

Основными недостатками использования программных средств за­щиты являются следующие: необходимость использования времени рабо­ты процессора, что ведет к увеличению времени отклика системы на за­просы и, как следствие, к уменьшению эффективности ее работы; умень­шение объемов оперативной памяти и памяти на внешних запоминающих устройствах, доступной для использования функциональными задачами; возможности случайного или злоумышленного изменения, вследствие че­го программы могут не только утратить способность выполнять функции защиты, но и стать дополнительным КИПИ; жесткая ориентация на архитектуру определенных типов ЭВМ (даже в рамках одного класса); зависимость программ от особенностей базовой системы ввода-вывода, таблицы векторов прерываний и т. п.

Существенным недостатком программных средств зашиты является также возможность их реализации только в тех структурных элементах АСОД, где имеется процессор, хотя функции защиты могут реализовы­ваться, осуществляя безопасность других структурных элементов.

Аналогично техническим средствам в классификационной структу­ре программных средств определяющей является классификация по функциональному признаку, т, е. по классу задач зашиты, для решения которых предназначаются программы. Более того, исследований показы­вают, что именно по этому критерию наиболее целесообразно выделять модули программных средств защиты, которые будут выступать элемен­тарными типовыми проектными решениями (ТПР) программных средств. Поэтому идентификацию ТПР по программным средствам удобно осу­ществлять цифровым кодом, состоящим из цифр, обозначающих вид за­дач защиты, номер класса задач, номер группы задач в классе, порядко­вый номер программы, предназначенной для решения задач данной группы.

Конкретный перечень программных средств защиты может быть самым различным; общее представление об их составе и содержании можно получить по следующему списку:

1) проверка прав доступа: по простому паролю, по сложному паро­лю, по разовым паролям;

2) опознавание пользователей по различным идентификаторам;

3) опознавание компонентов программного обеспечения;

4) опознавание элементов баз данных;

5) разграничение доступа к защищаемым данным по матрице пол­номочий, уровню секретности и другим признакам;

6) управление доступом к задачам, программам и элементам баз данных по специальным мандатам;

7) регистрация обращений к системе, задачам, программам и эле­ментам защищаемых данных;

8) подготовка к выдаче конфиденциальных документов: формиро­вание и нумерация страниц, определение а присвоение грифа конфиден­циальности, регистрация выданных документов;

9) проверка адресата перед выдачей защищаемых данных в каналы связи;

10) управление выдачей данных в каналы связи;

11) криптографическое преобразование данных;

12) контроль процессов обработки и выдачи защищаемых данных;

13) уничтожение остаточной информации в ОЗУ после выполнения допросов пользователей;

14) сигнализация при попытках несанкционированных действий;

15) блокировка работы пользователей, нарушающих правила защиты информации;

16) организация псевдоработы с нарушителем в целях отвлечения его внимания;

17) программное обеспечение комплексных средств и систем защиты.

Для организационного построения программных средств до настоящего времени наиболее характерной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций, причем чаще всего в число этих функций входит опознавание пользова­телей, разграничение доступа к массивам данных, запрещение доступа к некоторым областям ЗУ и т. п.

Достоинства таких программ очевидны: каждая из них обеспечивает решение некоторого числа важных задач за­щиты. Но им присущи и существенные недостатки, предопределяющие необходимость критической оценки сложившейся практики разработки и использования программных средств защиты. Первый и главный недо­статок состоит в стихийности развития программ защиты, что, с одной стороны, не дает гарантий полноты имеющихся средств, а с другой - не исключает дублирования одних и тех. же задач защиты. Вторым суще­ственным недостатком является жесткая фиксация в каждом из комплек­сов программ защитных функций, И еще один большой недостаток - ори­ентация подавляющего большинства имеющихся программных средств на конкретную среду применения: тип ЭВМ и операционную систему.

Отсюда вытекают три принципиально важных требования к формированию программных средств: функциональная полнота, гибкость и унифицированность использования.

Что касается первого требования, то, как нетрудно убедиться, приведенный выше перечень программных средств составлен именно с таким расчетом, чтобы возможно более полно охватить все классы задач защи­ты.

Удовлетворение остальным двум требованиям зависит от форм и способов представления программ зашиты. Анализ показал, что наиболее полно требованиям гибкости и унифицированности удовлетворяет следующая совокупность принципов: сквозное модульное построение, полная структуризации, представление на машинонезависимом языке.

Принцип сквозного модульного построения заключается в том, что каждая из программ любого уровня (объема) должна представляться ввиде системы вложенных модулей, причем каждый такой модуль должны быть полностью автономным и иметь стандартные вход и выход обеспечивающие комплексирование с любыми другими модулями. Нетрудно видеть, что эти условия могут быть обеспечены, если программные комплексы будут разрабатываться по способу сверху-вниз.

Представление на машинонезависимом языке предопределяет, что представление программных модулей должно быть таким, чтобы их с минимальными усилиями можно было включить в состав программного обеспечения любой АСОД. Как известно, в настоящее время имеются алгоритмические языки высокого уровня, трансляторы с которых включены в состав программного обеспечения наиболее распространенных ЭВМ. Такими, например, являются Паскаль, Ада и др. Однако универсализацию представления программных модулей можно расширить еще больше, если каждый их этих модулей представить в виде блок-схемы, детализированной до такой степени, что каждый из блоков может быть реали­зован одним -двумя операторами наиболее распространенных языков высокого уровня или ограниченным числом команд на языке Ассемблера. Тогда конкретная реализация программы будет заключаться в простом кодировании блоков соответствующих блок-схем.

По состоянию на январь 1996 г. сертифицированы следующие программные средства защиты:

1) система защиты информации от НСД для ПЭВМ (по 4-му классу защищенности) (шифр «Кобра»), разработанная ГНИИ моделирования и интеллектуальных сложных систем и акционерным обществом закрытого типа «Кобра-ЛАЙН»;

2) программный комплекс защиты информации от НСД дня ПЭВМ (по 2-му классу защищенности) (шифр «Страж 1.1»), разработанный войсковой часть 01168;

3) комплекс программных средств защиты от НСД для персональ­ного компьютера «МАРС» (КПСЗИ «МАРС») - по 3-му классу защищен­ности, разработанный Российским центром «Безопасность»;

4) система защиты информации от НСД в ЛВС - по классу защищенности 1Д (ЛВС) и 6 классу защищенности для СВТ (шифр «Сизам»), разработанная научно-производственной фирмой «Кристалл».

В последние годы сформировалась довольно устойчивая тенденция создания комплексных программно-технических и программно-аппа­ратных средств защиты, предназначенных для решения некоторого набо­ра взаимосвязанных задач защиты. В подтверждение сказанному ниже приводится перечень сертифицированных комплексных средств:

1) система защиты информации от НСД для ПЭВМ IBM PC XT/AT (шифр «Снег 2.0»), разработанная ЦНИИАтоминформом Минатома Рос­сии;

2) система защиты информации от НСД в ЛВС (шифр «Снег-ЛВС»), разработанная названной выше организацией;

3) закрытая часть электронного почтамта центрального узла сети (шифр «УралВЭС»), разработанная товариществом с ограниченной ответственностью «Микротест»;

4) встроенная система парольной защиты загрузки ПЭВМ РСД-4 Gsx/25 фирмы Siemens Nizdorf, разработанная управлением информационных ресурсов Администрации Президента;

5) электронный ключ на базе программируемого постоянного запоминающего устройства (по 6 классу защищенности) (шифр «Dallas Lock»), разработанный акционерным обществом «Конфидент»;

6) программно-техническая доработка изделия 83т 744 от НСД к информации, выполненная НИИ автоматической аппаратуры;

7) автоматизированный кассовый аппарат на базе ЭВМ IBM PC с системой защиты и разграничением доступа (шифр IPC ЮЗ IIS#P), разработанный фирмой «ПИЛОТ»;

8) единичный образец программно-аппаратного комплекса «Аккорд» (СТЮИ.00506-01 ТУ защиты ПЭВМ от НСД (шифр «Аккорд»), разработанный ОКБ САПР;

9) автоматизированная система безналичных расчетов «БЛИЦ», функционирующая совместно с СЗИ от НСД QP DOSТК (шифр АСБН «БЛИЦ»), разработанная акционерным обществом закрытого типа «БЛИЦ-ЦЕНТР»;

10) автоматизированный программно-аппаратный комплекс по управлению и расчету автозаправочных предприятий (шифр «Кютан-С» разработанный акционерный обществом «Центр технического обслужи­вания ККМ»;

11) програмно-аппаратный комплекс защиты от НСД и обработки конфиденциальной информации DALLAS Lock 34, разработанный Ассоциацией защиты информации «Конфидент»;

12) система, защиты локальной вычислительной сети «SECRET NET», верам 1.10 (включая ее локальную версию) - до 6 классу защищен­ности для

СВТ, разработанная акционерным обществом закрытого типа «Информзащита».

Аппаратура и материалы:

1. ПЭВМ