Программно-технологическая безопасность информационных систем

Владимир Липаев

Основные факторы, определяющие технологическую безопасность информационных систем

Проблемы обеспечения технологической безопасности информационных систем

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности [1]-[7]:

• необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;

• необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

• необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

Потенциальная уязвимость ИС по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, стратегических, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств:

• целостность – информация, на основе которой принимаются решения, должна быть достоверной и точной, защищенной от возможных непреднамеренных и злоумышленных искажений;

• доступность (готовность) – информация и соответствующие автоматизированные службы должны быть доступны, готовы к работе всегда, когда в них возникает необходимость;

• конфиденциальность – засекреченная информация должна быть доступна только тому, кому она предназначена.

Для решения проблем информационной безопасности необходимо сочетание законодательных, организационных, технологических и стандартизационных мероприятий.

Так сложилось, что основное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от злоумышленных разрушений, искажений и хищений программных средств и информации баз данных. Для этого разработаны и развиваются проблемно-ориентированные методы и средства защиты:

• от несанкционированного доступа;

• от различных типов вирусов;

• от утечки информации по каналам электромагнитного излучения

и т. д. ([1], [2], [3]). При этом подразумевается наличие лиц, заинтересованных в доступе к программам и данным с целью их несанкционированного использования, хищения, искажения или уничтожения.

В то же время, на реальные сложные системы воздействуют и случайные (непредумышленные) дестабилизирующие факторы, способные вызвать аномалии функционирования и даже катастрофические последствия, порой более тяжелые, чем последствия злоумышленных действий. Катастрофы типа Чернобыльской, гибели гражданского самолета под Междуреченском, подводной лодки "Комсомолец" и многие другие могут быть квалифицированы как последствия принципиальных системных и алгоритмических ошибок проектирования в сочетании с не предусмотренными разработчиками случайными дестабилизирующими факторами при отсутствии злоумышленного воздействия заинтересованных лиц. Эти факторы имеют свою природу, особенности, характеристики; следовательно, они требуют самостоятельного анализа и адекватных методов и средств защиты. В результате в теории и практике складывается особое направление обеспечения безопасности информационных систем при случайных дестабилизирующих воздействиях и отсутствии злоумышленного влияния на ИС.

Настоящая работа посвящена современным методам выявления и предотвращения непредумышленных угроз безопасности функционирования программных средств (ПС) и баз данных (БД), снижения соответствующих рисков до допустимого уровня и определения реального достигнутой степени безопасности использования ИС. В связи с этим мы будем говорить об алгоритмической и программно-технологической безопасности, используя для краткости термины "технологическая безопасность" или просто "безопасность". В качестве основной непредумышленной угрозы будет рассматриваться наличие внутренних дефектов ПС и БД, вызванных ошибками проектирования и реализации.

За рамками данной работы остаются непосредственные угрозы безопасности со стороны аппаратуры, а также методы и средства обеспечения аппаратной отказоустойчивости вычислительных комплексов и распределенных информационных систем. Отметим также, что на практике необходимо сочетать методы и средства обеспечения безопасности ИС при учете как случайных, так и злоумышленных воздействий с целью создания равнопрочных по защищенности систем.

Цель работы – раскрыть суть проблемы технологической безопасности, конкретизировать дестабилизирующие факторы и представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения ПС и БД.

Для достижения поставленной цели в последующих разделах рассматриваются исходные данные и факторы, определяющие технологическую безопасность сложных информационных систем:

• показатели, характеризующие технологическую безопасность информационных систем;

• требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;

• ресурсы, необходимые для обеспечения технологической безопасности ИС;

• внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;

• методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;

• оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;

• методы и средства определения реальной технологической безопасности функционирования критических ИС.

Показатели технологической безопасности информационных систем

В сложных ПС и БД невозможно обеспечить полное отсутствие дефектов проектирования и реализации. В связи с этим актуальна задача установления метрики и определения ее значений, объективно отражающих степень безопасности информационных систем при реальной или вероятной совокупности возможных дефектов.

Наиболее полно безопасность ИС характеризует величина ущерба, возможного при проявлении дестабилизирующих факторов и реализации конкретных угроз безопасности, а также среднее время между проявлениями угроз, нарушающих безопасность. Однако описать и измерить в достаточно общем виде возможный ущерб при нарушении безопасности для критических ИС разных классов практически невозможно, поэтому реализации угроз целесообразно характеризовать интервалами времени между их проявлениями, или наработкой на отказы, отражающиеся на безопасности. Это сближает понятия и характеристики степени безопасности с показателями надежности ИС. Различие состоит в том, что в показателях надежности учитываются все реализации отказов, а в характеристиках безопасности следует регистрировать только те отказы, которые отразились на безопасности. Статистически таких отказов может быть в несколько раз меньше, чем учитываемых в значениях надежности, однако методы, влияющие факторы и реальные значения показателей надежности ПС и БД могут служить ориентирами при оценке безопасности критических ИС. Поэтому ниже методы и оценки технологической безопасности ИС базируются на концепции надежности программ и баз данных [8], [9], [10], [11].

Первопричиной нарушения работоспособности программ при предположении о безотказности аппаратуры всегда является конфликт между реальными исходными данными, подлежащими обработке, и программой, осуществляющей эту обработку. Работоспособность ИС можно гарантировать при исходных данных, которые использовались при отладке и испытаниях. Реальные исходные данные могут иметь значения, отличающиеся от заданных техническим заданием и от использованных при тестировании программ и баз данных, в результате чего функционирование последних трудно предсказать заранее и вероятны различные аномалии, завершающиеся отказами.

Основным принципом классификации сбоев и отказов в программах при отсутствии физического разрушения аппаратуры является разделение по временному показателю длительности восстановления после любого искажения программ, данных или вычислительного процесса, регистрируемого как нарушение работоспособности [9]. При длительности восстановления, меньшей заданного порога, аномалии при функционировании программ следует относить к сбоям, а при восстановлении, превышающем по длительности пороговое значение, происходящее искажение соответствует отказу.

Некоторая часть отказов может не отражаться на безопасности применения ИС и устраняться достаточно быстрым восстановлением работоспособности. Характеристики проявления и возможная длительность восстановления после других видов отказов могут быть катастрофическими, квалифицируемыми как нарушение безопасности функционирования ИС. Достаточно универсальным измеряемым параметром при этом остается время восстановления нормальной работоспособности. Таким образом, приближенно такие катастрофические отказы в восстанавливаемых ИС можно выделять по превышению некоторого допустимого времени восстановления работоспособности, которое может отличаться от порогового времени, разделяющего сбои и отказы.

Классификация программных сбоев, отказов и нарушений безопасности по длительности восстановления приводит к необходимости анализа динамических характеристик пользователей исследуемой ИС, а также динамических характеристик функционирования программ и баз данных. Временная зона перерыва нормальной выдачи информации и потери работоспособности, которую следует рассматривать как зону сбоя, тем шире, чем более инертный объект находится под воздействием сообщений, подготовленных данной ИС. Пороговое время восстановления работоспособного состояния системы, при превышении которого следует фиксировать отказ, близко к периоду решения задач для подготовки информации соответствующему пользователю.

В теории надежности работоспособным называется такое состояние объекта, при котором он способен выполнять заданные функции с параметрами, установленными требованиями технической документации [8]-[11], [37]. Надежность является внутренним свойством систем, проявляющимся только во времени. Критерии качества становятся динамическими и преимущественно стохастическими, характеризующими функционирование ИС в целом или крупных групп программ. Измеряемые интегральные показатели качества программ в этом случае более определенные и могут достаточно точно оцениваться экспериментально.

Устойчивость (живучесть) наиболее широко характеризует способность ИС к безотказному функционированию при наличии сбоев и отказов. Она зависит от уровня не устраненных ошибок и способности ИС реагировать на проявления ошибок так, чтобы это не отражалось на показателях надежности и безопасности. Последнее определяется эффективностью контроля за доступом к данным, степенью обеспечения их конфиденциальности и целостности, а также селекцией достоверных данных, поступающих из внешней среды, средствами обнаружения аномалий и эффективностью процессов восстановления функционирования ИС.

Восстанавливаемость характеризуется полнотой восстановления функционирования программ после перезапуска – рестарта после сбоя или отказа. Перезапуск должен обеспечивать возобновление нормального функционирования ИС, на что требуются ресурсы ЭВМ и время. Поэтому полнота и длительность восстановления функционирования после сбоев и отказов отражают качество и безопасность ИС.

Обобщение характеристик отказов и восстановлений производится в критерии коэффициент готовности. Этот показатель отражает вероятность иметь восстанавливаемую систему в работоспособном состоянии в произвольный момент времени. Значение коэффициента готовности соответствует доле времени полезной работы системы на достаточно большом интервале, содержащем отказы и восстановления.

Применение основных понятий теории надежности для оценки надежности и безопасности сложных ИС позволяет получить ряд четких, хорошо измеряемых интегральных показателей качества программ. Приведенные критерии используются в основном при испытании ИС и на завершающих фазах комплексной отладки. Их практически невозможно использовать для оценки качества программных компонент, решающих частные функциональные задачи.