Зима В.М., Молдовян А.А. - Многоуровневая Защита Информационно-программного Обеспечения Вычислительных Систем - 1997

В.М.ЗИМА, А.А.
МОЛДОВЯН
МНОГОУРОВНЕВАЯ ЗАЩИТА
ИНФОРМАЦИОННО-ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ
ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ
Утверждено в качестве учебного пособия
ВОЕННАЯ ИНЖЕНЕРНО-КОСМИЧЕСКАЯ КРАСНОЗНАМЕННАЯ

АКАДЕМИЯ имени А.Ф.МОЖАЙСКОГО
Санкт-Петербург - 1997
2
УДК [681.324+681.3.067] (075.8)
Рассматриваются концептуальные основы много-

уровневой защиты информации и процесса ее обработки
в вычислительных системах. Описываются основные эта-
пы построения системы комплексной защиты. Приводится
классификация угроз информационно-программному
обеспечению и рассматриваются концептуальные уровни
защиты от их выполнения. Описывается многоуровневая
структура системы защиты компьютерных ресурсов и
раскрываются особенности ее практической реализации.
Для курсантов и слушателей академии, специали-
зирующихся в областях, связанных с защитой информа-
ционно-программного обеспечения, а также всех пользо-
вателей компьютерных систем, заинтересованных в
безопасности хранения и обработки данных.
Рецензент: В.Н.КУСТОВ, доктор технических наук, профессор
Подписано в печать 20.03.97 Формат 60х84 1/16. Печать офсетная.

Печ. л. 6.5 Уч.-изд. л. 6.25 Тираж 150 экз. Зак. N
Ротапринт МГП "Поликом"
197376, Санкт-Петербург, ул.Проф.Попова,5.
3
СОДЕРЖАНИЕ
ПРЕДИСЛОВИЕ ........................................................................................... 5
1. ВВЕДЕНИЕ В ПРОБЛЕМУ ЗАЩИТЫ ИНФОРМАЦИИ И ПРОЦЕССА

ЕЕ ОБРАБОТКИ....................................................................................... 7
1.1. Предпосылки уязвимости информационно-программного

обеспечения ....................................................................................... 7
1.2. Факты, характеризующие остроту проблемы защиты..................... 9
1.3. Основные этапы развития концепции защиты .............................. 12
1.4. Сущность защиты............................................................................. 14
1.5. Содержание системного подхода к защите ................................... 17
2. ПУТИ И СРЕДСТВА КОМПЛЕКСНОЙ ЗАЩИТЫ ИПО ВС................. 23
2.1. Структура и принципы функционирования современных ВС....... 23

2.1.1. Структура и принципы функционирования
автономной ЭВМ........................................................................ 23
2.1.2. Ресурсы компьютера................................................................ 30
2.1.3. Вычислительные сети и их ресурсы ...................................... 33
2.2. Угрозы информационно-программному обеспечению и их
классификация ................................................................................. 38
2.2.1. Угрозы ИПО................................................................................ 38
2.2.2. Классификация угроз ................................................................ 41
2.3. Концептуальные уровни защиты от реализации угроз ................. 45
2.4. Классификация методов и средств комплексной защиты ............ 48
2.5. Методы защиты программно-аппаратными средствами ВС ........ 54

2.5.1. Защита от хищения ................................................................. 54
2.5.2. Защита от потери................................................................... 56
2.5.3. Защита от сбоев и отказов.................................................... 56
2.5.4. Систематизация методов защиты....................................... 58
3. ОБЩЕСИСТЕМНАЯ ОРГАНИЗАЦИЯ МНОГОУРОВНЕВОЙ ЗАЩИТЫ
ИПО ВС ................................................................................................... 62
3.1. Организационная структура системы комплексной защиты ........ 62

4 Содерж ание
3.2. Функции управляющего компонента системы комплексной защиты

........................................................................................................... 65
3.3. Многоуровневая структура системы защиты ресурсов активной

ВС ...................................................................................................... 69
3.3.1. Защита от несанкционированных действий ........................ 73
3.3.2. Защита от некорректных действий ..................................... 74
3.3.3. Связь с концептуальными уровнями защиты от реализации
угроз ............................................................................................ 74
3.4. Функции контроля, регистрации и сигнализации ядра
многоуровневой системы защиты ИПО ......................................... 76
3.4.1. Контроль правильности функционирования средств защиты
..................................................................................................... 77
3.4.2. Регистрация .............................................................................. 78
3.4.3. Сигнализация ............................................................................. 80
4. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ МНОГОУРОВНЕВОЙ ЗАЩИТЫ ИПО
ВС ............................................................................................................ 83
4.1. Построение системы защиты на основе общесистемных

программных средств ...................................................................... 84
4.2. Многоуровневая защита информации на основе системы «Кобра»

........................................................................................................... 87
4.2.1. Принципы построения системы защиты .............................. 87
4.2.2. Классификация уровней защиты, реализуемых системой .. 91
ЛИТЕРАТУРА ........................................................................................... 104
5
ПРЕДИСЛОВИЕ
Широкое распространение средств вычислительной техники, увели-

чение объемов хранимой в вычислительных системах информации, а
также рост сложности технологий по обработке данных резко повысили
уязвимость информации и процесса ее обработки. В связи с этим про-
блема защиты информационно-программного обеспечения вычислитель-
ных систем стала одной из главных проблем в области автоматизирован-
ной обработки данных.
Необходимость защиты информации от хищения определяется тем

обстоятельством, что воздействовать на любую систему с целью ее унич-
тожения, снижения эффективности функционирования или воровства ее
ресурсов (денег, товара, оборудования и т.д.) возможно только в том слу-
чае, когда известна информация о ее структуре и принципах функциони-
рования.
Действия как людей так и создаваемых ими программ основаны на

переработке информации. Отсюда понятна необходимость защиты ин-
формации от потери, так как потеря данных приведет к невозможности
выполнения соответствующих действий, а следовательно - к невозможно-
сти получения запланированного результата.
Программное обеспечение будет эффективно выполнять свои

функции, включая функции защиты, только в том случае, если оно защи-
щено от сбоев и отказов. Кроме того, сбои и отказы в работе программ
являются одной из основных причин потери информации.
Существует много публикаций по защите ИПО ВС. Одна часть из

них рассматривает вопросы защиты обобщенно, но недостаточно струк-
турировано, что не дает возможности четко понять существо и принципы
эффективного построения систем защиты. Другая часть рассматривает
проблему защиты слишком детально и узко, опуская вопросы концепту-
ального характера и не давая возможности читателю составить общее
представление о построении системы безопасности.
6 Предисловие
Совершенство всегда находится в точке баланса между крайностя-

ми, в гармонии между противоположностями. Стоит сместиться в любую
сторону - и равновесие будет нарушено, цель не будет достигнута. В по-
собии сделана попытка такого изложения материала, чтобы читатель
смог не только самостоятельно разобраться в вопросах многоуровневого
построения систем защиты, но и применить полученные знания для вы-
числительной системы любого типа.
Все сложное состоит из простого, в котором есть главное и второ-

степенное по степени влияния на целевые функции сложного. Поэтому
эффективность понимания, а соответственно построения или реализации
сложного определяется умением его разбиения на простые составляю-
щие и выявления среди них основного и вспомогательного. В пособии
речь будет идти только о главном, полученном на основе эффективного
разбиения и систематизации сложного.
7
1. ВВЕДЕНИЕ В ПРОБЛЕМУ ЗАЩИТЫ ИНФОРМАЦИИ И

ПРОЦЕССА ЕЕ ОБРАБОТКИ
1.1. Предпосылки уязвимости информационно-

программного обеспечения
С начала появления и использования вычислительной техники про-

блема защиты информационно-программного обеспечения (ИПО) в вы-
числительных системах (ВС) находится в центре внимания не только спе-
циалистов по разработке и использованию этих систем, но и широкого
круга пользователей.
Сущность проблемы защиты ИПО ВС в общем виде сводится к то-

му, что широкое распространение и повсеместное применение вычисли-
тельной техники резко повысили уязвимость информационного и про-
граммного обеспечения ВС. Информационное обеспечение определяет-
ся как совокупность накапливаемой, хранимой и обрабатываемой в ВС
информации. Под информацией или данными при этом понимаются све-
дения, которые передаются или могут быть переданы от одного объекта
или субъекта другому. Программное же обеспечение представляет собой
совокупность программ, обеспечивающих накопление и обработку ин-
формации в ВС.
Четко обозначаются следующие виды угроз ИПО:
♦ подверженность информации физическому уничтожению или ис-

кажению;
♦ возможность несанкционированной или случайной модификации

данных;
♦ возможность несанкционированного получения информации ли-

цами, которым запрещен к ней доступ;
♦ возникновение сбоев и отказов в работе программных и аппарат-

ных средств.
8
Можно выделить следующие особенности ВС, которые по мере

своего проявления обуславливали уязвимость ИПО по каждому из на-
званных выше видов:
♦ возрастание степени автоматизации обработки данных в ВС;
♦ возрастающая важность и ответственность решений, принимае-

мых на основе автоматизированной обработки данных в ВС;
♦ большая концентрация и широкая территориальная расположен-

ность вычислительных систем;
♦ повышение интенсивности циркуляции информации между ком-

понентами ВС, расположенными друг от друга как на малом, так и
на большом расстоянии;
♦ увеличивающаяся сложность программного обеспечения;
♦ интеграция в единых базах данных информации больших объе-

мов;
♦ долговременное хранение данных на внешних носителях

информации;
♦ непосредственный и одновременный доступ к ресурсам ВС боль-

шого числа пользователей различных категорий и различной ор-
ганизационной принадлежности.
Учитывая данные особенности можно сделать вывод, что по мере

развития средств вычислительной техники, в том числе и по мере все
возрастающих усилий в области защиты данных и программ, уязвимость
ИПО не только не уменьшается, но и постоянно возрастает. Это связано
прежде всего с тремя факторами:
♦ широким возрастающим распространением средств вычисли-

тельной техники в различных сферах человеческой деятельности
- военной, торговой, банковской и др.;
♦ увеличением объема хранимой и обрабатываемой в ВС инфор-

мации, обладающей военной, коммерческой или другой секретно-
стью;
Введение в проблему защиты И П О ВС 9
♦ ростом сложности вычислительных систем и технологий по

обработке данных.
Поэтому проблема защиты ИПО ВС становится все более актуаль-

ной.
1.2. Факты, характеризующие остроту проблемы защиты
О том, что в области защиты ИПО сложилась тревожная ситуация

свидетельствуют многочисленные факты. К наиболее частым случаям
нарушения защиты ИПО можно отнести следующие [2]:
♦ несанкционированное копирование и модификация информации;
♦ составление и распространение несанкционированных программ

(вирусов);
♦ хищение внешних носителей информации;
♦ несанкционированное подключение к узлам вычислительной сети;
♦ маскировка под зарегистрированного пользователя;
♦ сбои и отказы в работе критичного программного обеспечения;
♦ саботаж с целью нанесения ущерба, например, умышленная пор-

ча информации.
Приведем некоторые примеры.
В 1995 году 18-летний Владимир Левин из Санкт-Петербурга, закон-

чивший с отличием технологический институт, был осужден за хищение
около полумиллиона долларов из вычислительной системы крупнейшего
американского банка “Ситибанк”, имеющего отделения в 90 странах мира.
Левин с помощью обычного персонального компьютера, подключенного к
международной сети Internet, находясь за тысячи миль от США, вскрыл
защитную систему “Ситибанка”, на создание которой американцы истра-
тили десятки миллионов долларов. После вскрытия защиты Левин вводил
в систему управления наличными фондами банка ложные сведения и
осуществлял незаконные переводы на подложные счета в банки России,
США, Голландии, а также Израиля. Система безопасности “Ситибанка”
10
обнаружила несанкционированное проникновение лишь спустя несколько

месяцев при обновлении защитных средств. Левин был арестован в на-
чале 1995 года в Лондонском аэропорту, когда он направлялся через
Лондон в Ганновер на международную компьютерную выставку.
Недалеко то время, когда большинство российских банков посчита-

ют кредитные карты анахронизмом и перейдут на полное компьютерное
обслуживание клиентов. Вряд ли системы защиты у наших банков хитро-
умнее, чем у “Ситибанка”.
Неоднократно проходили судебные разбирательства над програм-

мистами вычислительных центров, непосредственно обслуживающих де-
нежные банки. Суть преступления состоит в том, что программист разра-
батывает и запускает программу начисления процентов по вкладам таким
образом, что исчисляемая сумма округляется в меньшую сторону на не-
заметное для вкладчиков количество денег, например, до 10 центов. Раз-
ница между действительной и округленной суммами программой прибав-
ляется к текущему счету программиста.
В периодической печати появлялись сообщения о подключении ха-

керов к вычислительным сетям министерств обороны США, Великобрита-
нии, Франции, Германии, Японии и доступе их к секретной информации по
разработкам космического, ядерного, химического и биологического ору-
жия.
Неоднократно происходили случаи несанкционированного доступа к

ресурсам вычислительных систем путем разработки и использования про-
грамм, имитирующих работу с удаленными пользователями вычисли-
тельных центров. Такие программы перехватывают запросы пользовате-
лей и запрашивают у них пароли для реализации последующего несанк-
ционированного доступа в вычислительную систему.
Особые проблемы порождали и порождают компьютерные вирусы,

которые не только портят информационные ресурсы компьютеров, но и
снижают производительность вычислительных систем. Известны многие
случаи, когда компьютерные вирусы выводили из строя сети государст-
венного масштаба.
Так, например, в 1994 году группа российских хакеров взломала

“электронные сейфы” солидного европейского банка и запустила туда
компьютерный вирус. Работа банка на сутки была дезорганизована и
убытки его измеряются в сотни тысяч долларов.
В последнее время участились случаи использования компьютер-

ных вирусов и других несанкционированных программ для хищения ин-
формации в вычислительных системах. Примером здесь может служить
использование секретными службами США специального программного
пакета Promis, разработанного американской фирмой Inslaw. Одна часть
программ данного пакета включает разновидности сетевых компьютерных
вирусов, которые при попадании на жесткие диски ЭВМ открывают их для
доступа в сети со стороны программ другой части пакета Promis. С помо-
щью подставных фирм секретные службы США распространяют вирусные
программы этого пакета по всему миру и тем самым получают возмож-
ность опосредованного наблюдения и даже контроля за информацион-
ными системами госорганизаций, банков, фирм, а также иностранных
спецслужб.
В качестве другого примера можно привести наличие несанкциони-

рованных программ в составе операционной системы Windows 95 фирмы
Microsoft. При установке данной системы на компьютер и подключении его
к сети в режиме on-line отдельные компоненты Windows 95 считывают ка-
кие-то данные с жесткого диска и посылают по сети в штаб-квартиру
фирмы Microsoft. Несмотря на заявление Microsoft о том, что считываются
только данные об установленных на компьютере программах, нет никакой
гарантии, что не считывается и другая информация.
Характер эпидемии приняло несанкционированное копирование,

использование и распространение программных средств. В России на од-
ну законную копию программы существует более 30 незаконных.
Сбои и отказы в работе программных систем не раз приводили к ка-

тастрофическим последствиям. В качестве примеров можно привести
факты неудачного запуска космического корабля «Маринер-1» к Венере в
США, а также сорвавшегося полета станции «Фобос-1» к Марсу в бывшем
СССР.
12
Взрыв ракетоносителя корабля «Маринер-1» произошел из-за того,

что в массиве данных, заложенном в бортовую ЭВМ управления ракетой,
не хватало одного единственного знака - запятой, которая обошлась аме-
риканцам в 28.5 миллионов долларов.
На станции «Фобос-1» из-за ошибки в одной команде программного

обеспечения произошла потеря ориентации и станция со 2 сентября 1988
года перестала отвечать на сигналы с Земли, что фактически означало
потерю аппарата и всех связанных с ним затрат.
В современной обстановке угрозы информационно-программному

обеспечению приняли массовый характер, что еще раз подчеркивает ак-
туальность проблемы его защиты.
1.3. Основные этапы развития концепции защиты
В развитии концепции защиты ИПО условно можно выделить три

базовых этапа [1]:
♦ первый - становление концепции защиты ИПО (1960-1970 года);
♦ второй - основное развитие концепции защиты ИПО (1970-1980

года);
♦ третий - совершенствование концепции защиты ИПО (с 1980 го-

да).
Центральной идеей первого этапа являлось намерение обеспечи-

вать надежную защиту ИПО подсистемами, содержащими в основном за-
ранее определенные средства и функционирующими по постоянным ал-
горитмам. При этом господствовало убеждение, что основными средст-
вами защиты являются программные, которые, как правило, встраивались
в общесистемные компоненты программного обеспечения - операцион-
ные системы, системы управления базами данных. Аппаратные средства
защиты были отнесены к дополнительным.
К основным функциям защиты ИПО, появившимся на первом этапе,

можно отнести:
♦ идентификация и подтверждение подлинности пользователей при

доступе в ВС;
♦ ведение таблиц с полномочиями пользователей по доступу к

ресурсам ВС;
♦ разграничение доступа пользователей к ресурсам ВС;
♦ уничтожение остаточной информации после работы пользовате-

лей и программ в общих участках памяти компьютера;
♦ формирование протоколов обращений к защищаемым данным;
♦ подача сигналов администрации при нарушении правил доступа к

ресурсам ВС;
♦ учет и регистрация доступа к ресурсам ВС;
♦ подготовка отчетов заданной структуры по данным записей реги-

страционных журналов ВС.
Дальнейшие исследования и практический опыт в области защиты

ИПО показали, что концепция защиты, основанная на концентрации под-
систем защиты в рамках общесистемных компонентов программного
обеспечения является недостаточной.
Для усиления безопасности ИПО на втором этапе были приняты

следующие решения:
♦ создание в системе защиты специального организующего эле-

мента, который получил название ядра безопасности;
♦ частичная децентрализация подсистем защиты, вплоть до созда-

ния элементов защиты, находящихся под управлением пользова-
телей ВС;
♦ расширение арсенала используемых средств защиты.
Создание в системе защиты ядра безопасности позволило значи-

тельно повысить эффективность управления и администрирования под-
системами защиты.
Частичная децентрализация подсистем защиты снизила предопре-

деленность защиты ИПО, в результате чего злоумышленнику невозможно
14
было заранее определить какие средства защиты и по каким алгоритмам

будут функционировать в тот или иной промежуток времени.
Появление средств защиты ИПО, которыми могли бы управлять

пользователи ВС, не только способствовало повышению надежности сис-
темы защиты в целом, но и сыграло важную психологическую роль - у
пользователей повысился уровень доверия к вычислительной системе.
Однако, несмотря на все принятые меры, надежная защита ИПО

опять оказалась недостижимой, о чем красноречиво говорили реальные
факты злоумышленного доступа к ИПО. К тому же, именно в это время
была доказана теорема Харрисона о невозможности решить для общего
случая задачу о безопасности произвольной системы защиты при общем
задании права на доступ.
Поиски выхода из такого тупикового состояния и составляют основ-

ное содержание третьего текущего этапа развития концепции защиты
ИПО. Его основными особенностями являются:
♦ дальнейшее развитие методов защиты, разработанных на втором

этапе;
♦ формирование взгляда на защиту ИПО как на непрерывный ди-

намический процесс;
♦ развитие стандартов по защите ИПО;
♦ усиление тенденций аппаратной реализации функций защиты;
♦ учет на практике взаимосвязи между защитой ИПО, архитектурой

вычислительной системы и технологией ее функционирования.
При этом генеральным направлением поисков стало неуклонное

повышение системности подхода к самой проблеме защиты информаци-
онно-программного обеспечения.
1.4. Сущность защиты
Под защитой ИПО понимается использование средств и методов,

принятие мер и осуществление мероприятий с целью обеспечения безо-
пасности хранимой и обрабатываемой информации, а также используе-

мых в ВС программных средств.
Следует отметить что под информацией понимаются все данные,
которые могут храниться в памяти ЭВМ. Соответственно к информации
относятся и программы, хранящиеся во внешней или оперативной памя-
ти. В большинстве же случаев, где встречается понятие программа, име-
ется в виду процесс, выполняемый по командам данной программы с по-
мощью компьютера.
Безопасность или защищенность ИПО - это такое состояние ин-
формации и программ, которое соответствует установленному статусу их
хранения и использования.
Понятие “защита” для любых объектов имеет конкретный смысл, ко-

гда известны цели защиты, определяющие от чего необходимо защищать
данные объекты.
Построение самой системы защиты в соответствии с установлен-

ными целями осуществляется путем выполнения следующих трех базо-
вых этапов.
1. Анализ структуры и принципов функционирования системы, ча-

стью которой являются объекты защиты, и выделение на основе
анализа уязвимых элементов данной системы, которые влияют на
безопасность защищаемых объектов.
2. Определение и анализ возможных угроз выделенным элементам

и формирование перечня требований к системе защиты.
3. Разработка системы защиты в соответствии с предъявленными

требованиями.
Определим цели защиты информационного и программного обес-

печения вычислительных систем.
Воздействовать на любую систему с целью ее уничтожения, сниже-

ния эффективности функционирования или воровства ее ресурсов (денег,
оборудования и т.д.) можно только в том случае, когда известна инфор-
16
мация о ее структуре и принципах функционирования. Отсюда понятна

необходимость защиты информации от хищения.
Действия как людей так и создаваемых ими программ основаны на

переработке информации. Потеря информации приведет к невозможно-
сти выполнения соответствующих действий, а следовательно - к невоз-
можности получения запланированного результата. Поэтому можно сде-
лать вывод, что одной из целей защиты является защита информации от
потери.
Создаваемое программное обеспечение будет эффективно выпол-

нять свои функции, включая функции защиты, только в том случае, когда
оно надежно. Сбои и отказы в работе программ частично или полностью
препятствуют получению требуемого результата. Кроме того, сбои и отка-
зы в работе программ являются одной из основных причин потери ин-
формации. Поэтому необходима защита программ от сбоев и отказов в их
работе.
Цели защиты и их детализация представлены на Рис. 1.A.
Поддержание
Цели защиты ИПО
конфиденциальности
Защита информации Защита информации Защита программ
от хищения от потери от сбоев и отказов
Поддержание Поддержание Поддержание

конфиденциальности целостности надежности
информации информации программ
Предуп- Предуп- Обеспече- Обеспече- Предуп- Обеспече-

реждение реждение ние ние реждение ние
несанкци- несанкци- физической логической возникнове- восстанов-
онирован- онирован- целостности целостности ния сбоев и ления ИПО
ного ного отказов после
получения распрос- (устранение сбоев и
транения ошибок ) отказов
программ
Рис. 1.A. Цели защиты ИПО

В соответствии с целями процесс защиты ИПО должен обеспечи-

вать поддержание:
♦ целостности информации;
♦ конфиденциальности информации;
♦ надежности программ.
Под целостностью информации понимается способность обеспечи-

вать ее неизменность (физическая целостность) и непротиворечивость
(логическая целостность) в процессе хранения и обработки данных.
Конфиденциальность данных предполагает их доступность только

для тех лиц, которые имеют на это соответствующие полномочия. При
этом необходимо обеспечить защиту не только данных от несанкциони-
рованного получения, но и защиту программ от несанкционированного
распространения.
Под надежностью программных средств понимается их способность

точно и своевременно выполнять все свои функции. Для надежной обра-
ботки данных необходимо отсутствие ошибок в программных и аппарат-
ных средствах ВС, что достигается в процессе разработки и сопровожде-
ния соответствующих компонентов. Но следует учитывать, что полное от-
сутствие ошибок гарантировать невозможно. Поэтому для поддержания
надежности программ должны быть предусмотрены возможности опера-
тивного восстановления их работоспособности после возникновения сбо-
ев и отказов.
1.5. Содержание системного подхода к защите
Основополагающим требованием к реализации защиты ИПО явля-

ется необходимость системного подхода [1, 15, 16].
Системный подход предполагает, что защита ИПО заключается не

просто в создании соответствующих подсистем, а представляет собой ре-
гулярный процесс, осуществляемый на всех этапах жизненного цикла
ИПО и ВС при комплексном использовании всех имеющихся средств и
методов защиты. При этом все средства, методы и мероприятия, исполь-
18
зуемые для защиты ИПО наиболее рациональным образом объединяют-

ся в единый целостный механизм - систему защиты, которая должна
обеспечивать многоуровневую оборону, причем не только от злоумыш-
ленников, но и от некомпетентных или недостаточно подготовленных
пользователей и персонала ВС.
В системе комплексной защиты ИПО должно быть, по крайней мере,

четыре защитных пояса (см. Рис. 1.B):
♦ внешний, охватывающий всю территорию, на которой расположе-

ны сооружения ВС;
♦ уровень сооружений или помещений, в которых расположены уст-

ройства ВС, а также линий передачи информации;
♦ уровень компонентов системы (технических средств, внешних

носителей, на которых хранится ИПО);
♦ уровень технологических процессов обработки данных (ввод-

вывод, внутренняя обработка, передача по линиям связи).
Первые три уровня обеспечивают защиту компонентов ВС, включая

ИПО, путем физического препятствия доступу (использование систем ог-
раждения, сигнализации, контрольно-пропускных пунктов и др.). Следует
отметить, что не всегда удается должным образом обеспечить физиче-
скую защиту линий передачи информации. Для повышения безопасности
информационного обмена в этом случае необходимо предусмотреть аль-
тернативные каналы передачи данных.
Последний уровень обеспечивает защиту ИПО на основе так назы-

ваемого логического препятствия доступу, когда физический доступ к
компонентам ВС реализован.
Внешний
уровень
Внешние Другие Уровень соору-

запоминающие внешние жений и линий
устройства устройства передачи
информации
Персональные Сервер или Уровень

компьютеры центральная компонентов
ЭВМ ВС
Уровень тех-
нологических
процессов
... ... обработки
информации
Рис. 1.B. Уровни комплексной защиты ИПО
Доступ к информационным и программным ресурсам вычислитель-

ной системы, за исключением случая хищения внешних носителей ин-
формации, возможен только во время ее работоспособного состояния.
Учитывая, что несанкционированный доступ к ИПО выполняют, как пра-
вило, пользователи ВС или злоумышленники, зарегистрированные под
санкционированных пользователей, можно сделать вывод, что уровень
защиты технологических процессов обработки информации играет осо-
бую роль. Кроме того, только на данном уровне может быть обеспечена
защита программ от сбоев и отказов. Следует также отметить, что от-
дельные методы, используемые для защиты ИПО на уровне технологиче-
ских процессов обработки информации, обеспечивают недоступность
данных и в случае хищения внешних информационных носителей, напри-
мер, методы криптографической защиты.
20
Основные трудности реализации систем защиты состоят в том, что

они должны удовлетворять двум группам противоречивых требований [5,
17]:
♦ надежная защита ИПО ВС;
♦ удобство работы пользователей ВС.
Чтобы надежно защитить ИПО, система защиты должна регулярно

обеспечивать защиту:
♦ системы обработки данных от посторонних лиц;
♦ системы обработки данных от пользователей при выполнении

ими несанкционированных или некорректных действий;
♦ пользователей друг от друга;
♦ каждого пользователя от себя самого (от его некорректных дейст-

вий);
♦ системы обработки данных от самой себя (от ее некорректных

действий).
Удобство работы пользователей ВС предполагает:
♦ полную свободу доступа каждого пользователя и независимость

его работы в пределах предоставленных ему полномочий;
♦ удобство работы с информацией для групп взаимосвязанных

пользователей;
♦ возможности пользователей допускать друг друга к своей

информации;
♦ отсутствие замедления работы программ пользователей из-за

чрезмерного использования системой защиты ресурсов ВС;
♦ отсутствие назойливости со стороны системы защиты.
Основная сущность системного подхода в самом общем виде может

быть выражена в следующих трех, далеко не всегда реализуемых на
практике, требованиях [1]:
♦ системный учет всей совокупности факторов, существенно значи-

мых с точки зрения проблемы защиты ИПО;
♦ разработка не просто необходимых решений для какой-то сово-

купности требований защиты, а полной концепции, в рамках кото-
рой любое конкретное решение определялось бы как частный
случай;
♦ тщательная и всесторонняя проверка разработанной системы

защиты на соответствие предъявленным требованиям.
В основу разработки концепции защиты должны быть положены

следующие принципы:
♦ учет требований защиты ИПО при построении ВС и разработке

технологии автоматизированной обработки информации;
♦ комплексность использования средств и методов защиты;
♦ обеспечение непрерывности процесса защиты.
Отсутствие учета требований к защите при построении ВС и разра-

ботке технологии обработки информации, например, при создании ОС,
может привести к невозможности реализации ряда функций защиты ИПО.
Примером здесь может служить операционная система MS-DOS, без су-
щественной доработки и расширения которой невозможно обеспечить
защиту информации и процесса ее обработки.
Достичь максимального уровня защищенности можно только при

комплексном использовании средств и методов защиты. При этом в сис-
теме защиты могут использоваться как стандартные, так и нестандартные
средства. Нестандартные средства защиты, в отличие от стандартных,
разрабатываются для конкретной ВС, что повышает в некоторой степени
их стойкость к раскрытию.
Только непрерывный процесс защиты может гарантировать безо-

пасность информации и программ ВС.
Таким образом, системный подход к защите ИПО есть такая страте-

гия исследований и решения рассматриваемой проблемы, которая долж-
на обеспечить разработку научно-обоснованной концепции защиты, учи-
22
тывающей всю совокупность требований к защите и влияющих на защиту

факторов. При выполнении этого условия гарантировать безопасность
ИПО можно только после тщательной проверки созданной системы защи-
ты.
23
2. ПУТИ И СРЕДСТВА КОМПЛЕКСНОЙ ЗАЩИТЫ ИПО ВС
2.1. Структура и принципы функционирования современ-

ных ВС
Под вычислительной системой понимается система любой архитек-

туры и любого функционального назначения, в которой для обработки
информации используются средства электронно-вычислительной техни-
ки.
В вычислительную систему может входить один или группа

компьютеров, связанных между собой линиями передачи информации.
Прежде чем перейти к рассмотрению структуры современной ВС,

состоящей из группы связанных между собой компьютеров, кратко оста-
новимся на структуре отдельной ЭВМ.
2.1.1. Структура и принципы функционирования авто-

номной ЭВМ
Структура ЭВМ
Обобщенно структура любой ЭВМ отражается схемой, представ-

ленной на Рис. 2.A.
Процессор или микропроцессор предназначен для выполнения вы-

числений по хранящейся во внутренней (основной) памяти ЭВМ програм-
ме. При этом он использует свои небольшие участки памяти, называемые
регистрами. Объем регистра определяет разрядность процессора. Со-
временные ЭВМ комплектуются 32- или 64-разрядными микропроцессо-
рами.
Внутренняя или, как ее еще называют, основная память - это запо-

минающее устройство, напрямую связанное с процессором, и предназна-
ченное для хранения выполняемых программ и данных, непосредственно
участвующих в операциях. Обращение к внутренней памяти компьютера
24
осуществляется с высоким быстродействием, но она имеет ограниченный

объем, определяемый системой адресации ЭВМ. Внутренняя память де-
лится на два вида - оперативную и постоянную. Оперативная память
(RAM) служит для приема, хранения и выдачи информации. Постоянная
обеспечивает только хранение и выдачу информации. В отличие от со-
держимого оперативной памяти, содержимое постоянной не может быть
изменено в обычных условия эксплуатации.
Центральные устройства
Внутренняя память
Процессор Оперативная Постоянная

память память
Системный интерфейс
Внешние устройства
Адаптеры Адаптеры
Внешние запоминаю- Устройства

щие устройства посимвольного
(устройства поблочного ввода-вывода
ввода-вывода информации
информации)
Рис. 2.A. Обобщенная структура ЭВМ
В оперативную память в процессе функционирования ЭВМ загру-

жаются программы и данные, предназначенные для обработки процессо-
ром. При выключении питания компьютера содержимое оперативной па-
мяти теряется. В постоянной памяти постоянно хранятся часто исполь-
зуемые (универсальные) программы и данные, такие как программа на-
чальной загрузки, программы тестирования оборудования компьютера,
П ути и ср ед ства к о мпл ек сно й защиты И П О ВС 25
драйверы стандартных внешних устройств, данные о параметрах ЭВМ и

др. При выключении питания компьютера содержимое постоянной памяти
сохраняется.
Внешние устройства предназначены для хранения информации,

ввода информации в оперативную память и вывода из нее. Они конструк-
тивно отделены от центральных устройств ЭВМ, имеют собственное
управление и выполняют запросы процессора без его непосредственного
вмешательства. По функциональному признаку внешние устройства де-
лятся на две основные группы:
♦ внешние запоминающие устройства (ВЗУ), служащие дополни-

тельным более медленным, но более емким, чем внутренняя па-
мять, полем памяти компьютера для долговременного хранения
информации и программ;
♦ устройства посимвольного ввода-вывода, обеспечивающие об-

щение пользователя с ЭВМ.
В качестве ВЗУ используют накопители на магнитных и оптических

дисках, а также накопители на магнитных лентах. ВЗУ относятся к устрой-
ствам поблочного ввода-вывода данных, обеспечивая значительно более
высокую скорость обмена информацией с оперативной памятью, чем по-
символьные устройства ввода-вывода.
ВЗУ по принципам функционирования разделяются на устройства

прямого доступа (накопители на магнитных и оптических дисках) и уст-
ройства последовательного доступа (накопители на магнитных лентах).
Скорость обмена непрерывными участками информации после позицио-
нирования на ВЗУ головки записи-считывания в начало этих участков у
обоих типов устройств одинакова. Скорость же доступа к заданному эле-
менту данных на внешнем устройстве у устройств последовательного до-
ступа значительно ниже. Поэтому устройства прямого доступа являются
основными внешними запоминающими устройствами, постоянно исполь-
зуемыми в процессе функционирования ЭВМ. Устройства же последова-
тельного доступа используются в основном только для резервирования
информации.
26
К устройствам посимвольного ввода-вывода относятся дисплеи

(мониторы), клавиатура, различные манипуляторы типа “мышь”, принте-
ры, графопостроители, сканеры и др.
Адаптеры или, как их еще называют, контроллеры служат для

управления внешними устройствами и согласования их с системным ин-
терфейсом. Следует отметить также, что существует и другое значение
слова адаптер - разъем для подсоединения одного устройства к другому.
Поэтому устройства управления внешними устройствами лучше называть
не адаптерами, как принято в литературе, а контроллерами.
Системный интерфейс - это конструктивная часть ЭВМ, предназна-

ченная для взаимодействия устройств компьютера и обмена информаци-
ей между ними.
В мощных и больших ЭВМ в качестве системного интерфейса ис-

пользуются довольно сложные устройства, имеющие встроенные процес-
соры ввода-вывода. Такие устройства обеспечивают высокую скорость
обмена и параллельный обмен данными между компонентами ЭВМ.
Отличительной особенностью компьютеров малой и средней мощ-

ности является использование в качестве системного интерфейса общей
системной шины. Архитектура с общей системной шиной обеспечивает
простоту интерфейса, унифицируя алгоритмы взаимодействия устройств
компьютера. В результате значительно облегчается процесс программи-
рования работы внешних устройств. Недостатком общей системной шины
является то, что в каждый момент времени посредством системной шины
могут обмениваться информацией только два устройства.
Системная шина представляет собой совокупность одно- и двуна-

правленных линий, логически объединяемых в шину данных, шину адреса
и шину управления. Шина данных служит для передачи информации от
процессора к основной памяти или внешним устройствам и обратно. Ши-
на адреса используется для адресации основной памяти и портов ввода-
вывода. Шина управления предназначена для передачи управляющих
сигналов.
В персональных ЭВМ контроллеры с внешними устройствами под-

ключаются через систему портов ввода-вывода. Каждый порт ввода-
вывода имеет свой адрес, аналогично адресу в основной памяти. Упро-
щенно порт ввода-вывода можно считать буфером промежуточной памя-
ти, в который записывается информация для передачи во внешнее уст-
ройство или из которого считывается полученная из внешнего устройства
информация. Кроме того, по заданным полям памяти портов ввода-
вывода можно помещать команды для управления внешним устройством
и считывать информацию о состоянии внешних устройств.
Принципы функционирования ЭВМ
Любая ЭВМ функционирует под управлением операционной систе-

мы, обеспечивающей выполнение программ и взаимодействие пользова-
телей с компьютером. Операционная система (ОС) представляет собой
комплекс программ, основное назначение которого - управление ресур-
сами ЭВМ и процессами, использующими эти ресурсы при вычислениях.
Под ресурсом понимается физический или логический компонент

ЭВМ и предоставляемые ему возможности (время процессора, оператив-
ная память, внешние устройства и др.).
Процессом называется последовательность действий, предписан-

ных программой или ее логически законченной частью.
Функционально любая ОС состоит из следующих основных

компонентов:
♦ подсистема прерываний, обеспечивающая необходимую реакцию

процессора на различные события, называемые прерываниями
(обращение к функциям ОС, запрос по вводу-выводу данных, за-
вершение операций ввода-вывода, возникновение ошибок при
обработке данных, нажатие клавиши на клавиатуре и др.);
♦ подсистема управления ресурсами (распределение времени про-

цессора, оперативной и внешней памяти, внешних устройств);
28
♦ подсистема управления процессами (планирование и организация

выполнения программ);
♦ подсистема реализации пользовательского интерфейса (реали-

зация связи пользователя с ОС и, соответственно, с компьюте-
ром);
♦ подсистема реализации программного интерфейса (предоставле-

ние выполняемым программам различных функций ОС по доступу
к ресурсам ЭВМ);
♦ подсистема защиты ИПО;
♦ компоненты общего управления компьютером (управление под-

системой защиты ИПО, управление конфигурацией, управление
производительностью, анализ эффективности вычислительного
процесса).
ОС позволяет скрыть аппаратные особенности ЭВМ и тем самым

предоставить в распоряжение пользователей и программистов виртуаль-
ный компьютер с существенно облегченным интерфейсом. ОС поддержи-
вает следующие два вида интерфейса (см. Рис. 2.B) :
♦ пользовательский, обеспечивающий связь пользователей с ОС;
♦ программный, обеспечивающий упрощенный доступ программ к

ресурсам ЭВМ.
Можно выделить еще один интерфейс, который предоставляют

пользователям выполняемые под управлением ОС программы (см. Рис.
2.B), - прикладной интерфейс. Этот интерфейс обеспечивает взаимодей-
ствие пользователя с выполняемой программой и создается при разра-
ботке прикладных программ для ЭВМ.
Связь пользователя с выполняемым компонентом ОС или приклад-

ной программой в пользовательском и прикладном интерфейсах реализу-
ется посредством команд, которые могут вводиться двумя основными
способами:
♦ набираться на клавиатуре (ОС MS-DOS, оболочка Norton

Commander);
♦ указываться (выбираться) на экране в многоуровневых меню или

диалоговых окнах с помощью клавиатуры или манипулятора мы-
ши (оболочка Norton Commander; ОС Windows; программы, раз-
работанные для Windows).
Пользовательский
интерфейс
Пользователь
Прикладной
ЭВМ ОС интерфейс
Программный
интерфейс
Программы
Рис. 2.B. Пользовательский, прикладной и программный ин-

терфейсы
Особую роль, с точки зрения защиты ИПО, играет программный ин-

терфейс ОС. Он предоставляет собой набор функций ОС, которые можно
использовать в разрабатываемых программах для доступа к ресурсам
ЭВМ. Программным интерфейсом в MS-DOS является набор функций,
доступных из программ по прерыванию 21h, в Windows - набор функций,
предоставляемый библиотекой функций API.
Если ОС позволяет осуществить доступ к ресурсам ЭВМ в обход

предоставляемого ею программного интерфейса, например, посредством
подмены прерываний, то обеспечить надежный контроль доступа к ресур-
сам ЭВМ под управлением данной ОС выполнить будет проблематично, а
30
в большинстве случаев невозможно. Например, если в MS-DOS разгра-

ничить доступ к файловой структуре с помощью подфункций прерывания
21h, то злоумышленник для несанкционированного доступа к дисковой
памяти может воспользоваться прерываниями BIOS, непосредственно
функциями BIOS, либо осуществить доступ на уровне контроллера диско-
вода.
2.1.2. Ресурсы компьютера
С позиции поддержания безопасности ИПО важнейшую роль играют

такие ресурсы компьютера как:
♦ информация (информационный ресурс);
♦ программы (программный ресурс).
Рассмотрим более подробно эти виды ресурсов с точки зрения

принципов функционирования ЭВМ и безопасности ИПО.
Под информацией понимаются любые сведения, которые могут

храниться в памяти компьютера.
Информация, загружаемая и хранимая в основной памяти компью-

тера, не имеет однородной структуры. Для организации нормального
функционирования компьютера после включения его питания в оператив-
ную память загружаются компоненты ОС, которые в процессе загрузки
выполняют настройку компьютера под указанные ранее в процессе на-
стройки ОС требования пользователя. В процессе функционирования
ЭВМ запускаемые на выполнение с внешних запоминающих устройств
пользователем программы загружаются средствами ОС последовательно
в свободные участки оперативной памяти.
Информация, хранимая на внешних запоминающих устройствах

ЭВМ, имеет древовидную (иерархическую) структуру, основными элемен-
тами которой являются файлы и каталоги (папки).
Под файлом понимается поименованная совокупность однородных

с точки зрения их смысловой интерпретации данных, хранящихся на
внешнем запоминающем устройстве. Файлы могут быть объединены в
поименованные каталоги, называемые еще папками. Каталог (папка) кро-

ме файлов может содержать другие каталоги (папки). Каталог (папка), ко-
торый не входит ни в какие другие каталоги (папки), является корневым.
Корневой каталог не именуется, так как для доступа к нему достаточно
указать идентификатор внешнего запоминающего устройства, на котором
он расположен. Таким образом, в информационной древовидной структу-
ре внешнего запоминающего устройства нелистовыми вершинами
(имеющими выходные дуги) являются каталоги (папки), а листовыми (не
имеющими выходных дуг) - файлы (Рис. 2.C).
K1 Kn F1 Fm
K11 K1k F11 F1p

K - корневой каталог (каталог 1 уровня);
K1, ..., Kn, - каталоги 2 уровня;
F1, ..., Fm - файлы корневого каталога;
K11 , ..., K1k, - подкаталоги каталога K1 (каталоги 3
уровня);
F11 , ..., F1p - файлы каталога K1.
Рис. 2.C. Древовидная структура информации
Программа представляет собой описание алгоритма и используе-

мых алгоритмом данных, предназначенное для выполнения данного ал-
горитма на ЭВМ.
Программа может быть в исходном, объектном и исполняемом ви-

де. Исходной программой называют программу, включающую ее исход-
ный текст на языке программирования. После обработки исходной про-
граммы программным компонентом системы программирования, назы-
ваемым транслятором, получается программа в объектном виде, состоя-
щая из двоичных команд процессора. Данная программа еще не готова
32
для выполнения, так как в ней не разрешены адресные ссылки на подпро-

граммы и отдельные элементы данных. В процессе обработки объектной
программы специальной программой, называемой редактором связей или
компоновщиком, разрешающим все адресные ссылки, формируется ис-
полняемая программа, готовая к загрузке в оперативную память и выпол-
нению процессором компьютера. В большинстве современных систем
программирования транслятор и редактор связей объединяются, а в объ-
ектном виде хранятся лишь библиотеки подпрограмм. В дальнейшем под
программой будем понимать исполняемую программу.
Программам принадлежит особая роль при организации контроля

доступа к ресурсам ЭВМ. Причины этому следующие:
♦ с помощью программного ресурса осуществляется доступ ко всем

остальным ресурсам ЭВМ;
♦ на выполнение программ расходуются такие основные ресурсы

компьютера как время процессора и оперативная память.
Владение программным ресурсом создает предпосылки для досту-

па к хранимой и обрабатываемой в ВС информации. Взаимосвязь между
основными ресурсами ЭВМ представлена на Рис. 2.D.
Учитывая вышесказанное, можно сделать следующий вывод. Для

обеспечения контроля доступа к ресурсам компьютера необходимо такое
построение ОС, чтобы доступ со стороны прикладных программ к этим
ресурсам был возможен только через программный интерфейс ОС. При
этом любой запрос со стороны прикладной программы на доступ к какому-
либо ресурсу ВС должен удовлетворяться ОС только при наличии у поль-
зователя, от имени которого выполняется данная прикладная программа,
соответствующих полномочий.
Информация Требует для Требуют для Программы

обработки выполнения
Время
процессора
Требует для
ввода-вывода Устройства
посимвольного
ввода-вывода
Требует для
временного
хранения
Основная
память
Внешние
запоминающие
устройства
Могут
Требует для потребовать
постоянного для доступа
хранения Другие виды
памяти (регистры
процессора, порты
ввода-вывода)
Рис. 2.D. Взаимосвязь между основными ресурсами ЭВМ
2.1.3. Вычислительные сети и их ресурсы
Если ВС представляет собой группу компьютеров, размещенных в

пределах нескольких компактно расположенных зданий, и сопряженных
между собой линиями связи по обмену информацией, то такая ВС назы-
вается локальной вычислительной сетью (ЛВС).
Целями создания ЛВС являются:
♦ совместный доступ пользователей ЛВС к ее общим ресурсам;
♦ обмен информацией между узлами (компьютерами) сети.
Под общими ресурсами ЛВС понимаются информационно-

вычислительные ресурсы, которые предоставляет в совместное пользо-
34
вание одна или несколько специально выделенных для этой цели ЭВМ
сети.
Компьютер, предоставляющий тот или иной общий ресурс, принято

называть сервером этого ресурса, а компьютер, желающий им воспользо-
ваться, - клиентом. Каждый сервер характеризуется видами общих ресур-
сов, которыми он владеет.
Различают следующие основные виды общих ресурсов:
♦ внешняя память (использование пользователями ЛВС внешней

памяти сервера под свои нужды);
♦ информационный ресурс (доступ к информации, хранящейся во

внешней памяти сервера);
♦ программный ресурс (доступ к сервису, предлагаемому выпол-

няемыми на сервере программам);
♦ внешние устройства посимвольного ввода-вывода (доступ к

внешним устройствам посимвольного ввода-вывода сервера, на-
пример, к принтерам).
При запросе к серверу на доступ к какому-либо предоставляемому

им общему ресурсу, осуществляется обращение к соответствующему
процессу, выполняемому на данном сервере (Рис. 2.E).
ЭВМ-клиент ЭВМ-сервер
Запрос обслуживания
Процесс- Процесс-
клиент Результат обработки сервер
Рис. 2.E. Взаимодействие между клиентом и сервером
Процесс сервера, выполняющий некоторые функции по предостав-

лению другим процессам общих ресурсов или набора услуг, принято на-
зывать процессом-сервером. Процесс, пользующийся этими ресурсами

или услугами, называют процессом-клиентом.
Сервер, который в ЛВС целиком выделяется для предоставления

общих ресурсов, называется выделенным. В противном случае сервер
называют невыделенным. На выделенном сервере невозможна работа
какого-либо пользователя, так как все без исключения ресурсы этого ком-
пьютера выделяются под общие ресурсы ЛВС.
В зависимости от того, есть ли в составе ЛВС выделенный сервер,

или нет, различают:
♦ одноранговые ЛВС, в которых нет выделенных серверов;
♦ ЛВС, построенные по архитектуре “клиент-сервер”, в которых все

серверы являются выделенными.
Производительность и безопасность одноранговых сетей являются

более низкими, чем у сетей с архитектурой “клиент-сервер”. Кроме того,
при увеличении количества узлов сети эти показатели постепенно ухуд-
шаются. Поэтому архитектуру одноранговой сети целесообразно исполь-
зовать при небольшом количестве объединяемых ЭВМ и невысоких тре-
бованиях по безопасности и производительности обработки данных.
Перечислим наиболее важные достоинства архитектуры "клиент-

сервер".
1. Высокая производительность:
- вся или большая часть обработки информации может выполняться

на сервере;
- низкая пропускная способность сети при правильном подборе ар-

хитектуры не является определяющим фактором, влияющим на произво-
дительность вычислительной системы в целом.
2. Надежность:
- для изменения базы данных, размещаемой на ЭВМ-серверах, ис-

пользуется механизм двухфазных распределенных транзакций, гаранти-
36
рующий дублирование всех запросов к процессу-серверу при сбоях в уз-

лах сети;
- изменение данных осуществляется только сервером, что обеспе-

чивает логическую целостность данных.
3. Открытость:
- на основе поддержки стандартов возможно использование раз-

личных программных средств для доступа к ресурсам сервера.
В ЛВС каждой ЭВМ-клиентом управляет автономная ОС, а общими

ресурсами ЛВС и обменом информации между узлами сети - сетевая ОС.
В ЛВС, построенных по архитектуре “клиент-сервер”, на ЭВМ-

сервере функционирует управляющий компонент сетевой ОС (Рис. 2.F).
На ЭВМ-клиентах при этом функционируют автономные ОС, в каждой из
которых запущен резидентно и постоянно работает специальный компо-
нент сетевой ОС, называемый оболочкой сетевой ОС (см. Рис. 2.F).
Управляющий
компонент
сетевой ОС
ЭВМ-
сервер
Оболочка сетевой ОС Оболочка сетевой ОС

Автономная ОС Автономная ОС
ЭВМ- ЭВМ-
клиент клиент
Рис. 2.F. Функционирование ЛВС с архитектурой “клиент-

сервер”
Управляющий компонент сетевой ОС, помимо функций, выполняе-

мых локальной ОС, должен обеспечивать:
♦ распределение общих ресурсов между ЭВМ-клиентами сети;
♦ обмен данными между узлами сети;
♦ общее управление сетью (управление конфигурацией, контроль

доступа к общим ресурсам, восстановление работоспособности
после сбоев и отказов, управление производительностью).
Оболочка сетевой ОС в процессе своей работы перехватывает все

запросы на получение ресурсов от программ, функционирующих на ЭВМ-
клиенте. Если запрашивается доступ к ресурсам сервера, то для обработ-
ки запроса оболочка передает управление управляющему компоненту се-
тевой ОС, функционирующему на сервере. Если же запрашивается ре-
сурс ЭВМ-клиента, то запрос передается автономной ОС, под управлени-
ем которой выполняется программа, выдавшая запрос. Кроме того, обо-
лочка обеспечивает обработку запросов на обмен данными между узлами
сети.
В сетевых ОС для одноранговых сетей управляющий компонент и

оболочка объединены между собой, образуя так называемую сетевую
надстройку. Поэтому в одноранговых сетях на каждой ЭВМ функциониру-
ет автономная ОС, поверх которой загружена и работает сетевая над-
стройка. Часто локальная ОС и сетевая надстройка объединяются в од-
норанговую сетевую ОС (примером может служить Windows 3.11 или
Windows 95).
Группу компьютеров и локальных вычислительных сетей, значи-

тельно удаленных друг от друга и сопряженных между собой линиями пе-
редачи информации, называют глобальной вычислительной сетью. Ос-
новной целью создания глобальной вычислительной сети является обес-
печение обмена данными между ее узлами.
На построение системы защиты ИПО в локальных и глобальных

вычислительных сетях, в отличие от системы защиты ИПО автономной
ЭВМ, особое влияние оказывает межкомпьютерный обмен информацией.
Поэтому система защиты ИПО вычислительных сетей должна содержать
мощные средства для обеспечения конфиденциальности, целостности и
подлинности передаваемых между компьютерами данных [7, 10, 13].
38
2.2. Угрозы информационно-программному обеспечению и

их классификация
2.2.1. Угрозы ИПО
Стадии выявления и анализа угроз играют исключительно важную

роль, так как на основе результатов этих стадий формируются требова-
ния к создаваемой системе защиты ИПО.
Под угрозой ИПО понимается возможность реализации любого

преднамеренного или случайного действия, которое может привести к на-
рушению безопасности хранимой и обрабатываемой в ВС информации, а
также выполняемых программ. В соответствии с целями защиты ИПО на-
рушение безопасности состоит в нарушении:
♦ конфиденциальности информации;
♦ целостности информации;
♦ надежности программ.
Учитывая что для использования какого-либо ресурса в ВС перво-

начально нужно осуществить доступ к этому ресурсу (получить разреше-
ние доступа), угроза преднамеренного действия в большинстве случаев
включает две фазы своей реализации (проявления):
♦ фазу проникновения, заключающуюся в попытке

несанкционированного доступа к ресурсам ВС;
♦ фазу воздействия на ИПО, заключающуюся в несанкционирован-

ном использовании ресурсов ВС после успешного доступа к ним.
Угроза случайного действия, как правило, при реализации включает

только фазу воздействия на ИПО, заключающуюся в некорректном ис-
пользовании ресурсов ВС, например, угроза отказа накопителя на маг-
нитном диске включает только этап отказа накопителя, в результате кото-
рого может быть потеряна информация, хранящаяся на диске, вставлен-
ном в этот накопитель. Хотя, следует отметить, что фазе воздействия при
реализации случайной угрозы могут предшествовать некорректные дей-
ствия пользователей и программ, приводящие к нарушению целостности
информации или сбоям и отказам в работе программно-аппаратных

средств.
В зависимости от способа реализации можно выделить следующие

основные виды угроз.
1. Угрозы несанкционированного доступа к ресурсам ВС:
♦ угрозы доступа со стороны несанкционированных пользователей;
♦ угрозы доступа со стороны несанкционированных программ;
♦ угрозы доступа несанкционированных пользователей от имени

санкционированных (угроза маскировки злоумышленника).
2. Угрозы несанкционированного использования ресурсов ВС:
♦ угрозы несанкционированного использования данных (копирова-

ния, модификации, печати и др.);
♦ угрозы несанкционированного копирования программ;
♦ угрозы несанкционированной модификации программ;
♦ угрозы несанкционированного исследования программ;
♦ угрозы несанкционированного переиспользования данных.
3. Угрозы некорректного использования ресурсов ВС:
♦ угрозы случайного доступа со стороны прикладных программ к

разделам основной памяти, не принадлежащим данным програм-
мам;
♦ угрозы случайного доступа к системным областям дисковой памя-

ти;
♦ угрозы некорректного изменения базы данных (ввода неверных

данных, нарушения ссылочной целостности данных);
♦ угрозы возникновения ошибок в работе пользователей или

обслуживающего персонала ВС.
4. Угрозы проявления ошибок в программных и аппаратных

средствах ВС, допущенных при разработке данных средств:
40
♦ угрозы проявления ошибок, допущенных при выработке

спецификаций на разрабатываемые средства;
♦ угрозы проявления ошибок, допущенных при проектировании

разрабатываемых средств;
♦ угрозы проявления ошибок, допущенных при реализации проектов

разрабатываемых средств.
5. Угрозы перехвата потока данных, циркулирующего в линиях

связи ВС с целью хищения, модификации или переадресации ин-
формации.
6. Угрозы отправления данных в вычислительной сети от име-

ни другого пользователя с целью хищения информации или нанесе-
ния ущерба.
7. Угрозы несанкционированной регистрации электромагнит-

ных излучений с целью хищения информации.
8. Угрозы хищения документов, носителей информации и уст-

ройств, входящих в состав ВС.
9. Угрозы несанкционированного изменения состава компонен-

тов ВС или злоумышленного вывода их из строя.
Реализация любых угроз выполняется через уязвимые элементы

ВС.
Под уязвимыми элементами ВС понимаются те ее компоненты, с

помощью которых возможен доступ к информационным и программным
ресурсам ВС. Основные уязвимые элементы ВС с соответствующими им
видами угроз представлены на Рис. 2.G.
Следует отметить, что одним из основных уязвимых компонентов

ВС, непосредственно не представленным на Рис. 2.G является про-
граммное обеспечение, так как с его помощью возможен доступ к любым
ресурсам системы.
Несанкционированный доступ к ресурсам ВС.

Несанкционированное использование ресурсов ВС.
Ошибки программно-аппаратных средств.
Хищение носителей информации.
Несанкционированное изменение состава устройств.
Ошибки программно-
аппаратных средств.
Регистрация излу- Регистрация излуче-
Внешнее Внешнее ний.
чений.
запоминающее запоминающее Несанкционированное
Перехват потока
данных. устройство устройство изменение состава уст-
ройств.
Центральный блок
ЭВМ
Терминал Принтер
Центральный
процессор
Терминал Основная Принтер

память
Хищение отпеча-
Несанкц-й доступ к танных докумен-
ресурсам ВС. тов.
Несанкц-е или некор- Подсмотр печа-
ректное использование Регистрация таемой информа-
ресурсов ВС. излучений. ции.
Маскировка под друго- Перехват по- Регистрация излу-
го пользователя. тока данных. чений.
Регистрация излуче-
ний. Ошибки программных и
Несанкц-е изменение Аппаратура
связи и аппаратных средств.
состава устройств. Несанкц-е изменение со-
Подсмотр отображае- коммутации
сотава устройств.
мой информации. Регистрация излучений.
Регистрация
излучений.
Перехват по-
тока данных.
Рис. 2.G. Основные уязвимые элементы ВС и соответствующие

им виды угроз
2.2.2. Классификация угроз
Для формирования полного перечня требований к разрабатывае-

мой системе защиты кроме выявления всех возможных угроз должен
42
быть проведен анализ этих угроз на основе их классификации по ряду

признаков. Каждый из признаков классификации угроз отражает одно из
обобщенных требований к системе защиты. При этом угрозы, соответст-
вующие каждому признаку классификации, позволяют детализировать
отражаемое этим признаком требование.
Учитывая, что множества угроз для каждого признака пересекаются

друг с другом, при классификации все возможные угрозы для каждого ви-
да, соответствующего текущему признаку классификации, перечисляться
не будут, а будут указываться лишь их примеры.
Общее количество угроз информационно-программному обеспече-

нию вычислительных систем исчисляется не одной сотней. К наиболее
часто реализуемым угрозам информации и процессу ее обработки можно
отнести следующие [11, 12, 14]:
♦ хищение внешних информационных носителей с секретными

данными;
♦ несанкционированное копирование секретных данных после дос-

тупа к ресурсам вычислительной системы;
♦ резкое снижение производительности вычислительной системы

вплоть до нуля из-за неконтролируемого размножения компью-
терных вирусов;
♦ хищение хранящейся в вычислительной системе секретной ин-

формации с помощью компьютерных вирусов;
♦ потеря информации вследствие деструктивных действий компью-

терных вирусов, например после низкоуровневого форматирова-
ния жесткого диска;
♦ невозможность загрузки операционной системы с винчестера по-

сле заражения компьютера программным вирусом и выполнения
им деструктивных действий;
♦ умышленная порча или модификация информации с целью

нанесения материального ущерба;
♦ потеря информации вследствие возникновения сбоев и отказов в

работе программно-аппаратного обеспечения;
♦ воровство материальных ценностей (денег, товара, продукции и

т.д.) путем подлога или модификации соответствующих сведений
в базах данных;
♦ случайное разрушение секретной информации по причине некор-

ректных действий пользователей или программных средств;
♦ сбои и отказы в работе критичного программного обеспечения,

приводящие к катастрофическим последствиям;
♦ сбои и отказы в работе программно-аппаратных средств из-за

случайного или преднамеренного разрушения используемых ими
информационных структур;
♦ перехват секретных данных, циркулирующих в линиях связи;
♦ получение по сети неподлинных или поддельных сообщений;
♦ отказ от фактов получения или отправления сообщений в сети с

целью нанесения материального ущерба или технического рас-
торжения сделок.
Классификация всех возможных угроз ИПО ВС может быть прове-

дена по следующим базовым признакам.
1. По непосредственному источнику угроз:
♦ угрозы, непосредственным источником которых является человек

(например, угроза несанкционированного копирования секретных
данных пользователем ВС);
♦ угрозы, непосредственным источником которых являются санк-

ционированные программно-аппаратные средства (например, уг-
роза возникновения отказа в работе операционной системы);
♦ угрозы, непосредственным источником которых являются несанк-

ционированные программно-аппаратные средства (например, уг-
роза низкоуровневого форматирования жесткого диска программ-
ным вирусом).
44
2. По положению источника угроз:
♦ угрозы, источник которых расположен в пределах ВС (например,

угрозы некорректного использования ресурсов ВС);
♦ угрозы, источник которых расположен вне ВС (например, угроза

регистрации излучений от линий связи).
3. По степени зависимости от активности ВС:
♦ угрозы, которые могут проявляться независимо от активности ВС

(например, угрозы хищения документов и носителей информации
в ВС);
♦ угрозы, которые могут проявляться только в процессе автомати-

зированной обработки данных (например, угрозы выполнения и
распространения программных вирусов).
4. По степени преднамеренности проявления:
♦ угрозы случайного действия (например, угрозы проявления оши-

бок программно-аппаратных средств ВС);
♦ угрозы преднамеренного действия (например, угрозы действий

злоумышленника для хищения информации).
5. По степени воздействия на ИПО:
♦ пассивные угрозы, которые при реализации ничего не меняют в

структуре и содержании ИПО ВС (например, угроза копирования
секретных данных);
♦ активные угрозы, которые при воздействии вносят изменения в

структуру и содержание ИПО ВС (например, угроза умышленной
модификации информации).
6. По этапам доступа пользователей или программ к ресурсам

ВС:
♦ угрозы, которые могут проявляться на этапе доступа к ресурсам

ВС (например, угрозы несанкционированного доступа в ВС);
♦ угрозы, которые могут проявляться после разрешения доступа к

ресурсам ВС (например, угрозы несанкционированного или не-
корректного использования ресурсов ВС).
7. По способу доступа к ресурсам ВС:
♦ угрозы, направленные на использование прямого стандартного

пути доступа к ресурсам ВС (например, угроза маскировки под
другого пользователя);
♦ угрозы, направленные на использование скрытого нестандартного

пути доступа к ресурсам ВС (например, угроза несанкциониро-
ванного доступа к ресурсам ВС путем использования недокумен-
тированных возможностей ОС).
8. По текущему месту расположения хранимой и обрабатывае-

мой в ВС информации:
♦ угрозы доступа к информации на внешних запоминающих устрой-

ствах (например, угроза несанкционированного копирования сек-
ретной информации с жесткого диска);
♦ угрозы доступа к информации в основной памяти (например, угро-

за доступа к системной области оперативной памяти со стороны
прикладных программ);
♦ угрозы доступа к информации, циркулирующей в линиях связи

(например, угроза перехвата потока данных);
♦ угрозы доступа к информации, отображаемой на терминале или

печатаемой на принтере (например, угроза записи отображаемой
информации на скрытую видеокамеру).
2.3. Концептуальные уровни защиты от реализации угроз
Для поддержания постоянной безопасности ИПО система защиты

по отношению к каждой из возможных угроз должна обеспечивать выпол-
нение одного из следующих требований:
♦ угроза не может проявиться;

46
♦ угроза, даже проявившись, не сможет воздействовать на ИПО;
♦ воздействие на ИПО, даже если оно произойдет, будет

своевременно устранено.
Оптимальным вариантом построения системы защиты является ее

ориентация на выполнения всех перечисленных требований для каждой
возможной угрозы. Для этого система защиты должна иметь многоуров-
невую структуру, при которой угрозе для нарушения безопасности ИПО
“необходимо будет преодолеть” все установленные уровни защиты.
Такими концептуальными уровнями защиты, соответствующими

перечисленным выше требованиям, являются:
♦ уровень препятствия проявлению угроз - внешний уровень;
♦ уровень защиты ИПО от воздействий реализуемых угроз - гранич-

ный уровень;
♦ уровень устранения последствий воздействий реализуемых угроз

- внутренний уровень.
Процесс достижения возможных итоговых событий в ВС при попыт-

ке нарушения безопасности ИПО может быть отражен обобщенным алго-
ритмом, представленным на Рис. 2.H.
Таким образом, система защиты для поддержания безопасности

ИПО должна обеспечивать выполнение следующих функций:
1) на внешнем уровне:
♦ обнаружение условий, порождающих проявление угроз;
♦ ликвидация условий, порождающих проявление угроз;
♦ создание условий, препятствующих проявлению угроз;
2) на граничном уровне:
♦ обнаружение проявлений угроз;
♦ препятствие доступу реализуемых угроз к ресурсам ВС;
♦ предупреждение воздействий реализуемых угроз на ИПО;
3) на внутреннем уровне:
♦ обнаружение воздействий на ИПО;
♦ локализация воздействий на ИПО;
♦ ликвидация последствий воздействий на ИПО.
Нет Существуют ли условия для проявления

угрозы ?
Внешний
Да уровень
Нет
Смогла ли проявиться угроза ?
Да
Да Прегражден ли доступ реализуемой Граничный

угрозы к ресурсам ВС ? уровень
Нет
Обнаружено и локализовано ли воздействие Нет
на ИПО ? Внутренний
уровень
Да
Да Своевременно ли ликвидированы
последствия воздействия на ИПО ?
Нет
Итоговое событие 1 Итоговое событие 2 Итоговое событие 3

Обеспечение Нарушение Разрушение
защиты защиты защиты
Рис. 2.H. Алгоритм достижения итоговых событий при попытке

нарушения безопасности ИПО
Только все перечисленные функции для каждой из возможных угроз

при условии их точного и своевременного выполнения обеспечат эффек-
тивную защиту хранящейся и обрабатываемой в ВС информации, а также
используемых программ.
48
2.4. Классификация методов и средств комплексной защи-

ты
Все множество функций системы комплексной защиты должно быть

достаточным для обеспечения требуемой безопасности ИПО в любой
момент времени. Множество активных функций определяется текущими
условиями хранения и обработки информации в ВС.
Функция защиты выполняется в соответствии с используемым ме-

тодом защиты с помощью специально созданных для ее выполнения
средств.
В общем случае под методом (способом) защиты ИПО понимается

описание процесса реализации какой-либо функции защиты. Используя
схожесть понятий функция и задача, можно также сформулировать, что
под методом защиты понимается описание способа решения какой-либо
задачи защиты.
Методы можно классифицировать на неформальные и формаль-

ные.
Неформальный метод описывает процесс реализации какой-либо

функции, который не может быть выражен в обобщенных алгоритмах. При
этом под алгоритмом понимается точное предписание, определяющее
последовательность действий, необходимую для получения требуемого
результата.
Формальный метод задает обобщенные алгоритмы реализации ка-

кой-либо функции или другими словами - обобщенные алгоритмы реше-
ния какой-либо задачи.
Отдельные методы могут быть комбинированными или полуфор-

мальными, когда одна их часть соответствует формальному признаку, а
другая - неформальному.
Для использования методов защиты ИПО на практике создаются

средства защиты. Средства защиты в свою очередь также разделяются
на формальные и неформальные.
Формальные средства являются техническими устройствами или

компьютерными программами, функционирующими по реализованным в
них алгоритмам.
Неформальные средства сами по себе функционировать не могут,

так как являются мероприятиями, проводимыми людьми, или правилами
(законами, актами, нормами и т.д.), регламентирующими деятельность
людей или функционирование формальных средств защиты.
Схема классификации методов и средств комплексной защиты ИПО

представлена на Рис. 2.I.
Методы Средства
Формальные
Физические
Методы территориальной и
противопожарной защиты
компонетов ВС
Аппаратные
Методы защиты ресурсов

активной ВС Программные
Полуформальные
Регламентация Организационные
Принуждение Законодательные
Неформальные
Побуждение Морально-этические
Рис. 2.I. Классификация методов и средств комплексной защи-

ты ИПО
Охарактеризуем кратко представленные на рисунке методы и сред-

ства комплексной защиты ИПО [1, 10].
50
В методах территориальной и противопожарной защиты использу-

ются как физические и организационные, так и программно-аппаратные
средства, которые могут и не входить в состав защищаемой ВС. Террито-
риальная защита состоит в физическом преграждении посторонним ли-
цам пути к защищаемым данным и процессу их обработки. Этот вид за-
щиты основан на выполнении таких функций как:
♦ охрана территории, зданий, внутренних помещений и оборудова-

ния;
♦ контроль доступа в защищаемые зоны;
♦ создание препятствий визуальному наблюдению и подслушива-

нию;
♦ нейтрализация излучений.
Современные тенденции развития ВС, связанные с распростране-

нием локальных и глобальных сетей, а также технологий “клиент-сервер”
приводят к снижению эффективности территориальной защиты и повы-
шению действенности методов защиты ресурсов активной ВС. Причиной
этому является быстрый рост интенсивности проявлений угроз, реали-
зуемых путем непосредственного доступа к ресурсам вычислительной
системы.
Противопожарная защита предназначена для предотвращения воз-

никновения пожара на территории расположения ВС, а также своевре-
менной ликвидации случившегося пожара и его последствий.
Методы защиты ресурсов активной ВС действуют только при функ-

ционировании вычислительной системы и основаны на использовании ее
программно-аппаратных средств.
Регламентация как способ защиты заключается в разработке и реа-

лизации комплексов мероприятий, создающих такие условия автоматизи-
рованной обработки и хранения информации, при которых возможности
нарушения безопасности ИПО сводились бы к минимуму. Для эффектив-
ной защиты необходимо строго регламентировать:
♦ структурное построение ВС (архитектура зданий, оборудование

помещений и т.д.);
♦ технологические схемы автоматизированной обработки защи-

щаемой информации;
♦ технологические схемы разработки программных средств;
♦ организацию и обеспечение работы всего персонала, занятого

обработкой информации.
Принуждение - такой способ защиты, при котором пользователи и

персонал ВС вынуждены соблюдать правила обработки и использования
защищаемого ИПО под угрозой материальной, административной или
уголовной ответственности.
Побуждение - способ защиты, при котором пользователи и персо-

нал ВС руководствуются для защиты ИПО принятыми в обществе мо-
ральными нормами.
Охарактеризуем теперь кратко основные виды средств защиты

ИПО.
Физическими называются средства защиты, которые создают физи-

ческие препятствия на пути к защищаемым данным и процессу их обра-
ботки. К таким средствам относятся:
♦ сверхвысокочастотные, ультразвуковые и инфракрасные систе-

мы, предназначенные для обнаружения движущихся объектов,
определения их размеров, скорости и направления перемещения;
♦ лазерные и оптические системы, реагирующие на пересечение

нарушителями световых лучей;
♦ телевизионные системы, предназначенные для наблюдения за

охраняемыми объектами;
♦ кабельные системы, использующиеся для охраны небольших

объектов (объект окружают кабелем, излучающим радиоволны;
приемник излучения реагирует на изменение поля при приближе-
нии нарушителя);
52
♦ системы защиты окон и дверей, предназначенные для физическо-

го препятствия проникновению, а также наблюдению и
подслушиванию;
♦ механические и электронные замки, регулирующие доступ на

территорию и в помещения;
♦ системы нейтрализации излучений.
Под аппаратными понимаются средства защиты, непосредственно

входящие в состав аппаратуры ВС - средства защиты процессора и ос-
новной памяти, устройств ввода-вывода информации, каналов связи.
Аппаратные средства защиты процессора предназначены в основ-

ном для разграничения доступа к командам процессора со стороны про-
грамм.
Аппаратные средства защиты основной памяти обеспечивают воз-

можность изолирования друг от друга адресных пространств оперативной
памяти, выделенных разным программам.
К аппаратным средствам защиты устройств ввода-вывода инфор-

мации относятся всевозможные блокираторы доступа для защиты от не-
санкционированного использования этих устройств.
Аппаратные средства защиты каналов связи ориентированы на

криптографическое закрытие (зашифровывание) передаваемых по кана-
лам данных.
К программным средствам защиты относится специальное про-

граммное обеспечение, используемое в ВС для решения задач защиты
ИПО.
Организационные средства - организационно-технические меро-

приятия, специально предусматриваемые в ВС с целью решения задач
защиты.
Законодательные средства представляют собой существующие в

стране или специально издаваемые законы и другие нормативно-
правовые акты, с помощью которых регламентируются связанные с обес-
печением защиты ИПО права и обязанности всех лиц и подразделений,
имеющих отношение к функционированию ВС. С помощью данных

средств также устанавливается ответственность за действия, следствием
которых может быть нарушение защищенности ИПО.
К морально-этическим средствам относятся сложившиеся в обще-

стве и коллективе моральные нормы или этические правила, соблюдение
которых способствует защите ИПО, а нарушение их приравнивается к не-
соблюдению сложившихся общественных правил поведения.
Оптимальный выбор средств, необходимых и достаточных для ре-

шения заданной совокупности задач защиты, осуществляется на основе
технико-экономических характеристик различных средств.
Эффективность защиты ИПО ВС достигается только в случае объе-

динения используемых для этой цели методов и средств в единую сис-
тему комплексной защиты, которая должна быть функционально само-
стоятельной подсистемой ВС.
Предъявляемые требования к системе защиты можно разбить на

следующие категории:
♦ функциональные - решение требуемой совокупности задач защи-

ты;
♦ требования по надежности - способности своевременно и пра-

вильно выполнять все предусмотренные функции защиты;
♦ требования по адаптируемости - способности к целенаправлен-

ной адаптации при изменении структуры, технологических схем
или условий функционирования ВС;
♦ эргономические - требования по удобству эксплуатации (админи-

стрирования) и минимизации помех пользователям;
♦ экономические - минимизация финансовых и ресурсных затрат.

54
2.5. Методы защиты программно-аппаратными средствами

ВС
Как было отмечено в п. 1.4 основными целями защиты ИПО ВС яв-

ляются:
♦ защита информации от хищения;
♦ защита информации от потери, причиной которой могут стать как

сбои и отказы в работе программ, так и случайное или преднаме-
ренное уничтожение данных;
♦ защита программ от сбоев и отказов, обеспечивающая своевре-

менное и точное выполнение программными средствами своих
функций.
Систематизируем и детализируем на основе анализа выявленных

ранее угроз функции и методы защиты ИПО программно-аппаратными
средствами ВС применительно к перечисленным целям.
2.5.1. Защита от хищения
Защита информации от хищения обеспечивается:
1) защитой от несанкционированного доступа к ресурсам ВС;
2) защитой от несанкционированного использования ресурсов ВС.
Защита от несанкционированного доступа к ресурсам ВС позволяет

преградить бесконтрольный и несанкционированный доступ к обрабаты-
ваемой в ВС информации и используемым программам как со стороны
несанкционированных пользователей, так и со стороны несанкциониро-
ванных программ (компьютерных вирусов).
Защита от несанкционированных пользователей предполагает

идентификацию и подтверждение подлинности (аутентификацию) пользо-
вателей при доступе в ВС, а также разграничение их доступа к ресурсам
ВС. Сюда же должна быть включена функция завершения сеанса работы
пользователей, предотвращающая возможность реализации угрозы мас-
кировки под другого пользователя. Обычное завершение сеанса работы
должно обязательно проводиться каждым пользователем по окончании
его работы. Принудительное завершение сеанса работы пользователя

должно выполняться по истечении для него заданного времени бездейст-
вия (отсутствия признаков активности).
Защита от компьютерных вирусов ориентирована на преграждение

их доступа в ВС, а также диагностирование, локализацию и устранение
вирусов.
Защита от несанкционированного использования ресурсов ВС со-

стоит в защите информации и программ от исследования, копирования и
модификации после того, как к ним осуществлен доступ.
Защита информации от исследование и копирования предполагает

зашифровывание защищаемых от хищения данных, уничтожение оста-
точной информации, а также аварийное уничтожение данных. Зашифро-
вывание информации делает невозможным ее использование без пред-
варительного расшифровывания, осуществимого только при наличии па-
роля (ключа шифрования). Уничтожение остаточных данных в рабочих
областях оперативной и внешней памяти предотвращает возможность их
последующего несанкционированного использования. Аварийное уничто-
жение защищаемой от хищения информации необходимо при обнаруже-
нии для этой информации неотвратимой опасности несанкционированно-
го доступа, например, при возникновении отказа в системе защиты.
Защита данных от модификации основана на подсчете в исходной

закодированной информации контрольных сумм, которые зашифровыва-
ются вместе с исходной информацией и проверяются после расшифро-
вывания.
Защита программ от копирования [18] предотвращает возможность

выполнения несанкционированно скопированной программы на другом
компьютере. Защита программ от исследования позволяет защитить от
исследования алгоритмические и другие детали реализации программы.
Защита программ от модификации предотвращает возможность выпол-
нения на ЭВМ несанкционированно модифицированной программы.
56
2.5.2. Защита от потери
Защита информации от потери обеспечивается:
1) защитой от несанкционированного доступа и использования ре-

сурсов ВС;
2) защитой от некорректного использования ресурсов ВС;
3) внесением информационной избыточности.
Защита от некорректного использования ресурсов предполагает не

только надежное, но и корректное функционирование программного
обеспечения с позиции используемых ресурсов ВС [4, 6]. Нельзя исклю-
чать, что программа может функционировать надежно, четко и своевре-
менно выполняя свои функции, но некорректно использовать ресурсы ВС
из-за того, что в исходных требованиях к ней не были предусмотрены все
необходимые функции. К таким функциям можно отнести:
♦ изолирование участков оперативной памяти, выделенных

операционной системе и прикладным программам;
♦ защита системных областей внешних носителей информации;
♦ поддержание целостности и непротиворечивости обрабатывае-

мых данных.
Внесение информационной избыточности выполняется путем по-

стоянного или периодического резервирования данных. Зарезервирован-
ные данные обеспечивают восстановление случайно или преднамеренно
уничтоженной или искаженной информации. Постоянное резервирование
данных заключается в том, что при каждой записи на какой-либо инфор-
мационный носитель данные параллельно записываются еще и на другой
носитель, который называют резервным. При периодическом резервиро-
вании данные с используемых носителей информации записываются на
резервные носители через заранее определенные интервалы времени.
2.5.3. Защита от сбоев и отказов
Защита программ от сбоев и отказов обеспечивается:

1) внесением информационной и функциональной избыточности ре-

сурсов ВС;
2) защитой от некорректного использования ресурсов ВС;
3) разработкой качественных программно-аппаратных средств ВС.
Такое разделение способов защиты вызвано существованием двух

основных групп причин сбоев и отказов в работе программного обеспече-
ния.
К одной из групп относятся ошибки, возникающие в работе аппарат-

ных средств ВС из-за их старения или неправильного использования, а
также нарушения физической и логической целостности хранящихся в
оперативной и внешней памяти структур данных. Защита от сбоев и отка-
зов в этом случае обеспечивается внесением информационной и функ-
циональной избыточности ресурсов ВС, а также защитой этих ресурсов от
некорректного использования.
Внесение функциональной избыточности ресурсов состоит во вне-

сении дополнительных функций в программно-аппаратные ресурсы ВС
для повышения их защищенности от сбоев и отказов. К таким функциям
можно отнести функциональное дублирование, периодическое тестиро-
вание и восстановление, а также самотестирование и самовосстановле-
ние компонентов ВС.
При функциональном дублировании отказ одного из задублирован-

ных элементов, например, сервера или дискового накопителя не приведет
к отказу ВС в целом, так как функции отказавшего элемента будет выпол-
нять его дублер.
Тестирование необходимо для периодической проверки работоспо-

собности аппаратных средств ВС, а также физической и логической цело-
стности хранящихся на внешних носителях структур данных.
Восстановление требуется для возобновления работоспособности

программно-аппаратных средств ВС после сбоев и отказов, а также уст-
ранения ошибок, обнаруженных при периодической проверке аппаратуры
и хранящихся на внешних носителях структур данных.
58
Самотестирование заключается в том, что программа перед считы-

ванием исходных и промежуточных данных для непосредственной обра-
ботки должна проверять их наличие и корректность. В случае же их отсут-
ствия или ошибочности она должна сама восстановить эту информацию,
используя предварительно зарезервированные данные, т.е. выполнить
самовосстановление.
К другой группе причин сбоев и отказов в работе программного

обеспечения относятся ошибки, оставшиеся в программно-аппаратных
средствах по окончании их разработки. Соответственно, снижение коли-
чества этих ошибок возможно только путем использования эффективных
методов на всех этапах разработки программно-аппаратных средств ВС -
этапах системного анализа концепции, проектирования и реализации
проекта создаваемого устройства или программной системы [3, 4].
2.5.4. Систематизация методов защиты
Многие из перечисленных способов достижения целей защиты ИПО

подобны или совпадают друг с другом. Их систематизация позволяет вы-
делить обобщенные и более детальные функции и методы защиты ИПО
ВС, представленные на Рис. 2.J.
Следует уточнить, что на данном рисунке в среднем и правом

столбцах представлены как функции, так и методы защиты, так как любая
Функция реализуется с помощью соответствующих методов, которые
можно назвать как методы реализации данной функции.
Методы защиты от несанкционированного доступа к ресурсам ВС и

их несанкционированного использования можно назвать методами защи-
ты от несанкционированных действий пользователей и программ.
Методы защиты от несанкционированного доступа к ресурсам ВС

разделяются на методы защиты от несанкционированных пользователей
и несанкционированных программ (компьютерных вирусов).
Методы защиты от несанкционированного использования ресурсов

ВС разделяются на методы защиты программных и информационных ре-
сурсов.
Цели Функции и методы
Защита от ♦Идентификация
несанкционированного ♦Аутентификация
доступа к ресурсам ВС ♦Разграничение доступа
♦Завершение сеанса работы
Защита ♦Защита от компьютерных
информации вирусов
от хищения ♦Регистрация и сигнализация
Защита от ♦Защита программ от

несанкционированного копирования, исследования
использования ресурсов и модификации
ВС ♦Шифрование и контрольное
суммирование информации
♦Уничтожение остаточных
данных и аварийное уничт-е
♦Регистрация и сигнализация
Защита
информации Защита от ♦Изолирование участков ОП
от потери некорректного ♦Защита системных областей
использования ресурсов внешней памяти
ВС ♦Поддержание целостности и
непротиворечивости данных
Внесение информационной ♦Резервирование информации

и функциональной ♦Тестирование и
избыточности ресурсов ВС самотестирование
♦Восстановление и
Защита самовосстановление
программ от ♦Дублирование компонентов ВС
сбоев
и отказов
Разработка качественных ♦Системный анализ концепции
программно-аппаратных ♦Безошибочное проектирование
средств ВС ♦Эффективная отладка
Рис. 2.J. Цели, функции и методы защиты ИПО ВС
При защите от несанкционированных действий должна осуществ-

ляться регистрация всех попыток доступа в ВС, а также обращений к ее
ресурсам. Кроме того, необходима сигнализация (уведомление службы
безопасности) о всех попытках несанкционированного входа в ВС и дос-
тупа к ресурсам системы.
60
Регистрация и сигнализация используются и в методах защиты ре-

сурсов ВС от некорректного использования, а также в методах внесения
информационной и функциональной избыточности. Однако, в этом случае
регистрация и сигнализация носят другой характер и применяются для
поддержания физической и логической целостности хранимых и обраба-
тываемых данных, а также для восстановления и самовосстановления
работоспособности ВС после возникновения сбоев и отказов программно-
аппаратных средств. Регистрации при этом подлежат все действия поль-
зователей и программ по модификации данных. Сигнализация же исполь-
зуется для уведомления соответствующих компонентов системы защиты
и администрации о случаях некорректного использования ресурсов, а
также возникновении сбоев и отказов программно-аппаратных средств.
Защита от несанкционированных действий пользователей и про-

грамм реализуется как на уровне операционной системы, так и на уровне
общесистемных и прикладных программ, например, систем управления
базами данных.
Методы изолирования участков оперативной памяти и защиты сис-

темных областей внешней памяти, соответствующие методу защиты от
некорректного использования ресурсов ВС должны быть реализованы на
уровне операционных систем.
Методы поддержания целостности и непротиворечивости данных по

защите от некорректного использования ресурсов ВС, а также методы
внесения информационной и функциональной избыточности ресурсов
реализуются на всех уровнях программного обеспечения. Особо важную
роль для обеспечения безопасности обработки информации играет эф-
фективность реализации данных методов на уровне операционных сис-
тем и систем управления базами данных.
Методы разработки качественных программно-аппаратных средств

ВС разделяются по базовым этапам процесса разработки, каждый из ко-
торых оказывает одинаково важное влияние на качество создаваемого
устройства или программного продукта.
Построение эффективной системы защиты основано на всесторон-

нем учете и комплексном использовании всех представленных на Рис. 2.J
функций и методов защиты ИПО ВС. Игнорирование любой из функций
защиты приводит к беспрепятственной реализации соответствующих
данной функции угроз, а следовательно к нарушению защищенности хра-
нимой и обрабатываемой в ВС информации и используемых программ.
62
3. ОБЩЕСИСТЕМНАЯ ОРГАНИЗАЦИЯ МНОГОУРОВНЕВОЙ

ЗАЩИТЫ ИПО ВС
3.1. Организационная структура системы комплексной за-

щиты
Система комплексной защиты ИПО определяется как организаци-

онная совокупность всех средств, методов и мероприятий, предусматри-
ваемых в ВС для обеспечения безопасности хранимой и обрабатываемой
информации, а также используемых в ВС программных средств.
Очевидно, что для обеспечения безопасности ИПО процесс защиты

должен быть непрерывным и управляемым. Поэтому в системе защиты
должны быть подсистемы, с помощью которых осуществляется непосред-
ственная и непрерывная защита ИПО, а также компонент для управления
этими подсистемами. Кроме того, учитывая возможность появления но-
вых угроз ИПО, в системе комплексной защиты должны быть предусмот-
рены органы ее совершенствования. В результате, обобщенную структуру
организационного построения системы комплексной защиты ИПО можно
представить следующей схемой (Рис. 3.A).
Органы общей организации работы системы комплексной защиты

ИПО, как следует из самого названия, предназначены для системной
увязки и координации работы всех остальных компонентов системы.
Обобщенные задачи, стоящие перед органами совершенствования

системы комплексной защиты ИПО, управляющим компонентом, а также
подсистемами непосредственной защиты представлены на Рис. 3.B.
Решение задач непосредственной защиты возложено на соответст-

вующие подсистемы защиты, под каждой из которых понимают совокуп-
ность средств, работающих совместно для выполнения определенной
функции по защите ИПО. Часто в отечественной литературе по безопас-
ности обработки данных подсистемы защиты называют механизмами за-
щиты, что не совсем корректно отражает обозначаемое понятие.
О бщесистемная орг анизация многоуровневой защиты И П О ВС 63
Органы общей организации работы системы комплексной защиты ИПО
Метасистема Система
комплексной защиты непосредственной защиты
ИПО ИПО
Управляющий
компонент
Органы управления
совершенствованием
системы защиты
Подсистемы
Вычисли-
непосредственной
тельная
защиты
система
Физические
Органы
Аппаратные
совершенствования
системы защиты
Программные
Организационные
Рис. 3.A. Организационная структура системы комплексной за-

щиты ИПО
Подсистемы непосредственной защиты строятся на основе физиче-

ских, аппаратных, программных и организационных средств защиты. При
этом все средства защиты можно разделить на постоянные (встроенные)
и переменные (вводимые-выводимые) [1].
Под постоянными понимаются такие средства, которые встраивают-

ся в компоненты ВС в процессе создания системы защиты, и функциони-
руют в составе данной системы безопасности на протяжении всего вре-
мени ее использования. Примером постоянных средств защиты могут
служить встроенные в современные микропроцессоры фирмы Intel сред-
ства организации иерархии привилегий кодовых сегментов выполняемых
программ. Другим примером являются средства защиты, предоставляе-
мые современными операционными системами (Windows NT, UNIX,
64
Netware) и системами управления базами данных (Oracle, Ingres, Informix),

используемые изначально при разработке системы защиты.
Решение задач
совершенствования Решение задач Решение задач
системы управления непосредственной
комплексной защитой ИПО защиты ИПО
защиты ИПО
♦ Сбор данных о сос- ♦ Сбор данных о сос- ♦Исполнение управ-

тоянии системы тоянии защищен- ляющих воздейст-
защиты ности ИПО вий, поступающих
♦Анализ данных и ♦Анализ данных и от управляющего
разработка меро- выработка управ- компонента
приятий по совер- ляющих воздейст- ♦Функционирование
шенствованию сис- вий подсистем защиты
темы защиты ♦Передача управля- ♦Регистрация дан-
♦Выполнение запла- ющих воздействий ных о состоянии
нированных меро- на исполнение защищенности ИПО
приятий ♦Передача данных ♦Передача данных
♦Передача данных органам совершен- управляющему ком-
органам общей ствования и общей поненту
организации рабо- организации работы
ты системы защиты системы защиты
Рис. 3.B. Обобщенные задачи, стоящие перед системой ком-

плексной защиты ИПО
Переменные средства обеспечения защиты изначально не разра-

батывались в составе используемой системы защиты и применяются для
повышения ее эффективности. Они являются автономными и их исполь-
зование для решения задач защиты ИПО предполагает выполнение
предварительных действий по вводу (включению) данных средств в со-
став применяемых и проверке их работоспособности.
Решение о необходимости усиления системы защиты автономными

средствами, а также их составе и характеристиках должно приниматься
органами совершенствования системы защиты на основе тщательного
анализа ее текущей эффективности. Эффект от внедрения данных
средств должен превышать затраты на их покупку или разработку. После
ввода переменных средств в состав системы защиты необходима всесто-

ронняя проверка выполнения предусмотренных новыми средствами
функций, а также функций защиты, которые прямо или косвенно связаны
с функциями включенных средств.
Примером переменных средств могут служить детекторы-

дезинфекторы для обнаружения и устранения программных вирусов. Эти
программные средства должны обновляться в системе защиты как можно
чаще с целью повышения их эффективности за счет увеличения количе-
ства обнаруживаемых типов вирусов.
Только на основе четкого понимания организационной структуры

системы комплексной защиты ИПО ВС может быть обеспечена требуемая
безопасность хранения и обработки данных.
3.2. Функции управляющего компонента системы ком-

плексной защиты
Управляющий компонент системы комплексной защиты ИПО дол-

жен обеспечивать непрерывное управление подсистемами непосредст-
венной защиты, распределенными по всем структурным компонентам ВС,
связанных с хранением, обработкой и передачей информации - узлам вы-
числительной сети, центрам связи и коммутации, хранилищах информа-
ционных носителей и др. Непрерывность управления необходима для не-
прерывной защиты ИПО, которая должна быть надежной как в активном,
так и в пассивном состоянии ВС. Для непрерывной работы управляющий
компонент системы защиты должен всегда находиться в активном со-
стоянии. Поэтому во многих публикациях этот компонент называют еще
ядром, отражая таким образом требуемое его свойство постоянной актив-
ности и работоспособности.
Управляющие воздействия ядра системы комплексной защиты ИПО

должны обеспечивать выполнение следующих функций [1, 17]:
1) блокирование бесконтрольного доступа к защищаемым

информационным и другим ресурсам ВС;
66
2) активизация компонентов системы защиты ресурсов активной ВС

после запуска компьютерной системы;
3) управление работой системы защиты в процессе обработки

защищаемой информации;
4) периодический контроль правильности функционирования систе-

мы защиты;
5) управление базой эталонных данных системы защиты;
6) реагирование на попытки несанкционированных действий;
7) ведение регистрационных журналов (протоколов) системы защи-

ты.
Блокирование бесконтрольного доступа к защищаемым информа-

ционным и другим ресурсам ВС предполагает:
♦ оборудование помещений ВС и их отдельных элементов средст-

вами охранной сигнализации, пульт управления которыми входит
в состав технического обеспечения компонента управления сис-
темы защиты;
♦ хранение носителей с защищаемыми данными в охраняемом по-

мещении и отдельно от носителей с незащищенной информаци-
ей;
♦ выделение для носителей с защищаемой информацией строго

определенных устройств (накопителей), причем эти и другие за-
щищаемые устройства должны оборудоваться специальными
замками, управление которыми осуществляется средствами ядра
системы защиты.
При активизации компонентов системы защиты после запуска ВС

должны быть предусмотрены следующие действия:
♦ включение всех замков, регулирующих доступ людей в помеще-

ния ВС;
♦ загрузка операционных систем, систем управления базами дан-

ных и других компонентов общесистемного программного обеспе-
чения, версии которого аттестованы для безопасной обработки

данных;
♦ инициализация (подготовка к работе и активизация) подсистем

защиты ИПО, используемых только в активном состоянии ВС.
Управление работой системы комплексной защиты в процессе об-

работки защищаемой информации предполагает:
♦ динамическое ведение и распределение эталонных данных сис-

темы защиты (таблиц идентификаторов, паролей и полномочий
пользователей, ключей шифрования, контрольных сумм элемен-
тов файловой структуры и т. д.);
♦ инициирование технологических схем функционирования системы

защиты в соответствии с характерами запросов по доступу к за-
щищаемым данным;
♦ при обнаружении попыток несанкционированных действий пере-

дача управления подсистеме реагирования, а также подсистеме
сигнализации для уведомления об этом службы безопасности;
♦ при наступлении регистрируемых событий передача управления

подсистеме регистрации;
♦ по окончании установленных интервалов времени передача

управления подсистеме резервирования защищаемой информа-
ции;
♦ при возникновении сбоев и отказов в работе программно-

аппаратных средств передача управления подсистеме восстанов-
ления.
При периодическом контроле правильности функционирования сис-

темы комплексной защиты должны предусматриваться следующие спо-
собы проверок:
♦ физические и аппаратные средства должны проверяться органи-

зационно и по тестовым программам;
68
♦ программные средства - специальными программами на соответ-

ствие контрольным суммам (на целостность) и по другим иденти-
фицирующим признакам;
♦ база эталонных данных и регистрационные журналы - программ-

но и организационно на целостность и защищенность;
♦ защищаемая информация - программно на целостность и

защищенность;
♦ организационные средства - организационно сотрудниками служб

защиты.
Управление базой эталонных данных должно обеспечивать свое-

временную выдачу эталонных данных, запрашиваемых другими компо-
нентами системы защиты. Сопровождение базы эталонных данных осу-
ществляется службой безопасности. При этом уровень защиты эталонных
данных должен быть максимальным, так как используя эти данные можно
вскрыть установленную защиту.
Реагирование на попытки несанкционированных действий предпо-

лагает:
♦ прерывание обработки защищаемых данных;
♦ уничтожение защищенной информации, которая может стать дос-

тупной вследствие обнаруженных несанкционированных дейст-
вий;
♦ немедленное уведомление об этом службы безопасности;
♦ принятие мер для задержания нарушителя.
При уведомлении могут использоваться различные виды сигнали-

зации - отображаемый на экране текст, звуковая, световая . В любом слу-
чае сигнал о попытке несанкционированного действия должен включать
информацию о месте, времени, характере действия, а также информацию
о пользователе, от чьего имени выполняется данное действие.
Ведение регистрационных журналов (протоколов) системы защиты

заключается в регистрации специальными программными средствами
следующей информации:
♦ времени включения и выключения системы защиты ресурсов ак-

тивной ВС;
♦ информации о всех удачных и неудачных попытках входа в ВС;
♦ сведений об окончании сеансов работы пользователей;
♦ информации о всех запросах на доступ к защищаемым ресурсам;
♦ времени, характера и результатов реагирования системы защиты

на сигналы о попытках несанкционированных действий;
♦ сведений о сбоях и отказах в работе программно-аппаратных

средств и результатах восстановления;
♦ другой информации, связанной с защитой ИПО (информации о

запуске и окончании работы программ, открытии и закрытии фай-
лов и т. д.)
Виды и форма регистрируемой информации задаются службой

безопасности.
3.3. Многоуровневая структура системы защиты ресурсов

активной ВС
Систему комплексной защиты ИПО по признаку активности ВС мож-

но разделить на две подсистемы:
♦ подсистема защиты, состояние активности которой не зависит от

состояния активности ВС (подсистема территориальной и проти-
вопожарной защиты);
♦ подсистема защиты информационных и программных ресурсов

активной ВС, построенная на основе ее программно-аппаратных
средств.
Подсистема защиты ресурсов активной ВС предназначена для

обеспечения безопасности обработки и хранения информационных ре-
70
сурсов в процессе функционирования вычислительной системы. Данная

подсистема, кроме того, позволяет защитить информацию от хищения и в
пассивном состоянии ВС. Защита информации при этом обеспечивается
за счет организации хранения секретных данных на внешних носителях
только в зашифрованном виде.
Учитывая, что подавляющее большинство угроз ИПО могут быть

реализованы только в процессе функционирования вычислительной сис-
темы, можно сделать вывод, что подсистема защиты программных и ин-
формационных ресурсов активной ВС является основой реализации эф-
фективной защиты ИПО в целом.
В дальнейшем под системой защиты ИПО ВС будем понимать

именно подсистему защиты информационных и программных ресурсов
активной ВС.
Значительного повышения безопасности любого объекта можно до-

стигнуть путем многоуровневого построения системы защиты (см. п. 2.3).
В этом случае реализация любой угрозы сможет воздействовать на за-
щищаемый объект только в случае преодоления всех установленных
уровней защиты.
Кроме того, система защиты информационно-программного обеспе-

чения должна обеспечивать его защиту как от реализации преднамерен-
ных угроз, заключающихся в несанкционированных действиях над ин-
формационными и программными ресурсами ВС, так и от реализации
случайных угроз, заключающихся в некорректных действиях пользовате-
лей и программ.
Под несанкционированным действием пользователя или его про-

граммы понимается выполнение любой из следующих запрещенных ад-
министрацией ВС операций:
♦ несанкционированное чтение или копирование данных;
♦ несанкционированная модификация информации;
♦ несанкционированное копирование, модификация или исследова-

ние программ;
♦ несанкционированный запуск программ.
Под некорректным действием понимается:
♦ разрешенное администрацией действие программы или пользо-

вателя, которое может привести к нарушению целостности хра-
нящихся данных, а также сбоям или отказам программно-
аппаратных средств;
♦ непосредственно сбой или отказ в работе программно-

Исходя из вышесказанного становится понятно, что в многоуровне-

вую структуру системы защиты должны быть включены уровни защиты от
несанкционированных, а также некорректных действий пользователей и
программ (Рис. 3.C).
72
•Защита информации от хищения

•Защита информации от потери Цели защиты
•Защита программ от сбоев и отказов
1
♦Идентификация
♦Аутентификация Уровень защиты от
♦Разграничение доступа несанкционированного Уровни защиты
♦Завершение сеанса работы доступа к ресурсам ВС от несанкциони-
♦Защита от компьютерных (граничный уровень) рованных дейс-
вирусов твий пользова-
2 телей и прог-
♦Защита программ от рамм
копирования, исследования Уровень защиты от
несанкционированного (от реализации
и модификации преднамерен-
♦Шифрование и контрольное использования
ресурсов ВС ных угроз)
суммирование информации
♦Уничтожение остаточных (внутренний уровень)
данных и аварийное уничт-е
1
♦Изолирование участков ОП Уровень защиты от
♦Защита системных областей некорректного исполь-
внешней памяти зования ресурсов ВС Уровни защиты
♦Поддержание целостности и (граничный уровень) от некоррект-
непротиворечивости данных ных действий
2
♦Резервирование информации пользователей
♦Тестирование и Уровень внесения и программ
самотестирование информационной и (от реализации
функциональной случайных
♦Восстановление и
избыточности угроз)
самовосстановление
(внутренний уровень)
♦Дублирование компонентов ВС
Информационно-программное
обеспечение ВС
♦Контроль правильности функционирования

компонентов системы защиты
♦Регистрация и сигнализация
Рис. 3.C. Многоуровневая структура системы защиты ИПО

3.3.1. Защита от несанкционированных действий
Уровни защиты от несанкционированных действий обеспечивают

защиту хранящейся в ВС информации от хищения и потери, а уровни за-
щиты от некорректных действий - защиту информации от потери, а про-
грамм - от сбоев и отказов.
Выполнение любого действия над информационным или программ-

ным ресурсом ВС предполагает последовательную реализацию следую-
щих этапов:
1) осуществление непосредственного доступа к ресурсу (получение

разрешения на доступ или реализация попытки скрытого доступа
в обход установленных полномочий);
2) использование ресурса после успешного доступа к нему для

выполнения над этим ресурсом требуемого действия.
В соответствии с этими этапами для защиты от несанкционирован-

ных действий пользователей и программ определены уровень защиты от
несанкционированного доступа к ресурсам ВС, а также уровень защиты от
несанкционированного использования ее ресурсов (см. Рис. 3.C).
Первый уровень создает препятствия несанкционированному дос-

тупу к ВС и ее ресурсам.
Если злоумышленником (пользователем или программой) преодо-

лен этот уровень защиты, то для выполнения несанкционированных дей-
ствий необходимо преодолеть еще и второй уровень - уровень защиты от
несанкционированного использования информационных и программных
ресурсов ВС. Основная задача второго уровня состоит в том, чтобы сде-
лать невозможным использование ресурса, к которому осуществлен дос-
туп, для выполнения над ним несанкционированных действий. Несанк-
ционированное копирование или чтение информации будет бессмыслен-
ным, если эта информация надежно зашифрована. Контрольное сумми-
рование данных позволяет защитить их от модификации. На этом же
уровне необходима защита и программ от копирования, исследования и
модификации. Кроме того, следует предусмотреть и уничтожение оста-
74
точных данных в областях основной и внешней памяти, а также аварий-

ное уничтожение информации.
3.3.2. Защита от некорректных действий
Защита от некорректных действий пользователей и программ обес-

печивается уровнем защиты от некорректного использования ресурсов, а
также уровнем внесения информационной и функциональной избыточно-
сти ресурсов ВС (см. Рис. 3.C). Эти уровни тесно взаимосвязаны друг с
другом.
Первый обеспечивает защиту от разрешенных действий пользова-

телей и программ, которые могут привести к нарушению целостности хра-
нящихся в основной и внешней памяти данных, а также к сбоям и отказам
в работе программно-аппаратных средств ВС. На этом уровне устраняют-
ся предпосылки нарушения целостности данных, а также возникновения
сбоев и отказов, вызванные некорректным использованием ресурсов ВС.
Второй уровень обеспечивает непосредственную защиту от потери

информации, а также сбоев и отказов компонентов ВС. На данном уровне
защита реализуется с учетом того, что проявлению угрозы потери ин-
формации либо сбоя или отказа программно-аппаратных средств ВС уда-
лось преодолеть первый уровень защиты от некорректных действий.
3.3.3. Связь с концептуальными уровнями защиты от

реализации угроз
Учитывая необходимость наличия в системе безопасности внешне-

го, граничного и внутреннего уровней для защиты от реализации угроз
(см. п.2.3), можно сделать вывод, что уровни защиты от несанкциониро-
ванного доступа к ресурсам ВС и некорректного использования ее ресур-
сов соответствуют граничным уровням защиты от реализаций соответст-
венно преднамеренных и случайных угроз, а уровень защиты от несанк-
ционированного использования ресурсов ВС, а также внесения информа-
ционной и функциональной избыточности - внутренним уровням защиты
от преднамеренных и случайных угроз.
Внешний же уровень защиты как от несанкционированных, так и от

некорректных действий пользователей и программ является уровнем за-
щиты, объединяющим в себе:
♦ функции регламентации, принуждения и побуждения, реализуе-

мые на основе соответственно организационных, законодатель-
ных и морально-этических средств;
♦ функции по разработке качественных программно-аппаратных

компонентов ВС.
Данный уровень предназначен для обнаружения и ликвидации ус-

ловий, порождающих проявление угроз, а также для создания условий,
препятствующих их проявлению.
Представленные на Рис. 3.C уровни защиты тесно взаимосвязаны и

многие их функции пересекаются друг с другом. Общими для всех уров-
ней являются функции контроля правильности функционирования под-
систем защиты, регистрации и сигнализации, которые имеют свои осо-
бенности реализации применительно к каждому защитному уровню.
Построение эффективной системы защиты ИПО возможно только

при полной и эффективной реализации всех уровней защиты от несанк-
ционированных и некорректных действий пользователей и программ, а
также при постоянной поддержке функционирования внешнего уровня,
включающем функции разработки качественных компонентов ВС, регла-
ментации, принуждения и побуждения.
Игнорирование любой функции защиты может привести не только к

значительному снижению, но и полной потере безопасности ИПО. На-
пример, игнорирование функции резервирования информации приводит к
потере данных при их искажении или уничтожении, случившемся по при-
чине некорректных или несанкционированных действий пользователей и
программ.
76
3.4. Функции контроля, регистрации и сигнализации ядра

многоуровневой системы защиты ИПО
Функции контроля правильности функционирования компонентов

системы защиты, регистрации и сигнализации используются на каждом из
уровней системы безопасности (см. Рис. 3.C) и, учитывая необходимость
их интенсивного применения, должны входить в ядро системы защиты
ресурсов активной ВС.
Под ядром любой программной системы принято понимать такие ее

компоненты, активизация которых при передаче им управления должна
проводиться за минимальное время. Такой режим работы называют ре-
жимом реального времени и для его эффективной реализации компонен-
ты ядра должны постоянно находиться резидентными в основной памяти
ЭВМ. Это обеспечивает минимальное время активизации за счет отсутст-
вия необходимости загружать соответствующий программный компонент
с внешних информационных носителей.
Кроме подсистем контроля правильности функционирования

средств защиты, регистрации и сигнализации, в ядро системы защиты
ИПО должны также входить следующие подсистемы:
♦ идентификации и подтверждения подлинности пользователей при

входе в ВС, а также завершения сеансов их работы (выхода из
ВС);
♦ разграничения доступа к ресурсам ВС;
♦ защиты от деструктивных действий компьютерных вирусов;
♦ уничтожения остаточных данных и аварийного уничтожения ин-

формации.
Данные подсистемы будут рассмотрены в других разделах. Здесь

же остановимся на компонентах ядра, используемых на всех уровнях за-
щиты ИПО.
3.4.1. Контроль правильности функционирования

средств защиты
Подсистема контроля правильности функционирования компонен-

тов системы защиты ИПО предназначена для выполнения следующих
двух функций:
♦ контроль состояния основных компонентов системы защиты;
♦ контроль соблюдения правил использования подсистем защиты.
Контроль состояния компонентов системы защиты заключается в

периодической проверке их готовности выполнять свои функции. Если та-
кая периодическая проверка проводиться не будет, то прекращение рабо-
ты каких-либо компонентов системы защиты из-за отказа или по другой
причине не будет своевременно обнаружено и откроется доступ для сво-
бодной реализации соответствующих угроз ИПО.
В простейшем случае программы контроля могут представлять со-

бой только диагностические программы для периодической проверки ра-
ботоспособности программных и аппаратных средств защиты.
Построение эффективных средств контроля состояния компонентов

системы защиты предполагает реализацию следующих функций:
♦ периодический тестовый контроль всех доступных программному

контролю компонентов системы защиты;
♦ непрерывный сбор информации о текущем состоянии средств

защиты;
♦ оценка и прогнозирование степени безопасности информации и

программ в системе;
♦ разработка рекомендаций на использование средств защиты.
Контроль соблюдения правил использования подсистем защиты

должен проводиться после каждого изменения администрацией безопас-
ности параметров конфигурации и настройки системы защиты. В случае,
если при этом обнаружится, что установленные параметры конфигурации
и настройки могут привести к нарушению безопасности ИПО, то подсис-
тема контроля соблюдения правил использования компонентов системы
78
защиты должна автоматически переустановить эти параметры для обес-

печения безопасности ИПО с выдачей соответствующих сообщений ад-
министрации.
3.4.2. Регистрация
Подсистема регистрации представляет собой совокупность средств,

используемых для регулярного сбора, фиксации и выдачи по запросам
следующих основных типов сведений:
1) сведений о всех запросах, содержащих обращения к защищае-

мым ресурсам ВС, а также запросах для входа в ВС и выхода из
нее;
2) сведений о всех действиях пользователей и программ по моди-

фикации данных на внешних информационных носителях.
Первый тип сведений используется в процессе защиты от несанк-

ционированных, а второй - некорректных действий пользователей и про-
грамм.
Основной формой регистрации является программное ведение спе-

циальных регистрационных журналов, представляющих собой файлы на
внешних носителях информации.
При регистрации всех запросов к ВС и ее ресурсам рекомендуется

фиксировать:
♦ время поступления запроса;
♦ идентификатор компьютера (терминала), с которого поступил за-

прос;
♦ содержание сообщения в составе запроса;
♦ реквизиты защиты (полномочия пользователей, пароли, коды,

ключи и др.), используемые при выполнении запроса;
♦ время окончания использования ресурса.
Имея такие сведения в любой момент можно получить статистиче-

ские данные относительно компьютеров (терминалов), пользователей и
программ, запрашивающих доступ, а также сведения о результатах вы-

полнения запросов и характере использования запрашиваемых ресурсов.
При регистрации всех действий пользователей и программ по мо-

дификации данных на внешних информационных носителях следует фик-
сировать все изменения как системной, так и несистемной информации
между непротиворечивыми состояниями файловой структуры и содержи-
мого файлов. Это обеспечивает логическую целостность данных на осно-
ве возможности их восстановления при возникновении сбоев и отказов
программно-аппаратных средств ВС. Например, если при перемещении
файла отказ произойдет между стадиями обновления информации в сис-
темной области и области данных диска, то возникшее противоречивое
состояние файловой структуры без зарегистрированной информации по
модификации данных можно будет устранить только отменой сделанных
действий, что не позволит полностью восстановить перемещаемый файл.
В общем случае регистрационные журналы способствуют решению

таких важных задач, как:
♦ регулирование использования средств защиты в процессе функ-

ционирования ВС;
♦ фиксация всех нарушений правил обращения к защищаемым

ресурсам;
♦ наблюдение за использованием реквизитов защиты (полномочий

пользователей, паролей, ключей и т.д.);
♦ восстановление информации и работоспособности ВС после воз-

никновения сбоев и отказав программно-аппаратных средств;
♦ анализ процесса поддержания безопасности ИПО ВС с целью со-

вершенствования системы защиты;
♦ настройка компонентов системы защиты и других компонентов

ВС, особенно библиотек программ и элементов баз данных в со-
ответствии с частотой их использования.
80
Сам факт ведения регистрационных журналов в ВС оказывает пси-

хологическое воздействие на потенциальных нарушителей, удерживая их
от злоумышленных действий.
3.4.3. Сигнализация
Подсистема сигнализации предназначена для выполнения следую-

щих функций:
♦ своевременное уведомление специалистов службы безопасности

ВС о несанкционированных действиях пользователей и программ,
нарушении работоспособности системы защиты, а также возник-
новении сбоев и отказов в работе программно-аппаратных
средств;
♦ предупреждение пользователей ВС о необходимости соблюдения

предосторожностей при работе с секретными данными.
Первый вид сигнализации осуществляется путем формирования и

выдачи службе безопасности ВС специальных сигналов при обнаружении
несанкционированных действиях пользователей и программ, нарушении
работоспособности системы защиты, а также возникновении сбоев и от-
казов в работе программно-аппаратных средств. Содержание такого сиг-
нала должно включать:
♦ информацию о самом факте наступления соответствующего со-

бытия;
♦ сообщение о месте, времени и характере события;
♦ информацию о пользователях, программах или устройствах,

связанных с возникновением отслеживаемого события.
Сообщение сигнала, выводимое на печать или экран терминала

должно программно регистрироваться в специальном журнале учета и
может сопровождаться звуковым и световым сопровождением.
Для пресечения злоумышленных действий важное значение имеет

выигрыш во времени, необходимый для принятия соответствующих мер.
В то же время, злоумышленник может почувствовать, что его не-

санкционированные действия обнаружены, и, прекратив эти действия, по-
пытаться их скрыть. Если же в целях конспирации принимаемых мер не
реагировать на злоумышленные действия, то может произойти утечка
информации или злоумышленник попытается нарушить работоспособ-
ность системы.
В качестве выхода из такой ситуации предлагается создавать спе-

циальные программы, осуществляющие имитацию нормальной работы с
нарушителем, предоставляя этим самым необходимое время для его за-
держания.
В процессе имитации могут выполняться следующие действия:
♦ увеличение количества вопросов, задаваемых подозреваемому в

диалоговом режиме при выполнении запроса;
♦ искусственная задержка времени перед каждым вопросом, зада-

ваемым подозреваемому;
♦ просьба повторить запуск, мотивируя это тем, что произошел про-

граммно-аппаратный сбой;
♦ выдача подозреваемому сообщения о том, что его запрос принят

и поставлен в очередь.
Основными требованиями к таким программам имитации является

обеспечение требуемого времени работы с нарушителем, не допуская
доступа к секретным сведениям и нарушения работоспособности ВС, а
также естественность. Последнее требование предполагает, что все за-
даваемые подозреваемому вопросы должны быть естественными и
обычными в практике работы данной ВС.
Предупреждение пользователей о необходимости соблюдать пре-

досторожности при работе с секретными данными осуществляется путем
автоматического формирования и присвоения специального признака
(грифа секретности) всем выдаваемым на печать или устройства отобра-
жения страницам документов (форм), содержащих защищаемую инфор-
мацию. При этом, если в защищаемом документе (форме) используется
82
несколько элементов данных с разными уровнями секретности, то гриф

секретности документа (формы) определяется по максимальному уровню.
83
4. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ МНОГОУРОВНЕВОЙ ЗА-

ЩИТЫ ИПО ВС
Построение каждой системы защиты должно осуществляться на ос-

нове индивидуального подхода, учитывающего структуру ВС и исполь-
зуемую технологию обработки данных. Этот подход должен предусматри-
вать следующие базовые этапы (см. п. 1.4).
1. Анализ структуры и принципов функционирования конкретной ВС

с целью определения ее уязвимых элементов.
2. Определение и анализ всех возможных угроз уязвимым элемен-

там ВС и формирование перечня требований к системе защиты.
3. Разработка многоуровневой системы защиты в соответствии с

предъявленными требованиями.
Возможны два основных варианта построения системы защиты

ИПО ВС:
♦ построение недорогой, но достаточно эффективной системы за-

щиты, основанной на общесистемных программных средствах;
♦ построение более дорогой, но соответственно более мощной сис-

темы защиты на основе специализированных программно-
При выборе любого варианта необходимо учитывать, что высокий

уровень безопасности определяется не только потенциальными возмож-
ностями защитных функций, но и качественным сопровождением системы
защиты, которое предполагает:
♦ периодический контроль правильности функционирования всех

подсистем защиты;
♦ постоянный сбор данных о поддерживаемой безопасности

обработки и хранения данных;
♦ анализ накапливаемых данных и разработка, а также осуществ-

ление мероприятий по совершенствованию системы защиты;
84
♦ внедрение новых технологий по защите ИПО ВС.
Только комплексный подход, учитывающий всю совокупность тре-

бований к защите и влияющих на защиту факторов, позволяет обеспечить
требуемую безопасность информации и процесса ее обработки в вычис-
лительных системах.
4.1. Построение системы защиты на основе общесистем-

ных программных средств
Построение системы защиты на основе общесистемных средств

для высокопроизводительных рабочих станций и серверов, функциони-
рующих под управлением таких мощных ОС, как Windows NT, UNIX (клас-
са C2 и выше) не представляет труда, так как эти ОС содержат достаточ-
но эффективные средства реализации каждого из ранее рассмотренных
уровней безопасности.
Остановимся более подробно на особенностях построения недоро-

гой системы защиты для персональных компьютеров, функционирующих
под управлением MS-DOS, Windows 3.11 или Windows 95. При этом для
каждой функции соответствующего защитного уровня будут указываться
рекомендуемые общесистемные утилиты, с помощью которых организу-
ется выполнение данной функции.
Уровни защиты ресурсов персонального компьютера, реали-

зуемые на основе общесистемных средств
Защита от несанкционированного доступа к компьютерным ре-

сурсам (1-й уровень защиты):
♦ подтверждение подлинности пользователей при доступе к компь-

ютеру (утилита BIOS Setup);
♦ разграничение доступа пользователей к секретным логическим
дискам (утилита Нортона Diskreet);
♦ организация трехуровневой защиты от компьютерных вирусов:
П рак тическ ая реализация многоуровневой защиты И П О ВС 85
⇒ 1-й уровень - проверка поступающих извне и лечение зара-

женных программ (детекторы-дезинфекторы DrWeb, Aidstest);
⇒ 2-й уровень - защита от деструктивных действий вирусов

(фильтр Vsafe, входящий в состав MS-DOS);
⇒ 3-й уровень - ежедневное углубленное тестирование компью-

тера на наличие вирусов (ревизор Adinf);
♦ блокирование клавиатуры и гашение экрана компьютера при не-

обходимости временного перерыва в работе (утилита Нортона
Diskreet для MS-DOS; встроенные функции Windows).
Защита от несанкционированного использования компьютерных

ресурсов (2-й уровень защиты):
♦ криптографическое закрытие файлов с секретной информацией

(утилита Нортона Diskreet);
♦ создание закрытых логических дисков и автоматическое расшиф-

ровывание и зашифровывание информации при обращении к
этим дискам после их открытия санкционированными пользовате-
лями (утилита Нортона Diskreet);
♦ уничтожение секретных остаточных данных с дискового простран-

ства (утилита Нортона WipeInfo);
♦ защита файлов от удаления (утилита Нортона Smartcan для MS-

DOS, Windows 3.11; встроенные функции Windows 95);
♦ защита файлов от модификации (ревизор Adinf; фильтр Vsafe,

входящий в состав MS-DOS).
Внесение информационной и функциональной избыточности в

компьютерные ресурсы для защиты от потери информации, а
86
также сбоев и отказов программно-аппаратных средств (уровень

поддержания надежности):
♦ периодическое резервирование файлов и каталогов путем их ар-

хивирования (использование любого архиватора, например, Arj,
Rar и др.) ;
♦ резервирование системной информации, необходимых утилит, а

также создание системной дискеты для восстановления работо-
способности компьютера в случае заражения его вирусом или по-
сле возникновения сбоев и отказов (утилита Нортона Rescue);
♦ периодическое глубокое тестирование оборудования компьютера

для предупреждения его сбоев и отказов (утилита Нортона
NDiags);
♦ диагностирование и устранение логических и физических дефек-

тов дисковой памяти (утилиты Нортона Ndd и Calibrate);
♦ восстановление разметки дискет и корневых каталогов при их

разрушении (утилита Нортона Disktool);
♦ отмена результатов ошибочного форматирования и восстановле-

ние поврежденных файлов данных (утилита MS-DOS Unformat;
утилиты Нортона Image, Unformat, FileFix);
♦ восстановление удаленных файлов (утилита Нортона UnErase

для MS-DOS и Windows 3.11; встроенные функции Windows 95);
♦ восстановление работоспособности компьютера после возникно-

вения сбоев и отказов или заражения вирусами (утилита Нортона
Rescue, зарезервированные этой же утилитой системная инфор-
мация и вспомогательные утилиты; подготовленная системная
дискета; детекторы-дезинфекторы DrWeb, Aidstest).
Особенности использования большинства из указанных утилит бу-

дут описаны в следующих пособиях при рассмотрении соответствующих
защитных функций.
Система защиты, построенная на основе общесистемных про-

граммных средств не обеспечивает необходимый уровень безопасности
при повышенных требованиях к защите информации и процесса ее обра-
ботки. В этом случае для усиления защиты необходимо использование
специализированных программно-аппаратных систем, например, системы
«Кобра».
4.2. Многоуровневая защита информации на основе систе-

мы «Кобра»
4.2.1. Принципы построения системы защиты
Одной из наиболее распространенных и эффективных специализи-

рованных систем защиты для операционных сред MS-DOS/ Windows 3.1и
3.11 является система «Кобра» [9]. Программная реализация данной сис-
темы основана на технологии прозрачной защиты, согласно которой для
пользователя не меняется привычная среда его работы и он не испыты-
вает неудобств, вызванных функционированием защитных средств. Дру-
гими словами, система защиты при функционировании является для
пользователя невидимой.
Базисом технологии прозрачной защиты, реализованной в системе

«Кобра», является метод динамического шифрования конфиденциальной
информации, с которой работает пользователь. Конфиденциальная ин-
формация, записываемая на внешние устройства, подвергается автома-
тическому зашифровыванию по ключу, зависящему от пароля пользова-
теля. При считывании санкционированным пользователем эта информа-
ция автоматически расшифровывается. Такое динамическое шифрование
информации, по причине того, что его не замечает пользователь, назы-
вают прозрачным шифрованием или прозрачным криптографическим
преобразованием.
В системе «Кобра» реализована технология криптозащиты, обеспе-

чивающая повышение как скорости шифрования, так и крипкостойкости
зашифрованных сообщений [8].
88
Повышение скорости шифрования достигается за счет двухэтапной

организации процесса криптографических преобразований, а повышение
крипкостойкости - за счет внесения неопределенностей в алгоритмы
шифрования.
Двухэтапная организация процесса криптографических преоб-

разований
Двухэтапная организация процесса криптографических преобразо-

ваний предполагает следующие две стадии шифрования:
1) настройка криптосистемы под конкретные параметры, зависящие

от исходного ключа (пароля) пользователя;
2) непосредственное шифрование.
На этапе настройки криптографической системы выполняются сле-

дующие действия:
♦ формирование рабочих ключей, используемых при непосредст-

венном шифровании;
♦ настройка криптографических функций непосредственного шиф-

рования;
♦ настройка алгоритмов шифрования, в которых используются

криптографические функции.
Таким образом, в процессе настройки криптосистемы на конкретный

ключ пользователя (пароль), вырабатываются рабочие ключи и деталь-
ный алгоритм шифрования.
Одним из вариантов получения качественных рабочих ключей явля-

ется следующая схема:
1) простое расширение пароля до необходимой длины;
2) рассеивание влияния символов пароля на конечную ключевую

последовательность с помощью шифрования одних частей этой
последовательности ключами, задаваемыми другими частями;
3) наложение порожденного шифра на некоторую случайную после-

довательность, сгенерированную от порождающего значения и
параметров, задаваемых исходным паролем;
4) разбиение полученной ключевой последовательности на рабочие

ключи.
Настройка криптографических функций непосредственного шифро-

вания основана как на выборе конкретных функций, так и на определении
для каждой выбранной функции используемых элементарных операций:
сложения, вычитания и поразрядного суммирования по модулю 2 (опера-
ция XOR).
Настройка алгоритмов шифрования заключается в выборе из биб-

лиотеки криптосистемы в зависимости от исходного пароля конкретных
алгоритмов и очередности их использования.
Стадия настройки криптосистемы на конкретный исходный ключ вы-

полняется один раз для всего сеанса шифрования информации по этому
ключу (для всего сеанса работы пользователя). Программный компонент
для реализации этой стадии вызывается только в начале сеанса шифро-
вания. Этот компонент формирует все необходимые параметры настрой-
ки в области оперативной памяти и, далее, в соответствии с этими пара-
метрами передает управление компоненту непосредственного шифрова-
ния, который в свою очередь для увеличения количества доступных ре-
сурсов освобождает область оперативной памяти, занимаемую компонен-
том настройки.
Компонент непосредственного шифрования в процессе всего сеан-

са работы пользователя находится резидентно в оперативной памяти,
вызывая компонент настройки только для изменения текущих параметров
криптографической системы при смене текущего ключа шифрования.
Внесение неопределенностей в алгоритмы шифрования
Внесение неопределенностей в процесс непосредственного шиф-

рования осуществляется на основе зависимости параметров криптогра-
90
фических преобразований от так называемых параметров неопределен-

ности.
В качестве параметров неопределенности используются:
1) значение текущего ключевого элемента, выбранного из рабочей

ключевой последовательности;
2) значение предыдущего ключевого элемента;
3) номера битов текущего ключевого элемента в общей последова-

тельности битов рабочего ключа;
4) номера битов предыдущего ключевого элемента;
5) значение текущего или предыдущего блока исходного сообщения;
6) значение текущего или предыдущего блока зашифрованного со-

общения;
7) значения отдельных частей текущего или предыдущего блоков

исходного (зашифрованного) сообщения;
8) результаты любого преобразования предыдущего шага зашифро-

вывания.
В качестве параметров криптографических преобразований исполь-

зуются следующие характеристики:
1) элементарные криптографические операции (+, -, XOR);
2) криптографические функции или процедуры;
3) количество циклов шифрования;
4) направление шифрования каждого блока (от начала, от конца);
5) количество текущих ключевых элементов из общего набора рабо-

чих ключей;
6) очередность и типы перестановок при шифровании текущего бло-

ка;
7) виды текущих или следующих параметров неопределенности.

Внесение неопределенностей в процесс криптографических преоб-

разований позволяет достигнуть высокой крипкостойкости зашифрован-
ных сообщений и обеспечивает гарантированную защиту конфиденци-
альной информации от использования несанкционированными пользова-
телями.
4.2.2. Классификация уровней защиты, реализуемых сис-

темой
Уровни подтверждения подлинности
Уровень подтверждения подлинности характеризует стойкость ис-

пользуемого способа аутентификации пользователя при его входе в ком-
пьютерную систему.
Система “Кобра” для каждого пользователя позволяет реализовать

один из следующих уровней подтверждения подлинности:
♦ ввод пароля с клавиатуры;
♦ ввод пароля с дискеты;
♦ вход в систему при условии раздельного ввода независимыми

субъектами двух разных паролей.
Каждый следующий уровень из перечисленных является мощнее

предыдущего. Первые два реализуются подсистемой обеспечения санк-
ционированного доступа. Для реализации третьего уровня необходимо
использовать еще и подсистему закрытия.
При вводе пароля с клавиатуры его длина может достигать 64 сим-

вола, набор которых возможен на трех регистрах, переключаемых с по-
мощью клавиш F1, F2 и F3 (по умолчанию - F1).
Для высокой надежности аутентификации пароли должны быть

длинными и нетривиальными. Но чем длиннее и нетривиальнее пароль,
тем сложнее его запомнить. Поэтому, при формировании труднозапоми-
наемого пароля большой длины система “Кобра” позволяет записать его
на дискету и в дальнейшем использовать эту дискету в качестве элек-
92
тронного аутентификатора для подтверждения подлинности пользовате-

ля. При использовании такого способа аутентификации администратору
службы безопасности необходимо обратить особое внимание на разъяс-
нительную работу среди пользователей о необходимости тщательной со-
хранности дискет с их паролями от похищения.
Кроме возможности использования электронного аутентификатора

“Кобра” позволяет создать ключевую дискету, без которой загрузка опе-
рационной системы на компьютере станет невозможной. В этом случае
появляется возможность организации входа в компьютерную систему
только при условии раздельного ввода двух разных паролей - пароля,
хранящегося на ключевой дискете и пароля, используемого для подтвер-
ждения подлинности.
Уровни разграничения доступа
Уровень разграничения доступа характеризует степень возможной

детализации полномочий пользователей по использованию ресурсов
компьютерной системы (областей дисковой памяти, портов ввода-
вывода).
Система “Кобра” предоставляет следующие возможности по раз-

граничению доступа пользователей к компьютерным ресурсам:
♦ разграничение на уровне логических дисков и портов ввода-

вывода, реализуемое подсистемой обеспечения санкционирован-
ного доступа;
♦ разграничение на уровне файлов и каталогов, реализуемое под-

системой детального разграничения.
Для организации разграничения на уровне логических дисков значи-

тельную помощь может оказать подсистема создания дополнительных
логических дисков. При наличии свободного пространства на жестком
диске данная подсистема позволяет создать дополнительные логические
диски без переразбиения винчестера. Созданные таким образом вирту-
альные логические диски могут использоваться администраторами для
детализации разграничения доступа пользователей к дисковому про-

странству.
Влияние объема защищаемой информации
Для достижения высокой эффективности использования системы

“Кобра” при определении конкретной схемы защиты необходимо учиты-
вать и объемы защищаемых пользователями данных.
Рассмотрим наиболее удобные возможности системы защиты для

малых и больших объемов конфиденциальной информации.
Если объем защищаемых данных конкретного пользователя со-

ставляет небольшое количество файлов (например, до 10), или эти фай-
лы легко специфицируются по шаблону (например, *.sec), то для защиты
этой информации целесообразно использовать подсистему детального
разграничения полномочий доступа или подсистему файлового закрытия
информации.
При использовании подсистемы детального разграничения для за-

щищаемых файлов необходимо установить режим суперзащиты (режим
S), обеспечивающий прозрачное для пользователя шифрование инфор-
мации при обращении к этим файлам.
При использовании же подсистемы файлового закрытия пользова-

телю самому следует в начале своего сеанса работы расшифровать, а
перед окончанием - зашифровать конфиденциальные данные. Для авто-
матизации этого процесса можно воспользоваться макроязыком подсис-
темы файлового закрытия. Перед окончанием сеанса работы необходимо
также позаботиться об уничтожении остаточной информации в отведен-
ных пользователю областях жесткого диска с помощью подсистемы зати-
рания.
Если объем защищаемых данных составляет большое количество

файлов, размещенных в разных каталогах, то для защиты секретных дан-
ных целесообразно использовать возможности подсистемы обеспечения
санкционированного доступа. В этом случае для логического диска с за-
94
щищаемыми данными необходимо установить режим суперзащиты (ре-

жим S), обеспечивающий прозрачное для пользователя шифрование ин-
формации при обращении к этому диску.
Уровни криптографического закрытия защищаемых данных
Уровень криптографического закрытия защищаемых данных харак-

теризует крипкостойкость используемых способов шифрования.
Система “Кобра” поддерживает одинарный, двойной и тройной

уровни криптографического закрытия информации. Каждый следующий из
этих уровней дополняет функции предыдущего.
Одинарный уровень криптографического закрытия реализуется од-

ним из следующих способов:
♦ прозрачным шифрованием информации подсистемой обеспече-

ния санкционированного доступа или подсистемой детального
разграничения после задания для логических дисков или файлов
с секретными данными режима суперзащиты (режима S);
♦ использованием подсистемы файлового закрытия информации

для шифрования файлов с конфиденциальными данными.
Двойной уровень криптографического закрытия реализуется сле-

дующими путями:
♦ совместным использованием для одних и тех же данных двух пе-

речисленных способов шифрования;
♦ усилением одинарного уровня использованием подсистемы за-

крытия для прозрачного шифрования всего пространства жестко-
го диска.
Тройной уровень криптографической защиты реализуется совмест-

ным использованием всех перечисленных способов шифрования.
Необходимо учитывать, что эффективность многоуровневого крип-

тографического закрытия информации будет высокой только в том слу-
чае, если для разных уровней заданы разные ключи шифрования (паро-
ли).
Следует также отметить, что в системе “Кобра” поддерживается ре-

жим гарантированного шифрования информации при ее записи на диске-
ты, реализуемый подсистемой обеспечения санкционированного доступа.
Установка такого режима выполняется администратором путем задания в
полномочиях пользователя режима суперзащиты для дискет. При уста-
новке режима гарантированного шифрования записываемой на дискеты
информации администратору следует позаботиться о подготовке требуе-
мого количества дискет для пользователя, так как другими дискетами он
воспользоваться уже не сможет.
Уровни защиты от обхода системы "Кобра"
Уровень защиты от обхода системы "Кобра" отражает степень за-

щиты от программных закладок, а также несанкционированного измене-
ния настроек операционной среды и самой системы защиты, возможных
при загрузке с системной дискеты.
Система "Кобра" предоставляет четыре усиливающихся варианта

защиты от несанкционированной загрузки с системной дискеты, реали-
зуемые подсистемой закрытия:
первый вариант - с прозрачным шифрованием только загрузочного

раздела жесткого диска (MBR);
следующие три варианта - с прозрачным шифрованием первично-

го, а при необходимости - расширенного раздела винчестера.
Первый вариант в документации назван защитой без использова-

ния, а следующие три - с использованием ключевого диска.
При установке защиты без использования ключевого диска (с

шифрованием MBR) после загрузки с системной дискеты жесткий диск
будет доступен только в том случае, если загрузка осуществлялась с дис-
кеты, специально подготовленной администратором службы БИ. Однако,
данный вариант не обеспечивает защиту от профессионалов, так как по-
96
сле загрузки с обычной системной дискеты доступ к незашифрованной

информации винчестера все-таки возможен, но с помощью низкоуровне-
вых редакторов, и на системном уровне.
Более высокие уровни защиты от несанкционированной загрузки с

системной дискеты реализуются защитой с использованием ключевого
диска, при которой шифруется не только MBR, но и первичный, а при не-
обходимости расширенный разделы винчестера. В этом случае загру-
зиться с системной дискеты для доступа к винчестеру будет возможно
только при наличии сформированного ключа загрузки.
Предусмотрены следующие три усиливающихся варианта защиты с

использованием ключевого диска:
♦ с переносом ключа загрузки с ключевой дискеты на жесткий диск

без задания дополнительного пароля загрузки;
♦ с переносом ключа загрузки с ключевой дискеты на жесткий диск с

заданием дополнительного пароля загрузки;
♦ без переноса ключа загрузки с ключевой дискеты на жесткий диск.
В первом случае для загрузки операционной системы с винчестера,

кроме ввода пароля аутентификации, не нужно выполнять каких-либо до-
полнительных действий, во втором - необходимо ввести дополнительный
пароль загрузки, а в третьем - необходимо наличие ключевой дискеты.
При установке последнего варианта защиты загрузиться с винче-

стера без ключевой дискеты будет невозможно.
Уровни защиты от компьютерных вирусов
Данный признак классификации схем защиты характеризует сте-

пень защищенности компьютерной системы от несанкционированных са-
морепродуцирующихся программ.
Использование системы "Кобра" совместно с общесистемными про-

граммными средствами позволяет реализовать следующие взаимодопол-
няющие уровни защиты от компьютерных вирусов:
1) уровень обнаружения факта заражения вирусом и восстановле-

ния рабочей среды, реализуемый с помощью подсистемы под-
держания целостности рабочей среды компьютера;
2) уровень анализа на наличие вирусов и восстановления посту-

пающих извне программных средств, реализуемый с помощью
доступного детектора-дезинфектора, например, DrWeb или
AidsTest;
3) уровень защиты от деструктивных действий компьютерных виру-

сов, реализуемый с помощью доступного фильтра, например,
Vsafe, входящего в состав MS-DOS начиная с 6-й версии.
При поддержке первых двух уровней обеспечивается высокая, но не

максимальная степень защиты. Максимальной степени защиты от компь-
ютерных вирусов можно достигнуть только при одновременной поддержке
всех трех перечисленных уровней.
На первом уровне обеспечивается:
♦ периодическая (при каждой загрузке компьютера и каждом кор-

ректном завершении сеанса работы) проверка соответствия те-
кущего состояния рабочей среды эталонному состоянию, сфор-
мированному администратором;
♦ восстановление эталонного состояния рабочей среды при обна-

ружении несоответствий.
Для данного уровня защиты следует особое внимание обратить на

то, чтобы запоминание эталонного состояния рабочей среды выполня-
лось только после тщательной проверки компьютера детектором-
дезинфектором и восстановления его нормального состояния при обна-
ружении признаков заражения вирусами.
На втором уровне защиты администратор должен организовать

проверку детектором всех поступающих извне программных средств. За-
раженные программы должны быть восстановлены дезинфектором или
уничтожены при невозможности восстановления.
98
В качестве обязательных деструктивных действий, контролируемых

фильтром на третьем уровне защиты, администратор должен опреде-
лить следующие:
♦ низкоуровневое форматирование диска;
♦ размещение в памяти резидентной программы;
♦ модификация исполняемого файла;
♦ модификация загрузочных секторов винчестера и дискет.
Уровни защиты от модификации информации
Уровень защиты от модификации информации характеризует воз-

можность по определению фактов несанкционированной модификации
системных и несистемных данных винчестера. Этот вид защиты реали-
зуется подсистемой поддержания целостности рабочей среды компьюте-
ра, с помощью которой обеспечивается периодическая (при каждой за-
грузке компьютера и каждом корректном завершении сеанса работы), а
также специально инициируемая проверка заданной текущей информа-
ции винчестера на соответствие эталонной. Для несистемной информа-
ции в качестве эталонных данных используются контрольные суммы.
Предусмотрены следующие функции по определению фактов не-

санкционированной модификации информации:
♦ проверка системных данных (содержимого CMOS-памяти, MBR,

Config.sys, Autoexec.bat, системных файлов DOS);
♦ проверка заданных исполняемых файлов;
♦ проверка заданных файлов данных.
Первые две функции подсистемы поддержания целостности рабо-

чей среды компьютера используются также для защиты от компьютерных
вирусов с целью обнаружения фактов изменения вирусами системных
данных и заданных исполняемых файлов.
При организации проверки заданных информационных файлов не-

обходимо учитывать, что после каждого санкционированного изменения
этих файлов следует обновлять и соответствующую им эталонную ин-

формацию (эталонные контрольные суммы).
Уровни защиты от несанкционированного доступа к информа-

ции при оставлении компьютера без завершении сеанса рабо-
ты
В системе "Кобра" предусмотрена возможность блокировки клавиа-

туры, мыши и экрана компьютера по тайм-ауту при отсутствии признаков
активности пользователя. Кроме того, пользователь может принудитель-
но заблокировать клавиатуру, мышь и экран на время оставления компь-
ютера без присмотра.
После любого способа блокировки вход в систему возможен только

после ввода пароля, специально заданного для разблокирования.
Все перечисленные функции реализуются с помощью подсистемы

блокировки.
Без использования подсистемы блокировки перед каждым оставле-

нием компьютера необходимо корректно завершить сеанс работы путем
активизации подсистемы окончания работ.
Уровни ограничения доступа пользователей к дискетам
Данный уровень отражает возможности по ограничению для каждо-

го пользователя числа дискет, которые можно использовать на компьюте-
ре.
Предусмотрены два варианта по ограничению доступа каждого

пользователя к дискетам, реализуемые подсистемой обеспечения санк-
ционированного доступа:
♦ режим ограничения отключен;
♦ режим ограничения включен.
Включение режима ограничения осуществляется заданием админи-

стратором в полномочиях пользователя режима суперзащиты (режима S)
100
для накопителей дискет. В этом случае будет осуществляться прозрачное

шифрование как системной, так и несистемной информации при обраще-
нии к дискетам. В результате станет возможна работа только с теми дис-
кетами, которые специально подготовлены администратором.
Уровни защиты от доступа к остаточной информации
Уровень защиты от доступа к остаточной информации характеризу-

ет степень защищенности от хищения секретной остаточной информации
на винчестере.
Общеизвестно, что после удаления файлов средствами

MS DOS/Windows обновляется только информация в FAT и соответст-
вующих каталогах. Область данных же на диске остается без изменения
до ее затирания другой информацией. Оставшиеся на диске данные по-
сле удаления файлов и каталогов называют остаточной информацией.
В системе "Кобра" предусмотрены следующие возможности по за-

щите от доступа к остаточной информации, реализуемые подсистемой
затирания:
♦ полное удаление файловой информации на физическом уровне;
♦ очистка свободного пространства на диске от остаточной инфор-

мации.
Администратору службы безопасности необходимо уделить особое

внимание на разъяснительную работу среди пользователей о строгом
выполнении одного из следующих правил:
♦ удаление файлов с секретными данными необходимо выполнять

только с помощью подсистемы затирания;
♦ перед окончанием сеанса работы необходимо активизировать

подсистему затирания для уничтожения остаточной информации
на задействованных в процессе работы логических дисках.
Следует заметить, что если доступ к конфиденциальной информа-

ции реализуется в режиме суперзащиты, то открытая остаточная инфор-
мация не появляется. Поэтому, в этом случае защита от доступа к оста-

точной информации не нужна.
Уровни защиты от несанкционированных действий санкциони-

рованных пользователей
Данный уровень характеризует возможности системы "Кобра" по

недопущению и обнаружению несанкционированных действий санкциони-
рованных пользователей. Предоставляются следующие взаимодопол-
няющие функции по поддержке данного уровня защиты:
♦ регистрация и учет всех заданных действий пользователей раз-

личных категорий с помощью подсистем регистрации и учета;
♦ использование командной оболочки, отображающей и предостав-

ляющей пользователям различных категорий только те возмож-
ности, которые соответствуют их полномочиям.
Сам факт регистрации является мощным психологическим препят-

ствием для попыток совершения пользователями несанкционированных
действий, так как они понимают, что эти действия будут обнаружены.
Кроме того, регистрируемые данные значительно облегчают процесс
анализа причин случившегося несанкционированного доступа к инфор-
мации и позволяют оптимизировать используемую политику безопасно-
сти, а также схему защиты.
При организации регистрации и учета работ администратор должен

обязать всех пользователей корректно завершать свои сеансы работы
путем активизации подсистемы окончания работ. Данная подсистема,
кроме запуска процесса проверки текущего состояния рабочей среды
компьютера на соответствие эталонному, активизирует процесс отметки в
журнале регистрации времени окончания сеанса работы соответствующе-
го пользователя.
Использование командной оболочки, отображающей и предостав-

ляющей пользователям компьютерные ресурсы, соответствующие поль-
зовательским полномочиям, позволяет скрыть сам факт наличия ресур-
102
сов, доступ к которым запрещен, что также оказывает положительное

влияние на снижение попыток несанкционированного доступа.
Уровни защиты от потери информации
Уровень защиты от потери информации отражает возможности по

резервированию данных, хранимых и обрабатываемых в компьютере.
Для эффективной защиты от потери информации необходимо обес-

печить выполнение следующих функций по резервированию данных:
♦ резервирование системной информации (содержимого CMOS-

памяти, MBR, Config.sys, Autoexec.bat, системных файлов DOS),
реализуемое подсистемой поддержания целостности рабочей
среды компьютера;
♦ резервирование несистемных данных (файлов с документами,

файлов баз данных, файлов с электронными таблицами и т.д.),
реализуемое доступными архиваторами (ARJ, RAR и др.) или
встроенными средствами DOS/Windows, например, обычным ко-
пированием.
Резервные копии системных данных необходимо сбросить на дис-

кету с помощью подсистемы поддержания целостности рабочей среды. С
помощью данной подсистемы выполняется и восстановление соответст-
вующей системной информации. На дискете с резервными системными
данными обычным копированием необходимо разместить также резерв-
ные копии файлов настройки Windows, имеющих расширение .INI, а также
.GRP. Файлы Config.sys, Autoexec.bat, *.ini, и *.grp необходимо резерви-
ровать после каждого изменения настроек операционной среды с помет-
кой даты, времени, а также причин их обновления. Старые версии анало-
гичных файлов в архивах резерва удалять не следует. Такая тактика по-
зволяет значительно ускорить процесс восстановления работоспособно-
сти компьютера или ранее используемых параметров его настроек.
Файлы с несистемной информацией можно резервировать как на

дискеты, так и на магнитные ленты.
Администратору службы безопасности необходимо постоянно на-

поминать пользователям о необходимости резервирования своих данных
и обновления архивов после модификации информации перед окончани-
ем сеанса работы. Необходимо также обратить внимание на то, чтобы
конфиденциальная информация резервировалась только в закрытом
(зашифрованном) виде.
104
Литература
1. Герасименко В.А. Защита информации в автоматизированных си-

стемах обработки данных.- В 2-х кн.- М.: Энергоатомиздат. - 1994.
2. Гроувер Д. Защита программного обеспечения.- М.: Мир. -1992.
3. Зима В.М., Ломако А.Г. Автоматизированный испытательный

стенд// Управляющие системы и машины. - Киев. - 1995.- N 3. - C. 57
- 63.
4. Зима В.М., Ломако А.Г. Технология многомодельного исследо-

вания программ// Электронное моделирование. - 1994.- C.61-67.
5. Казакова Л.Н. Безопасность информационных технологий. - СПб.:

ВИККА им. А.Ф.Можайского. - 1995.
6. Липаев В.В. Качество программного обеспечения. - М.: Финансы и

статистика. - 1983.
7. Мафтик С. Механизмы защиты в сетях ЭВМ: Пер. с англ. - М.:

Мир.- 1993.
8. Молдовян А.А., Молдовян Н.А., Молдовян П.А. Принципы по-

строения программно-ориентированных криптосистем с неопреде-
ленным алгоритмом// Управляющие системы и машины. - Киев. -
1995. - N 1/2. - С.49-56.
9. Молдовян А.А., Молдовян Н.А., Молдовян П.А. Программная реа-

лизация технологии прозрачной защиты ЭВМ// Управляющие систе-
мы и машины. - Киев. - 1996. - N 4/5. - C.38-47.
10. Основы обеспечения безопасности данных в компьютерных сис-

темах и сетях/ Большаков А.А., Петряев А.Б. и др. - СПб.: ВИККА им.
А.Ф.Можайского. - 1995.
11. Расторгуев С.П. Программные методы защиты информации в

компьютерах и сетях. - М.: Яхтсмен. - 1993.
12. Спесивцев А.В., Вегнер В.А. и др. Защита информации в персо-

нальных ЭВМ. - М.: Радио и связь. - 1992.
13. Стенг Д., Мун С. Секреты безопасности сетей. - Киев: «Диалекти-

ка». - 1995.
14. Сяо Д. и др. Защита ЭВМ: Пер. с англ. - М.: Мир.- 1982.
15. Уолкер Б. Дж., Блейк Я.Ф. Безапасность ЭВМ и организация их

защиты: Пер. с англ. - М.: Связь. - 1980.
16. Хоффман Л. Современные методы защиты информации: Пер. с

англ. - М.: Сов. Радио. - 1980.
17. Шураков В.В. Обеспечение сохранности информации в системах

обработки данных. - М.: Финансы и статистика.- 1985.
18. Щербаков А.Е. Защита от копирования. - М.: Эдем. - 1992.

Зима В.М., Молдовян А.А. - Многоуровневая Защита Информационно-программного Обеспечения Вычислительных Систем - 1997

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Зима В.М., Молдовян А.А. - Многоуровневая Защита Информационно-программного Обеспечения Вычислительных Систем - 1997

Загружено:

Авторское право:

Доступные форматы

В.М.ЗИМА, А.А.

Утверждено в качестве учебного пособия

ВОЕННАЯ ИНЖЕНЕРНО-КОСМИЧЕСКАЯ КРАСНОЗНАМЕННАЯ

УДК [681.324+681.3.067] (075.8)

Рассматриваются концептуальные основы много-

Рецензент: В.Н.КУСТОВ, доктор технических наук, профессор

Подписано в печать 20.03.97 Формат 60х84 1/16. Печать офсетная.

1. ВВЕДЕНИЕ В ПРОБЛЕМУ ЗАЩИТЫ ИНФОРМАЦИИ И ПРОЦЕССА

1.1. Предпосылки уязвимости информационно-программного

1.2. Факты, характеризующие остроту проблемы защиты..................... 9

1.3. Основные этапы развития концепции защиты .............................. 12

1.4. Сущность защиты............................................................................. 14

1.5. Содержание системного подхода к защите ................................... 17

2. ПУТИ И СРЕДСТВА КОМПЛЕКСНОЙ ЗАЩИТЫ ИПО ВС................. 23

2.1. Структура и принципы функционирования современных ВС....... 23

2.4. Классификация методов и средств комплексной защиты ............ 48

2.5. Методы защиты программно-аппаратными средствами ВС ........ 54

3.1. Организационная структура системы комплексной защиты ........ 62

3.2. Функции управляющего компонента системы комплексной защиты

3.3. Многоуровневая структура системы защиты ресурсов активной

4.1. Построение системы защиты на основе общесистемных

4.2. Многоуровневая защита информации на основе системы «Кобра»

Широкое распространение средств вычислительной техники, увели-

Необходимость защиты информации от хищения определяется тем

Действия как людей так и создаваемых ими программ основаны на

Программное обеспечение будет эффективно выполнять свои

Существует много публикаций по защите ИПО ВС. Одна часть из

Совершенство всегда находится в точке баланса между крайностя-

Все сложное состоит из простого, в котором есть главное и второ-

1. ВВЕДЕНИЕ В ПРОБЛЕМУ ЗАЩИТЫ ИНФОРМАЦИИ И

1.1. Предпосылки уязвимости информационно-

С начала появления и использования вычислительной техники про-

Сущность проблемы защиты ИПО ВС в общем виде сводится к то-

Четко обозначаются следующие виды угроз ИПО:

♦ подверженность информации физическому уничтожению или ис-

♦ возможность несанкционированной или случайной модификации

♦ возможность несанкционированного получения информации ли-

♦ возникновение сбоев и отказов в работе программных и аппарат-

Можно выделить следующие особенности ВС, которые по мере

♦ возрастание степени автоматизации обработки данных в ВС;

♦ возрастающая важность и ответственность решений, принимае-

♦ большая концентрация и широкая территориальная расположен-

♦ повышение интенсивности циркуляции информации между ком-

♦ увеличивающаяся сложность программного обеспечения;

♦ интеграция в единых базах данных информации больших объе-

♦ долговременное хранение данных на внешних носителях

♦ непосредственный и одновременный доступ к ресурсам ВС боль-

Учитывая данные особенности можно сделать вывод, что по мере

♦ широким возрастающим распространением средств вычисли-

♦ увеличением объема хранимой и обрабатываемой в ВС инфор-

♦ ростом сложности вычислительных систем и технологий по

Поэтому проблема защиты ИПО ВС становится все более актуаль-

1.2. Факты, характеризующие остроту проблемы защиты

О том, что в области защиты ИПО сложилась тревожная ситуация

♦ несанкционированное копирование и модификация информации;

♦ составление и распространение несанкционированных программ

♦ хищение внешних носителей информации;

♦ несанкционированное подключение к узлам вычислительной сети;

♦ маскировка под зарегистрированного пользователя;

♦ сбои и отказы в работе критичного программного обеспечения;

♦ саботаж с целью нанесения ущерба, например, умышленная пор-

Приведем некоторые примеры.

В 1995 году 18-летний Владимир Левин из Санкт-Петербурга, закон-

обнаружила несанкционированное проникновение лишь спустя несколько