Защита информации в автоматизированных информационных системах

Такой подход предоставляет более гибкие и точные возможности организации работы с конфиденциальными сведениями⁷.

На практике в реальных политиках  мониторов безопасности баз данных чаще всего применяется дискреционный принцип с принудительным управлением доступом, «усиливаемый» элементами мандатного принципа в сочетании с добровольным управлением доступом (допуска субъектов устанавливает и изменяет только администратор, уровень конфиденциальности объектов устанавливают и изменяют только владельцы).

При реализации политик и моделей  безопасности данных в фактографических АИС на основе реляционных системах управления базами данных (СУБД) возникают специфические проблемы разграничения доступа на уровне отдельных полей таблиц. Эти проблемы связаны с отсутствием в реляционной модели типов полей с множественным (многозначным) характером данных.

Предположим, в базе данных имеется  таблица с записями по сотрудникам с полями «Лич_№», «Фамилия», «Подразделение», «Должность». Предположим также, что в структуре организации имеется засекреченное подразделение «Отдел_0», известное для всех непосвященных под названием «Группа консультантов». Соответственно поля «Подразделение», «Должность» для записей сотрудников этого подразделения будут иметь двойные значения - одно истинное (секретное), другое для прикрытия (легенда).

Более того, даже если взять более  простой случай, когда конфиденциальные данные по некоторым полям пользователям, не имеющим соответствующей степени допуска, просто не показываются, т.е. такой пользователь «видит» в секретных полях некоторых записей просто пустые значения, то, тем не менее, возникают косвенные каналы нарушения конфиденциальности. Так как на самом деле в соответствующем поле данные имеются, то при попытке записи в эти поля неуполномоченный на это пользователь получит отказ, и, тем самым, «почувствует» что-то неладное, подозрительное, скажем, в отношении записи сотрудника с личным номером 007. Это и есть косвенный канал.

В более общем виде под косвенным  каналом нарушения конфиденциальности подразумевается механизм, посредством  которого субъект, имеющий высокий  уровень благонадежности, может  предоставить определенные аспекты  конфиденциальной информации субъектам, степень допуска которых ниже уровня конфиденциальности этой информации.

В определенной степени проблему многозначности и косвенных каналов можно  решать через нормализацию соответствующих  таблиц, разбивая их на связанные таблицы, уровень конфиденциальности которых, или конфиденциальности части записей которых, будет различным.

Другие подходы основываются на расширении реляционной модели в  сторону многозначности и допущения  существования в таблицах кортежей с одинаковыми значениями ключевых полей.

1.2. Технологические аспекты защиты информации

Практическая реализация политик  и моделей безопасности, а также  аксиоматических принципов построения и функционирования защищенных автоматизированных информационных систем обусловливает необходимость решения ряда программно - технологических задач, которые можно сгруппировать по следующим направлениям⁸:

-   технологии идентификации и аутентификации;

-   языки безопасности баз данных;

- технологии обеспечения безопасности повторного использования объектов;

-   технологии надежного проектирования и администрирования.

Идентификация и аутентификация. Технологии идентификации и аутентификации являются обязательным элементом защищенных систем, так как обеспечивают аксиоматический принцип персонализации субъектов и, тем самым, реализуют первый (исходный) программно - технический рубеж защиты информации в компьютерных системах.

Под идентификацией понимается различение субъектов, объектов, процессов по их образам, выражаемым именами.

Под аутентификацией  понимается проверка и подтверждение подлинности образа идентифицированного субъекта, объекта, процесса⁹.

Как вытекает из самой сути данных понятий, в основе технологий идентификации и аутентификации лежит идеология статистического  распознавания образов, обусловливая, соответственно, принципиальное наличие ошибок первого (неправильное распознавание) и второго (неправильное нераспознавание) рода. Методы, алгоритмы и технологии распознавания направлены на обеспечение задаваемых вероятностей этих ошибок при определенных стоимостных или иных затратах.

При регистрации  объекта идентификации /аутентификации в системе монитором безопасности формируется его образ, информация по которому подвергается необратимому без знания алгоритма и шифра - ключа, т. е. криптографическому, преобразованию и сохраняется в виде ресурса, доступного в системе исключительно монитору безопасности. Таким образом, формируется информационный массив внутренних образов объектов идентификации / аутентификации.

Системотехнический аспект идентификации / аутентификации. Впоследствии при идентификации / аутентификации (очередной вход в систему пользователя, запрос процесса на доступ к объекту, проверка подлинности объекта системы при выполнении над ним действий и т. д.) объект через канал переноса информации передает монитору безопасности информацию о своем образе, которая подвергается соответствующему преобразованию. Результат этого преобразования сравнивается с соответствующим зарегистрированным внутренним образом, и при их совпадении принимается решение о распознавании (идентификации) и подлинности (аутентификации) объекта.

Информационный массив внутренних образов объектов идентификации / аутентификации является критическим ресурсом системы, несанкционированный доступ к которому дискредитирует всю систему безопасности. Поэтому помимо всевозможных мер по исключению угроз несанкционированного доступа к нему сама информация о внутренних образах объектов идентификации/аутентификации находится в зашифрованном виде.

Формирование  образов осуществляется на разной методологической и физической основе в зависимости от объекта идентификации / аутентификации (пользователь-субъект; процесс; объект-ресурс в виде таблицы, формы, запроса, файла, устройства, каталога и т. д.). В общем плане для идентификации / аутентификации пользователей - субъектов в компьютерных системах могут использоваться их биометрические параметры (отпечатки пальцев, рисунок радужной оболочки глаз, голос, почерк и т. д.), либо специальные замково-ключевые устройства (смарт-карты, магнитные карты и т. п.). Однако при доступе непосредственно в АИС (в базы данных), чаще всего используются парольные системы идентификации / аутентификации.

Парольные системы  основаны на предъявлении пользователем  в момент аутентификации специального секретного (известного только подлинному пользователю) слова или набора символов - пароля. Пароль вводится пользователем с клавиатуры, подвергается криптопреобразованию и сравнивается со своей зашифрованной соответствующим образом учетной копией в системе. При совпадении внешнего и внутреннего парольного аутентификатора осуществляется распознавание и подтверждение подлинности соответствующего субъекта.

Парольные системы  являются простыми, но при условии  правильной организации подбора  и использования паролей, в частности, безусловного сохранения пользователями своих паролей втайне, достаточно надежным средством аутентификации, и, в силу данного обстоятельства, широко распространены.

Основной недостаток систем парольной аутентификации заключается  в принципиальной оторванности, отделимости аутентификатора от субъекта-носителя. В результате пароль может быть получен тем или иным способом от законного пользователя или просто подобран, подсмотрен по набору на клавиатуре, перехвачен тем или иным способом в канале ввода в систему и предъявлен системе злоумышленником.

В результате внутренний образ субъекта существенно расширяется  и появляется возможность варьирования аутентификатора при каждом следующем  входе пользователя в систему. При  входе пользователя в систему  монитор безопасности (субъект аутентификации) формирует случайную выборку вопросов и, чаще всего, по статистическому критерию «n из m» принимает решение об аутентификации.

В системах коллективного  вхождения парольную аутентификацию должны одновременно пройти сразу все  зарегистрированные для работы в системе пользователи. Иначе говоря, поодиночке пользователи работать в системе не могут. Вероятность подбора, перехвата и т. д. злоумышленником (злоумышленниками) сразу всех паролей, как правило, существенно меньше, и, тем самым, надежность подобных систем аутентификации выше.

Аутентификации  в распределенных информационных системах в принципе должны подвергаться и  объекты (ресурсы, устройства), а также  процессы (запросы, пакеты и т. д.). Аутентифицированный (подлинный) пользователь, обращаясь к объектам системы и порождая соответствующие процессы, должен, в свою очередь, убедиться в их подлинности, например, отправляя распечатать сформированный в базе данных конфиденциальный отчет на сетевой принтер, специально предназначенный для распечатки соответствующих конфиденциальных документов.

Как правило, для  аутентификации объектов применяются  технологии асимметричных криптосистем, называемых иначе системами с открытым ключом.

Для аутентификации процессов широкое распространение  нашли технологии меток (дескрипторов) доступа.

Технология меток  или  дескрипторов доступа отражает сочетание одноуровневой и многоуровневой моделей безопасности данных и основывается на присвоении администратором системы всем объектам и субъектам базы данных специальных дескрипторов доступа, содержащих набор параметров уровня конфиденциальности, допустимых операциях, допустимых имен объектов или субъектов доступа и других особых условий доступа. Субъект доступа, инициируя в соответствии со своим дескриптором (меткой) разрешенный процесс, передает ему свою метку доступа (помечает своей меткой). Ядро безопасности СУБД (ТСВ) проверяет подлинность метки процесса, сравнивая ее с меткой доступа пользователя - субъекта, от имени которого выступает процесс. При положительном результате метка доступа процесса сравнивается с меткой доступа объекта, операцию с которым намеревается осуществлять процесс. Если дескрипторы доступа процесса и объекта совпадают (или удовлетворяют правилам и ограничениям политики безопасности системы), монитор безопасности разрешает соответствующий доступ, т. е. разрешает осуществление процесса (операции)¹⁰.

Проверка подлинности метки  процесса предотвращает возможные  угрозы нарушения безопасности данных путем формирования субъектом для  инициируемого им процесса такой  метки, которая не соответствует  его полномочиям.

Для проверки подлинности меток в системе формируется специальный файл (массив) учетных записей. При регистрации нового пользователя в системе для него создается учетная запись, содержащая его идентификационный номер (идентификатор), парольный аутентификатор и набор дескрипторов доступа к объектам базы данных (метка доступа). При инициировании пользователем (субъектом) какого-либо процесса в базе данных и передаче ему своей метки доступа ядро безопасности СУБД подвергает метку процесса криптопреобразованию, сравнивает ее с зашифрованной меткой соответствующего субъекта (пользователя) в массиве учетных записей и выносит решение о подлинности метки.

Массив учетных записей, в свою очередь, является объектом высшей степени  конфиденциальности в системе, и  доступен только администратору. Ввиду исключительной важности массива учетных записей для безопасности всей системы помимо шифрования его содержимого принимается ряд дополнительных мер к его защите, в том числе специальный режим его размещения, проверка его целостности, документирование всех процессов над ним.

Таким образом, на сегодняшний день наработан и используется развитый набор технологий идентификации / аутентификации в защищенных компьютерных системах. Вместе с тем основные бреши безопасности чаще всего находятся злоумышленниками именно на этом пути.

Глава 2. Основные задачи информационно-технической политики таможенных органов

Центральное место в общей проблеме модернизации таможенной системы занимает проблема оценки и, соответственно, повышения  эффективности ее системы управления. Одна из ключевых причин, определяющих наличие проблемы – низкий уровень автоматизации процессов оперативного, оперативно-стратегического и стратегического управления деятельностью таможенных органов. К задачам оценки эффективности и оптимизации деятельности таможенных органов добавляются вопросы приведения их штатной численности в соответствии с целями, функциями, задачами и объемами деятельности.

В настоящее время вопросы автоматизации  частично решаются в рамках единой автоматизированной информационной системы (ЕАИС) ФТС России. При этом в ЕАИС реализованы лишь некоторые отдельные задачи, такие как автоматизация функций ввода информации, ее обработки, хранения, контроля, формирования отчетов и других информационно-справочных документов о деятельности таможенных органов.

Основное содержание информационно - технической политики   составляет целенаправленная деятельность ФТС  России по информатизации таможенных органов и обеспечению эксплуатации объектов информационно-технической  инфраструктуры. Информатизация таможенных органов является самостоятельным и приоритетным направлением деятельности ФТС России и представляет собой процесс внедрения в таможенное дело современных информационных технологий.

Правовую основу информационно - технической  политики составляют положения Конституции Российской Федерации, Таможенный кодекс таможенного союза, Положение о Федеральной таможенной службе Российской Федерации, правовые акты Президента и Правительства Российской Федерации, касающиеся вопросов информатизации и обеспечения информационной безопасности федеральных органов исполнительной власти и таможенной службы, а также ведомственные нормативные акты по вопросам информационно - технической политики и технической защиты объектов таможенной инфраструктуры.