|
Введение
 Доверие — фундаментальная, многоаспектная, неоднозначная характеристика. В этой монографии мы остановимся только на одной стороне — на техническом аспекте доверия. Доверие, о котором мы говорим — не имеет никакого религиозного содержания — напротив, оно научно и в качестве такового допускает возможность обоснованной критики. Мы не будем говорить о содержании гуманитарного, международного и любого другого крайне важного, но не технического аспекта. Это важнейшие направления, и их нужно понимать и знать — мы на протяжении всех последних лет участвуем в самом представительном форуме на эту тему — форуме в Гармиш‑Партенкирхене, где собираются известные эксперты из множества стран для обсуждения важнейших гуманитарных вопросов международной информационной безопасности. Участие в этом форуме будит воображение, заставляет почувствовать себя участником событий, вершащих судьбы Мира, влияющих на политику целых стран — это очень важно, и заслуживает самого пристального изучения — но не в этой книге. Нас интересует проверяемое доверие, доказательное, контролируемое. Не система взглядов, а архитектура технических систем. Не рассуждения, а меры. Не то или иное состояние общества — а построение технической (компьютерной) системы, свойства которой понятны и описаны. И при этом обеспечивают важнейшие характеристики — например, вирусный иммунитет. Или целостность. Или доступность. Измеряемые технические параметры. Все меры по защите информационных систем до настоящего времени неявно формулировались для корпоративных, замкнутых систем. Состав такой системы известен (какие компьютеры входят в систему, как они защищены, где расположены и так далее), известны связи между узлами и характеристики передаваемых данных (что позволяет принять решение о криптографической защите данных), известны все легальные участники системы — и это дает возможность эффективно их идентифицировать с использованием доверенных средств вычислительной техники (СВТ). Многие интеграторы даже научились правдоподобно манипулировать требованиями, выбирая и обосновывая те требования тех регуляторов, которые максимально удобны для них. Дало ли это что-то для повышения общего уровня защищенности? Наверное, да, но не так много, как хотелось бы. И в это время все радикально изменилось. В компьютерах появились неотчуждаемые средства реинжиниринга (например, IME), которые позволяют перехватить управление компьютером в любой момент, и в любой момент получить любые данные, размещенные на его технических средствах. И эти угрозы не блокируются ни одним из известных средств защиты. Системы преимущественно становятся открытыми — а сделать все СВТ в открытой системе защищенными — невозможно. Осознана потребность в защите критических информационных инфраструктур — а ведь в управлении технологическими процессами используются не планшеты, десктопы и смартфоны, а микропроцессоры. А в них средства защиты не вставишь. А атакам они подвержены ничуть не меньше других. Только последствия страшнее могут быть. Микропроцессорные устройства подвержены атакам — они такие же «машины Тьюринга» по своей архитектуре, как и остальные компьютеры. И только это уже меняет весь современный ландшафт безопасности. И что же делать? Подписывать на антивирусные базы все чайники, холодильники и заслонки АЭС? Очевидно, что наступило время радикально изменить подход. Нужно перестать повторять как заклинания устаревшие подходы, и найти новые решения для блокирования новых вызовов. Нет ничего страшного в том, чтобы подвергнуть сомнению истины, которые еще вчера казались азбучными — если это позволит найти эффективное решение. Ну или хотя бы попытаться найти такое решение. В этой книге мы критически рассмотрим привычные подходы — о том, что универсальный вычислитель Тьюринга и есть оптимальный вариант компьютера, о том, что биометрию, применяемую в криминалистике, можно использовать в цифровом обществе, и еще кое‑какие «истины», которым нас долго учили ортодоксальные «специалисты». В первой части книги мы предложим определения базовых понятий, и на этой основе поставим под сомнение даже знаменитую триаду целей мероприятий по защите информации — целостность, доступность, конфиденциальность — докажем, что большое значение имеет также собственно информационная технология. Развитие понятий защиты информации — вот название того этапа, который мы сейчас переживаем. Новая реальность, выражающаяся в лозунге о цифровой экономике, заставляет значительно расширить наши представления о доверенных информационных технологиях. Информационная технология — это последовательность операций. Это не ксероксы, факсы и принтеры. Ведь если даже технические средства останутся на своих местах — то изменение последовательности операций приведет к неверному результату со всеми негативными последствиями, вытекающими отсюда. Мы расширим перечень целей, добавим туда и информационную технологию как последовательность операций. И защищенной информационной технологией будем называть не компьютер в сейфе, а информационную технологию, обладающую свойством сохранять последовательность операций. В информационном взаимодействии принимают участие, как правило, две стороны. На примере взаимодействия банка и его клиентов мы рассмотрим, как же техническими средствами обеспечить приемлемый уровень доверия, как убедиться, что диалог идет с партнером, а не с хакером. Если мы и понимаем, как идентифицировать участников информационного взаимодействия в закрытых системах, то в открытых системах доверенных методов пока нет. И, так как смартфоны всегда будут недоверенными, то методы идентификации должны стать совершенно другими. Мы предложим новый метод биометрической идентификации, основанный на рефлекторных реакциях человека и интерактивности процедур. Вторая часть посвящена разработке правильных систем. Как недоверенный компьютер сделать доверенным? Какими свойствами должен обладать резидентный компонент безопасности? Можно ли сделать компьютер, который изначально, архитектурно будет обладать нужным набором свойств — например, вирусным иммунитетом? — вот вопросы, которые мы рассмотрим в этом разделе. Мы шаг за шагом спроектируем такой компьютер — пусть не на уровне принципиальных схем, но очень близко — на уровне схем структурных. Результатом будет компьютер Новой гарвардской архитектуры — компьютер, который не заражается вирусами. В третьей части мы приводим описание средств вычислительной техники и средств защиты информации, построенных по принципам, описанным выше. Рассматриваем средства доверенной загрузки, разграничения доступа, средства защиты виртуальных инфраструктур и др. Некоторым особняком стоит четвертая часть — она посвящена вольному изложению идей по защите данных и информационных систем для новичков, для тех, кто только вступает на этот увлекательный путь. Понимая, что каждая формула уменьшает количество читателей в два раза, мы постарались предельно упростить изложение, заостряя внимание лишь на самых необходимых моментах. Надеемся, этот раздел тоже окажется полезным. Потеряв при переходе к компьютерным системам информационного общества главное преимущество корпоративных систем (с точки зрения технической защиты информации), а именно — перечислимость технических средств, четкость границ системы — мы потеряли и десятилетиями строившуюся нормативную базу. Но и приобрели многое — новые интерактивные подходы к рефлекторной биометрии, компьютеры с вирусным иммунитетом, распределенную (иммунную) защиту. Начнем.
ВВедение . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
Глава 1.
Защита информации— развитие понятий . . . . . . . . . . . . . . 10
1. Новые кейсы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1. Доверенные системы. Базовые понятия . . . . . 10
1.2. Ошибка великого Тьюринга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.3. Информационные технологии как предмет защиты . . . . . . . . . . 23
Защита технологии производства электронных документов . . . .28
Классификация средств антивирусной защиты . . . . . . . . . . . . . 37
2. Доверие . . . . . . . . . . . . . . . . . . 40
Проблемы доверия — на примере банков и клиентов 40
3. новые архитектуры . . . . . . . . . . . . . . . . . . . . . . . . . 49
4. новая биометрия . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Идентификация для защищенности и безопасности . 65
Идентификация в открытых системах . . . . . . . . . . . 68
Мультимодальность . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Новая биометрия. Замысел защиты . . . . . . . . . . . . . 75
Обучение алгоритма идентификации . . . . . . . . . . . 79
Почему это работает? . . . . . . . . . . . . . . . . . . . . . . . . . 82
Глава 2.
делаем праВильные системы . . . . .. . . . . . . 84
1. промышленность нужно создавать . . . . . . . . . . . 84
2. резидентный компонент безопасности . . . . . . . 94
Автономность и независимость РКБ от защищаемой среды . . . . . . . . 94
Примитивность резидентного компонента безопасности . . . . . . . . . 96
Перестраиваемость резидентного компонента безопасности . . . . . . 99
3. новая Гарвардская архитектура . . . . . . . . . . . . . 105
Развитие архитектуры защищенных компьютеров . . . . . . . . . . . . . . 105
Архитектура многоконтурного защищенного компьютера . . . . . . . 111
Удаленное управление обновлениями . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Расширение изменяемости структуры компьютера . . 124
Влияние компонентной базы на технические решения . 128
Фильтр команд . . . . . . . . . . . . . . . . . . . 129
Функции резидентного компонента безопасности . . 131
Компьютер с перестраиваемой структурой . . . . . 135
Глава 3.
испольЗуем праВильные средстВа . . . . . . . .136
1. устройства с правильной архитектурой . . . . . 136
1.1. Компьютеры . . . . . . . . . . . . . . . 136
Дистанционное банковское обслуживание как пример
one‑touch‑security задач . . . . . . . . . . . . . . . . . . . 137
MKT‑card long как офисный компьютер . . . 139
m-TrusT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Двухконтурный моноблок . . . . . . . . . . . . . . . 154
1.2. Служебные носители (флешки, ключевые носители, средства хра-
нения журналов) . . . . . . . . . . . . .. . . 155
Флешки . . . . . . . . . . . . . . . . . . . . . . 156
Ключевые носители . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Сложившаяся практика . . . . . . . . . . . . . . . . . 166
Другие служебные носители . . . . . . . . . . . . . 178
2. средства защиты, изменяющие архитектуру устройств
(наложенные средства защиты информации) . . . . . . . . . . . . . . . . . . 180
2.1. Средства доверенной загрузки . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
2.2. Средства разграничения доступа . . . . . . . . . . . . . . . . . . . . . . . . . . 181
2.3. Средства защиты для виртуальных инфраструктур . . . . . . . . . . 183
Классические тонкие клиенты . . . . . . . . . . . 187
Работа с ЦОДом как эпизодическая задача . . . . . . . . . . . . . . . . 188
Работа с ЦОДом как задача руководителя . . . . . . . . . . . . . . . . . 191
идеи технической Защиты информации
для ноВичкоВ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
1. что защищать? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
2. парадигма аппаратной защиты . . . . . . . . . . . . . 196
3. кратко о шифровании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Перестановки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Замены . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Гамма . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Системы с открытым ключом . . . . . . . . . . . . . . . . . 207
Алгоритм Диффи–Хеллмана . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
4. хэш-функции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
5. основные идеи электронной подписи . . . . . . . 211
6. Борьба с вирусами . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
7. В здоровом теле — здоровый дух . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Функционально‑замкнутая среда . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Изолированная программная среда . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Доверенная вычислительная среда . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
8. межсетевые экраны. Зачем они нужны, какими они должны
быть и где они должны устанавливаться . . . . . . . 234
что дальше? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
список литературы . . . . . . . . . . . . . . . . . . . . . . . . . 256
Об авторах
 Конявский Валерий Аркадьевич Доктор технических наук, заведующий кафедрой «Защита информации» Московского физико-технического института (МФТИ). Член редколлегии четырех научных журналов, входящих в перечень ВАК. Имеет государственные, ведомственные и общественные награды. Лауреат премии и Золотой медали имени В. М. Глушкова. Академик Академии электротехнических наук Российской Федерации (АЭН РФ). С 2001 по 2010 г. входил в состав Научного совета Совета Безопасности Российской Федерации. Опыт преподавания около 30 лет (МФТИ, НИЯУ МИФИ, НИУ ВШЭ, МГУ и др.). Автор около 300 работ, включая 12 книг (в том числе 3 учебных пособия), 33 патента.
 Конявская Светлана Валерьевна В 2000 г. закончила филологический факультет Московского государственного университета имени М. В. Ломоносова, в 2003 г. защитила кандидатскую диссертацию на тему «Семантическая деривация в структуре числовой оппозиции существительных: pluralia tantum в истории русского языка». С 2003 г. работает в компании ОКБ САПР на различных должностях, с 2009 г. — в должности заместителя генерального директора. С 2007 г. преподает в Московском физико-техническом институте (МФТИ) на кафедре защиты информации факультета радиотехники и кибернетики (ФРТК). С 2009 по 2015 г. преподавала в Московском инженерно-физическом институте (МИФИ). Член редколлегии журнала «Древняя Русь. Вопросы медиевистики». Автор около 150 публикаций, включая 7 книг (3 монографии, 1 учебное пособие, 2 методических пособия, 1 коллективная монография) и 2 патента.
|
