1.2 Структура ВС и принципы ее функционирования Ниже рассматривается общая концепция обеспечения объектов ВС ресурсами и услугами, которая порождает проблемы, связанные с функционированием ВС и возможными угрозами вторжения. Потребность обеспечения надежности вычислительных услуг, целостности, конфиденциальности и доступности приводит к целесообразности включения функции защиты в число обязательных функций ВС. Введем ряд понятий, относящихся к защитеВС. Определение 1.1 /DEMO77/. Целостность ресурсов ВС предполагает выполнение следующих условий: а) все ресурсы ВС всегда доступны пользователям независимо от надежности технического или качества программного видов обеспечения, а также несанкционированных действий (защита от потери данных); б) наиболее важные ресурсы всегда доступны независимо от попыток их разрушения (защита от разрушения данных). Определение 1.2 /MUFT87/. Защита (безопасность) ресурсов ВС означает, что все операции с этими ресурсами выполняются по строго определенным правилам и инструкциям. Определение 1.3 /ISO85/. Право владения ресурсами ВС есть право отдельных субъектов ВС распоряжаться принадлежащей им информацией (имеется ввиду ее сбор, хранение, использование и распространение). Эти три основные характеристики функционирования сети (целостность, безопасность и право владения ресурсами) составляют основу надежности среды, поддерживаемой ВС. Дополняя их такимихарактеристиками, как устойчивость к отказам, верифицируемость, робастность, производительность и т.п., можно сформулировать общую концепцию надежности ВС. Определение 1.4 /RUSH86/. Надежность ВС - это уверенность в функционировании компонентов, ресурсов и выполнении возлагаемых на нее функций; сеть, в которой надежность переходит в качество предоставляемых услуг, может быть названа ВС с гарантией услуг, причем качество услуг включает обеспечение доступа к ВС в произвольный момент времени и правильность функционирования. Чтобы рассмотреть защиту объектов и ресурсов ВС, необходимо оценить и проанализировать среду угроз /VARA86/, т.е. множество возможных точек вторжения, возможные виды угроз, характер информации, подвергающейся угрозам. 1.2.1. Модели вычислительных сетей /VARA86/ ВС в общем случае включает разнообразные типы ЭВМ, сети передачи данных, коммуникационные подсистемы, устройства связи, межсетевые интерфейсы (шлюзы). Модель ВС, содержащей ЭВМ базы данных, связной процессор, контроллер терминалов, а также узлы коммутации пакетов, показана на рис.1.1. БАЗА ДАННЫХ Ё Ё Рабочая ЭВМ Ё Ё Ё Ё ЛВС Связной Ё(локальная процессор ----->Ёвычислител. Ё Широполосный Ё Ёсеть) Ё канал Ё Ё (10-500 Кбод) Ё Ё Межсетевой Ё ---------------------->интерфейс Ё Ё (шлюз) Ё Ё Узел База коммутации --------------------> данных пакетов Ё Телефонный Ё канал (1-10 Кбод) Ё Концентратор Ё Ё Ё Контроллер терминалов Ё Ё-----------------------------------T Ё Ё Ё Терминал Терминал . . . Терминал Рис. 1.1. Обобщенная модель вычислительной сети. Ее можно расширить, добавив другие устройства, например локальные терминалы ЭВМ, терминалы специального назначения, каналы цифровой связи и т.п. Другая модель ВС, в которую кроме элементов ВС включены источники угроз и проблемы защиты, показана на рис. 1.2 /WARE67/. Отметим, что сети могут быть очень сложными и содержать широкий спектр вычислительных ресурсов - от одиночных устройств до связок неоднородных ЭВМ или групп ЭВМ, функционирующих в условиях множественных полномочий. Соответственно и типы систем защиты могут изменяться в широких пределах в зависимости от состава ВС. Однако методы защиты должны быть пригодны для широкого круга применений. 1.2.2. Защита ВС Большое число различных компонентов, операций, ресурсов и объектов ВС создает весьма ривлекательную среду дляразличного рода вторжений и несанкционированных операций. Это означает, что защита становится важным аспектом функционирования любой сети. Что касается проблем защиты и особенно прав владения, то они требуют специального рассмотрения по следующим причинам /HEIJ85/: * Сетевая структура приводит к росту сложности вычислительной системы. Становится невозможным контроль всех объектов и операций в ВС в каждый момент времени. Сетевая структура вычислительной системы в большей степени подвержена различного рода вторжениям и ошибочным действиям. * Возрастающая сложность определяется следующими факторами: ВС представляет географически распределенную систему, возможно выходящую за пределы границ страны. Сеть может объединять различные устройства и средства управления, использовать различные типы компьютеров и операционных систем, включать в состав большое число объектов. * В недалеком будущем ВС станут неотъемлемой частью жизни общества. Неправильное функционирование ВС может вызвать гибельные последствия для правительств, общества, бизнеса и отдельного гражданина (стоит лишь задуматься о последствиях неправильного функционирования электронной почты или банковской службы). * При включении в сеть бытовых персональных компьютеров существенно возрастает нагрузка из-за огромного числа индивидуальных пользователей. Ситуация, когда большое число пользователей одновременно обращается к одним и тем же данным, может создать угрозу праву владения сетью, поскольку достаточно легко выявить, какие новости интересуют ту или иную личность, с кем он общается, какую информацию разыскивает и т.п.. Излучение Излучение Ё Излучение Перехват Ё Отводы Ё Излучение Ё Отводы Ё Ё Ё Ё Ё Ё Ё Ё Ё ПерехватЁ Ё Ё Ё Ё Ё Ё --------- -------------------------------------ЁПроцессорЁ------ Линии -----Ё Центр Ё Ё---------Ё------ связи -----ЁавтоматическойЁ Ё->Ё Ё . -----Ёкоммутации Ё Ё Ё---------Ё---------------------Ё--------------Ё___ Ё Ё Ё Ё Ё Ё Аппаратура Ё Файлы Ё Ё Ё Ё Ё Ё (Кража, Ё Ё Оператор Ё Системный Ё копирова- Ё Аппаратура Ё програмист ______ Удаленные ние, не- Ё Ё Ё терминалы санкцио- Ё_ Программное Ё Ё нированный обеспечение Ё Доступ доступ) Ё Пользователь Инженер по эксплуатации Оператор - может заменить защищенный монитор на незащищенный или имеющий только входы Системный программист - нарушает защиту программного обеспечения. Обеспечивает себе право входа в систему. Выявляет механизмы защиты. Программное обеспечение - попытки преодолеть защиту. Управление доступом. Идентификация пользователя. Управление ограничениями. Инженер по эксплуатации - нарушает защиту технических средств. Использует автономные утилиты для доступа к файлам и входа в систему. Доступ. Попытки получить копию (пишущая лента, валик принтера и т.п.). Неточности, вызванные действиями пользователей с низким уровнем полномочий. Пользователь. Идентификация. Подтверждение подлинности. Искусная модификация программного обеспечения. Рис.1.2. конфигурация вычислительной системы с распределенными ресурсами с указанием возможных угроз и проблем защиты /WARE67/. * По мере того как данные накапливаются в файлах, а сети становятся общедоступными, все чаще возникает потребность в операциях объединения нескольких независимых файлов. Однако такая операция может иметь драматические последствия для права владения пользователя. * Можно исходить из предложения, что существует угроза искажения информации в любой точке ВС, начиная от места ввода сообщения в сеть до места назначения. В частности, информация наиболее подвержена угрозе при передаче по линиям связи. Защита информации на всех стадиях передачи по сети должна прежде всего касаться содержания сообщения. Соответствующие технические средства защиты (такие, как электронные замки, средства предупреждения, схемы защиты операционной системы и пароли) должны быть поддержаны вычислительной установкой, чтобы ограничить доступ к вычислительной системе, но если меры оказываются труднопреодолимыми, это начинает привлекать внимание потенциальных злоумышленников. 1.2.3. Классификация вторжений в ВС /VARA86/ Злоумышленник при вторжении в ВС может использовать как пассивные, так и активные методы вторжения. При пассивном вторжении нарушитель только наблюдает за прохождением информации по линии связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. Как правило, злоумышленник выполняет анализ потока сообщений (трафика), фиксируя пункты назначений и идентификаторы, или только факт прохождения сообщения, его длину и частоту обмена, если содержимое сообщения нераспознаваемо. При активном вторжении нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильное или неправильное сообщение, удалить, задержать или изменить порядок следования сообщений. Злоумышленник может также аннулировать или задержать все сообщения, передаваемые по сети: такое вторжение равносильно отказу в передаче сообщений. Все виды вторжений предполагают, что существует связь между двумя объектами. Первоначальное соединение устанавливается с соблюдением всех правил защиты, проверкой подлинности участников и контролем продолжительности соединения. Вторжение в процедуру инициализации соединения предполагает подмену текущей процедуры установления связи другой, предварительно скопированной. Такое вторжение называется ложной инициализацией соединения. В общем случае пассивные вторжения новозможно выявить, но их легко предотвратить, в то время как активные вторжения легко выявить, но невозможно предотвратить. Существуют и другие проблемы, связанные с функционированием ВС. Одни связаныс обеспечением целостности /DEMO77, CHAM75/, другие с удовлетворением требований, содержащихся в определениях 1.1,1.2, или противодействия вторжениям, показанным на рис.1.2. Концепция защищенной ВС рассмотрена в разд.1.3, где систематизированны и структурированы различные операции, требования и проблемы защиты ВС и на этой1 основе построены определения защищенных ВС. В заключение обсудим концепцию распределенных систем. Такие системы возникают и рассматриваются как вычислительная среда будущего, и проблемы их защиты заслуживают внимания. Распределенную систему целесообразно представлять как совокупность логически связанных функциональных компонентов /MUFT78/, а не как множество произвольно объединенных вычислительных систем. Такого же взгляда придерживается и Европейская омиссия по коммуникациям /СОММ86/. Точное определение распределенной вычислительной системы приведено в гл.7 и предполагает новые определения архитектуры и операционной среды. Авторы предложений /СОММ86/ утверждают, что одной из главных проблем в будущей работе является архитектура. Поэтому в первую очередь должны быть изучены возможные архитектуры будущих распределительных систем, обеспечивающие наиболее эффективную реализацию ситем связи. С этим тесно связаны и общие подходы к применению распределенных структур, а также концепции их реализации. Такие исследования следовало бы выполнять, не учитывая многочисленных ограничений на структуры коммуникаций и их пропускных способностей, характерных для сегодняшнего дня. Как следствие новых архитектурных подходов, возникают проблемы, связанные с отличием распределенных операционных систем для ВС, применяемых в настоящее время. Необходимо также изучение вопросов конфигурации, установки, контроля и управления распределенными системами, которые сами должны рассматриваться как совокупности распределенных компонентов. Распределение системы, конечно, определяют новые требования к коммуникационным связям (например, связи одного со многими), тем самым расширяя современные, весьма ограниченные концепции. Существуют некоторые специфические проблемы применения распределенных систем; например проблема различных носителей информации для систем сбора и обмена сообщениями, а также проблема реализации интерактивных средств связи для передачи смешанных сообщений, объединяющих текст, графику и звук, что предполагает использование каналов передачи с чрезвычайно широкой полосой пропускания и реализацию высокоэффективных протоколов передачи данных. Влияют ли количественные параметры (очень большое число объектов, ширина полосы пропускания и т.п.) на структуру каналов связи будущих систем? Целесообразны ли эти исследования и другие связанные вопросы? Сейчас неясно, каково будет влияние каналов связи с широкой полоской пропускания на организацию процедур связи в распределенных системах. Схемы управления разделением системных ресурсов и выполнения процедур восстановления, активно обсуждаемые применительно к традиционным ВС, могут оказаться совершенно иными в будущих распределенных системах, когда ограничение на объем обмениваемых данных перестанет рассматриватьсякак ограничивающий критерий при проектировании коммуникационных процессов. Из этой концепции следует, что в распределенной вычислительной системе взаимосвязь ресурсов и операций, а также обеспечение достоверности и защиты объектов, данных, программ, системных компонентов и т.п. будут иметь первостепенное значение. Без этого успешное функционирование распределенных систем невозможно.