CC BY
95
Волчихин В.И.,Тарасов А. К.,Авдонина Л. А.
Пензенский государственный университет
ПРОБЛЕМА БЕЗОПАСНОСТИ ПРОГРАММНЫХ СРЕДСТВ
Иностранные государства продолжают модернизировать свои разведывательные службы, совершенствуют техническую разведку, наращивают ее возможности. Многофункциональные космические, наземные, воздушные, морские системы и комплексы иностранных государств с глобальными разведывательными возможностями действуют против России непрерывно. При этом продолжается процесс создания и развертывания новых разведывательных систем, совершенствования средств и методов сбора информации и автоматизации ее обработки, подготовки квалифицированных специалистов - разведчиков и аналитиков. Главное внимание разведывательные службы иностранных государств уделяют процессу становления России как самостоятельного государства в структуре мирового сообщества, ее внутренним и внешним политическим ориентирам, военной политике и путям ее реализации, происходящим экономическим преобразованиям, направленности научных исследований и технических экспериментов, оценке российского рынка. В сферу разведки все в большей мере вовлекаются вопросы технологий финансов, торговли и ресурсов.
В начале XXI века можно сказать, что информационная война есть основное средство современной мировой политики и экономики, доминирующий способ достижения политической, духовной, финансовой и экономической власти. Управление информационными потоками превратилось в решающий фактор мирового доминирования.
Геополитическое информационное противоборство - одна из современных форм борьбы между государствами, а также система мер, проводимых одним государством с целью нарушения информационной безопасности другого государства, при одновременной защите от аналогичных действий со стороны противостоящего государства.Основной ее целью является нарушение информационной безопасности враждебного государства, в обусловленных случаях, целостности системы государственного и военного управления иностранных государств, эффективное информационное воздействие на их руководство, политическую элиту, системы формирования общественного мнения и принятия решений, а также обеспечение информационной безопасности Российской Федерации для завоевания информационного превосходства в мировом информационном пространстве.
Успехи в создании и освоении в военной сфере передовых технологий воздействуют на изменение средств вооруженной борьбы. Такие термины как "информационная" война и "информационное" оружие стали современными в области военной науки и практики. Это связано с развитием и совершенствованием вооружения и военной техники.
Применение новых технологий приведет к повышению эффективности и качества вооружения и военной техники, к появлению новых форм и способов военных действий.
Сегодня вопросы управления войсками и боевыми действиями с использованием средств автоматизации тесно связаны с вопросами инфор-мационной борьбы. Согласно "Объединенной доктрине информационных операций" информационное оружие рассматривается как арсенал средств несанкционированного доступа к информации и выведения из строя электронных систем управления. Эффективное применение информационного оружия тесно связано с использованием космических средств. По мнению специалистов в этой области, поражение в информационной войне может надолго отбросить проигравшую страну назад в ее развитии, а страна-победитель получит неограниченные возможности управлять побежденными.
Особое значение в настоящее время приобретают вопросы надежного и эффективного управления войсками. Наилучшим вариантом считается тот, при котором этот процесс реализуется в режиме реального времени, что может быть обеспечено только при комплексном ("сетевом") использовании системы автоматизированного управления войсками. Это предполагает наличие необходимых элементов автоматизиро-ванного управления войсками во всех звеньях управления, объединенных в единую систему. В случае отсутствие или нарушения взаимосвязи между элементами ведет к утрате тех преимуществ, которые имеет управление с использованием средств автоматизации по сравнению с использованием традиционных средств и способов управлением.
Большая часть создаваемого ВВТ в информационный век включает ис-пользование программных и программно-аппаратных средств. По оценкам экспертов, даже приблизительный анализ показывает устойчивое увеличение относительной доли задач и функций, выполняемых с помощью программных средств, по сравнению с аппаратными. Таким образом, к настоящему времени сложилась ситуация, когда боевые возможности и устойчивость систем современного оружия в большой степени определяются показателями качества и надежности программных средств. Поэтому программное обеспечение становится новым источником уязвимости современных оборонных систем, а активное использование программных средств в составе систем оружия, боевого управления и связи порождает новую проблему - обеспечение технологической безопасности программных средств военного назначения.
Сейчас безопасность программного обеспечения сложных систем связана с потенциальной возможностью внесения в программные средства преднамеренных дефектов, иначе именуемых «программными закладками», которые служат для целенаправленного скрытого воздействия на техническую или информационную систему, в составе которой используется ЭВМ. Вероятно, «программные закладки» являются
логическим продолжением так называемых «электронных закладок» (скрытых технических устройств),
публикации о которых часто появлялись в прессе во времена «холодной войны», а также результатом осмысления возможностей специального использования программных средств.
«Программные закладки» могут быть достаточно эффективно при-менены в военных целях в качестве активного элемента информационно-кибернетического противодействия. При этом, чем выше степень компьютеризации и интеллектуализации систем военного назначения, тем больше вероятность появления «закладок». Поэтому одной из современных особенностей проектирования и разработки программного обеспечения военного назначения является необходимость обеспечения его технологиче-ской безопасности .
Одними из основных источников угроз информационной безопасности являются деятельность иностранных разведывательных и специальных служб, преступных сообществ, организаций, групп, формирований и противозаконная деятельность отдельных лиц, направленная на сбор или хищение ценной информации, закрытой для доступа посторонних лиц.
Развитие информационной безопасности Российской федерации обеспечивает защиту от потенциальных источников угроз:
1. Деятельность иностранных политических, экономических и военных структур.
2. Обострение международной конкуренции за обладание информационными технологиями и ресурсами.
3. Деятельность всех средств и видов разведки иностранных государств.
Главной причиной возникновения промышленного (экономического) шпионажа является стремление к реализации конкурентного преимущества - важнейшего условия достижения успеха в рыночной экономике. Охота за чужими секретами позволяет компаниям экономить собственные средства на ведение НИОКР и фундаментальные исследования, быть в курсе дел конкурентов, использовать их научно-технические достижения.
В последние годы промышленный шпионаж превращается в весьма доходную разновидность бизнеса. По мнению международных экспертов, это объясняется тем, что в связи с окончанием холодной войны и уменьшением вероятности мирового вооруженного конфликта государства будут вести борьбу друг с другом в области экономики и технологий. Ту же борьбу (с поддержкой государства или без таковой) будут вести и предприятия всех видов и размеров.
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл.Информационная безопасность - это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться.
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Так проблемой выявления уязвимостей и сертификационных испытаний программного обеспечения занимаются испытательные лаборатории Минобороны, ФСБ и ФСТЭК России, которые в своей работе опираются на Руководящий документ Гостехкомиссии России. Руководящий документ по недекларированным возможностям был создан в 90-е годы, а заложенные в нем методы берут начало в теории надежности функционирования программ, поэтому вопросы защиты собственно кода отражены в документе недостаточно явно. Существующая нормативная, методическая и инструментальная база выявления недекларированных возможностей в программном обеспечении на данный момент сильно устарела. Объективными причинами появления уязвимостей в программных продуктах является:
1. Высокая структурная сложность программного кода.
2. Динамичность развития версий и легкость модификации кода.
3. Проблема идентификации программной закладки.
4. Несовершенство нормативно-методической базы.
5. Недостаточность регламентированной инструментальной базы испытаний.
Отсутствуют средства гарантированного выявления программных закладок в структурно сложном программном обеспечении. До сих пор не разработан математический аппарат для оценки степени безопасности программного обеспечения, основанного на сертификационных испытаниях с целью подтвердить отсутствие программных закладок.
Основными недостатками Руководящего документа по недекларированным возможностям является:
1. Значительная вычислительная сложность статического и динамического анализа.
2. Недостаточность проверок связанных с безопасностью изделия.
Самыми небезопасными остаются продукты, прошедшие сертификацию по третьему или четвертому уровню контроля. Четвертый уровень сводится к проверке возможности компиляции и сборки программного продукта, а также отсутствия избыточных файлов в его дистрибутиве. Таким образом, создается иллюзия проверки программы в соответствии с требованиями безопасности.Для третьего уровня, который позволяет программным продуктам использоваться в информационных системах с гифом секретности «С», подход выявления недекларированных возможностей представляет собой чрезвычайно длительное
изучение структуры программы, не включающее в себя анализ функций, процедур и методов на признаки программных закладок и некорректностей кодирования кода.
Назрела необходимость в разработке и внедрении новых методов и средств выявления уязвимостей программного кода и оценке угроз. Накопленный опыт проведения сертификационных испытаний на отсутствие недекларированных возможностей и программных закладок позволяет наметить пути совершенствования нормативной базы, основанной на использовании сигнатурных методов анализа кода. Развитие нормативной базы возможно в рамках использования новых стандартов и руководящих документов по линии «Общих критериев».
ЛИТЕРАТУРА
1. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М.: Гостехкомиссия России, 1998.
2. Калайда И.А. Недекларированные возможности в программном обеспечении средств защиты информации. JetInfo, 2000, № 8.
3. Марков А.С., Щербина С.А. Испытания и контроль программных ресурсов. InformationSecurity, 2003, № 6.
4. В.А. Галатенко. Основы информационной безопасности. Москва 2003.
5. Копылов В.А. Информационное право. 2-е изд., перераб. и доп. - М.: Юристъ, 2002.
