CC BY
136
2005
НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Информатика. Прикладная математика
№92 (10)
УДК 623.61:621.391
ТРЕХУРОВНЕВАЯ МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ЕЕ ИСПОЛЬЗОВАНИЕ ПРИ ВЫБОРЕ ПРИНЦИПОВ ПОСТРОЕНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
В. Е. ЕМЕЛЬЯНОВ, П. В. НАЗАРОВ
Рассматривается трехуровневая модель функционирования типовой информационной (автоматизированной, информационно-управляющей и т.п.) системы, а также методология ее применения при выборе принципов построения систем защиты информации.
1. Введение
Целью данной статьи являются обобщение трехуровневой модели функционирования типовой информационной (автоматизированной, информационно-управляющей и т.п.) системы, а также рассмотрение методологии ее применения при выборе принципов построения прикладных систем защиты информации.
2. Описание проблемы
Как показано в работе [1], применение средств защиты информации является важным и действенным способом повышения эффективности и надежности работы радиотехнических систем и комплексов предприятий гражданской авиации. В МГТУ ГА была разработана математическая методика, описывающая поведение объектов и субъектов защиты информации и позволяющая количественно рассчитать пользу от применения системы защиты информации (СЗИ) на объекте внедрения [2]. Однако данная методика является теоретической, а не прикладной. Для ее практического применения необходима дополнительная проработка вопроса.
3. Разработка трехуровневой модели типовой информационной системы
Учитывая, что защита информации состоит из взаимодействия объектов и субъектов [1], и, принимая во внимание приведённую в [2], видим, что целесообразно провести изучение вопроса моделирования работы информационной системы в целом, с учетом всех ее компонентов.
Примем без доказательства, что информационная система (ИС) - это комплекс взаимосвязанных программных и технических средств, предназначенный для хранения, передачи и обработки информации.
Так как одним из направлений деятельности ИС является передача информации, для ее описания применимы приемы моделирования процессов передачи данных.
Согласно В. Столлингсу [3], процесс передачи данных может быть описан трехуровневой моделью, в которой вся ИС разбита на следующие не зависящие друг от друга уровни: уровень доступа к сети, транспортный уровень, прикладной уровень.
При этом «уровень доступа к сети обеспечивает обмен данными между компьютером и сетью», на транспортном уровне собраны механизмы обеспечения надежности обмена данными, «наконец, на прикладном уровне реализована логика работы приложений
пользователей». Процессы передачи данных («коммуникационная связь») происходят на уровне доступа к сети. Такая модель не позволяет учитывать действия пользователей, в ней не
предусмотрено соответствующих механизмов. Для решения проблемы разработана своя трехуровневая модель типовой информационной системы.
Типовая информационная система, рассмотренная как объект защиты информации, состоит из трех взаимосвязанных уровней:
1. Уровень оборудования и технических средств
На данном уровне расположены компьютеры, серверы, периферийное оборудование (с прикладными и системными программами, обеспечивающими их работу), оборудование связи и передачи данных (телекоммуникационное оборудование).
Именно с данным уровнем взаимодействуют легальные пользователи ИС, осуществляющие санкционированный доступ к её ресурсам. На уровне расположены также копии однопользовательского программного обеспечения, инсталлированного непосредственно на рабочие станции пользователей.
Объекты, находящиеся на данном уровне, привязаны к физическим структурам - зданиям и сооружениям, в которых размещена система.
2. Уровень транспортной среды
На этот уровень автором помещены структурированные кабельные системы, системы электронной почты, системы электронного документооборота, сети связи и телекоммуникаций и т. д.
С данным уровнем взаимодействуют не сами пользователи ИС, а используемое ими оборудование из первого уровня.
Функционирование объектов, размещенных на уровне, также зависит от особенностей зданий и сооружений, в которых размещена система.
3. Уровень прикладных программ
На этом уровне находится прикладное и общесистемное программное обеспечение, предназначенное для обеспечения работы оборудования (уровень 1) и пользователей ИС (нижний слой модели).
С уровнем взаимодействует уровень транспортной среды, передающий на третий уровень запросы от первого уровня, и отправляющий обратно на него ответы, получаемые с третьего уровня.
Злоумышленники (нарушители режима информационной безопасности), пытаясь получить несанкционированный доступ (НСД) к её ресурсам, находясь вне логики работы информационной системы, предпринимают попытки НСД на всех трёх уровнях типовой модели.
Исходя из предложенной трехуровневой структуры типовой информационной системы, типовая СЗИ должна иметь трехуровневый характер и состоять из трех подсистем:
1. Подсистема защиты комплекса оборудования и технических средств.
Подсистема предназначена для защиты серверов, автоматизированных рабочих мест, оборудования связи и телекоммуникаций и др., включая управляющее и специализированное программное обеспечение и однопользовательские прикладные программы, установленные на рабочих станциях пользователей.
2. Подсистема защиты транспортной среды.
Задачей подсистемы является защита узлов доступа для работы с внешними сетями (включая Интернет), систем электронной почты, систем электронного документооборота, структурированных кабельных сетей, сетей и систем связи и телекоммуникаций и др.
3. Подсистема защиты прикладных программных средств и системного программного обеспечения.
Подсистема предназначена для защиты сетевых операционных систем, сетевых баз данных, систем управления базами данных, программных систем решения функциональных задач и т.д.
Как было показано выше, существование второго уровня невозможно без наличия первого, который, в свою очередь, связан с третьим уровнем типовой модели.
Иными словами, мы имеем дело со сложноорганизованной системой, поведение которой необходимо описать с научной точки зрения.
В частности, нужно определить, каким образом СЗИ должна реагировать на попытки несанкционированного доступа злоумышленников к ресурсам защищаемой ИС.
Сформулируем три базовых теоретических принципа, которыми можно руководствоваться при построении систем защиты информации:
- принцип построения единой и неделимой системы защиты информации;
- блочный принцип построения системы защиты информации;
- модульный принцип построения системы защиты информации.
У каждого из них есть достоинства и недостатки, которые рассмотрим подробнее.
Начнем с первого из перечисленных принципов - принципа построения единой и
неделимой системы защиты информации (рис. 2), реализация которого началась в 20 веке.
Суть подхода заключается в том, что все возможные виды угроз отражаются с помощью СЗИ, представляющей собой единый и неделимый (монолитный) блок, в который объединены все защитные ресурсы и механизмы, которыми можно защитить ИС.
Такая система защиты информации состоит из одного элемента, и, согласно теории эффективности и надежности [4], [5], является наиболее надежной и отказоустойчивой. Система может отразить любую угрозу, на пути которой оказывается. Поскольку глубина защиты при этом максимальна, в защищаемой ИС можно обрабатывать любые сведения.
В то же время, концентрация всех ресурсов системы защиты, приводит к тому, что, обеспечивая непреодолимую защиту на одном направлении возможных атак, монолитная СЗИ не обеспечивает никакой защиты на других направлениях. В результате, как показано на рис. 2, при одновременной атаке нескольких нарушителей на разных уровнях, эта СЗИ не может отразить все возможные угрозы, что, как указано в [2], приводит к её «взлому».
Для того чтобы единая и неделимая СЗИ могла эффективно защищать ИС, надо заранее знать направление угрозы и вовремя «выдвигать» СЗИ на это направление. Поэтому с переходом защиты информации на коммерческую основу единая СЗИ превратилась в уязвимое средство, не способное обеспечить требуемый уровень защиты.
Несколько большей гибкостью обладает СЗИ, построенная по блочному принципу (рис. 3), активная реализация которого началась в конце двадцатого века.
Блочный принцип построения СЗИ предполагает, что система строится из трех функциональных блоков, каждый из которых:
- является единым и неделимым («монолитным»);
- предназначен для защиты только одного из уровней модели ИС.
Поскольку система защиты информации, построенная по данному принципу, состоит из
нескольких компонентов, у неё будет меньшая глубина защиты, чем у монолитной СЗИ. В то же время у блочной СЗИ будет большая мобильность, чем у монолитной системы, так как для отражения конкретной угрозы на угрожаемое направление нужно будет выдвигать не всю СЗИ, а один из трех составляющих её функциональных блоков. Наличие трех блоков, подвижных относительно друг друга, позволяет блочной системы защиты информации отражать атаки, одновременно происходящие на разных уровнях модели типовой ИС.
Однако в рамках каждого функционального блока блочной системы защиты, сохраняются недостатки, выявленные при изучении монолитной СЗИ.
В случае, если злоумышленники одновременно будут совершать большое количество атак на один и тот же уровень модели типовой ИС или при резком изменении в защищаемой системе состава элементов внутри её уровней, блочная СЗИ потеряет эффективность.
Для решения проблемы необходимо зафиксировать и не менять состав программных и технических средств защищаемой системы, а также ограничить возможности доступа к ресурсам ИС («сузить фронт защиты»).
В случае, если система должна обслуживать всех работников предприятия, и если качество предоставляемых услуг должно повышаться (что невозможно без изменения состава технических и программных средств), данные методы применять нельзя, и нужно искать другие решения. Одним из таких решений является модульный принцип построения СЗИ (рис. 2).
Рис. 1. Принцип построения единой и неделимой системы защиты информации в типовой
информационной системе
Рис. 2. Модульный принцип построения системы защиты информации в типовой
информационной системе
Система, построенная в соответствии с этим принципом, не просто состоит из трех функциональных блоков, каждый блок разбит на меньшие по размеру элементы - модули защиты. В результате, по сравнению с монолитной и блочной СЗИ, у модульной системы меньше глубина защиты, но выше мобильность - она может отражать большое количество атак, одновременно происходящих с разных направлений и на разных уровнях модели типовой ИС, и может оперативно реагировать на любые изменения состава технических и программных средств внутри уровней защищаемой ИС; для отражения атаки на новом, неожиданно возникшем, направлении, нужно «выдвинуть» на него один из модулей, а не всю СЗИ (как в монолитной) и не весь блок (как в блочной).
Таким образом, модульная СЗИ лишена недостатков, присущих монолитной и блочной системам, и не требует накладывать ограничения на работу защищаемой информационной системы.
4. Заключение
Как показано в [1], защита информации может быть средством повышения экономической эффективности авиационных предприятий. В [2] изложена методика расчета параметров СЗИ, но не дано рекомендаций по практическому применению разработанной в МГТУ ГА методики.
Приведенные выше рекомендации позволяют создать реально действующую СЗИ.
Наличие взаимосвязей между тремя уровнями модульной системы позволяет перейти к следующему шагу научной формализации работ по защите информации - расчету модулей СЗИ.
ЛИТЕРАТУРА
1. Емельянов В.Е, Назаров П.В. Защита от несанкционированного доступа систем связи и передачи данных современной российской гражданской авиации как средство повышения эффективности их работы // Научный Вестник МГТУ ГА, серия Информатика. Прикладная математика, № 65, 2003.
2. Емельянов В.Е, Назаров П.В. Модель оценки эффективности средств информационной безопасности, применяемых для защиты авиационных радиотехнических систем и комплексов // Научный Вестник МГТУ ГА, серия Эксплуатация воздушного транспорта и ремонт авиационной техники. Безопасность полетов, № 63, 2003.
3. В. Столлингс. Передача данных. - С.-Пб.: Питер, 2004.
4. Александровская Л.Н., Афанасьев А.П., Лисов А.А. Современные методы обеспечения безотказности сложных технических систем. - М.: Логос, 2001.
5. Гадасин В.А., Ушаков И.А. Надежность сложных информационно-управляющих систем. -М.: Советское радио, 1975.
THREE-STAGE MODEL OF OPERATING TYPICAL INFORMATION SYSTEM AND ITS USING WHEN CHOOSE PRINCIPLE OF BUILDING SYSTEMS OF PROTECTION INFORMATION.
Emelyanov V.E., Nazarov P.V.
The article is considered the three-stage model of operating typical information system and also methodology and its using when choose principle of building systems of protection information.
Сведения об авторах
Емельянов Владимир Евгеньевич, 1951 г.р., окончил КИИГА (1974), доктор технических наук, профессор МГТУ ГА, автор более 100 научных работ, область научных интересов -техническая эксплуатация авиационного радиоэлектронного оборудования, функционирующего в сложной электромагнитной обстановке.
Назаров Павел Владимирович, 1966 г.р. окончил МИСиС (1988) и МГУ (1992), соискатель МГТУ ГА, область научных интересов - информационные технологии и защита информации.
