ЧАСТЬ ЧЕТВЕРТАЯ. ПРОБЛЕМА НЕВИДИМОСТИ

20(1).2. Защита от явных угроз

Наши дела, как наши дети: они живут и действуют независимо от нашей воли.

Джордж Элиот.

Явная угроза предполагает, что за ней последуют определенные действия, наносящие информационной системе ущерб. Но раз последуют реальные физические действия, то это означает, -что существует потенциальная возможность препятствовать этим действиям и защищаться от них, используя различные направления организации защиты. На эту тему написано достаточное количество литературы, поэтому в данной работе кратко будет высказана лишь собственная точка зрения на организацию подобной защиты и на алгоритм ее функционирования.

Что чисто теоретически возможно сделать, чтобы защититься от агрессора?

1) поставить барьер между собой и источником опасности;

2) скрыться от опасности за пределы ее достигаемости;

3) уничтожить источник опасности;

4) спрятаться или видоизмениться до неузнаваемости; стать другим.

Насколько данное множество полно? И каким образом может быть доказана полнота? Ответы на эти вопросы, безусловно, представляют теоретический интерес, но для практики вряд ли что могут дать; тем более, что в реальной жизни информационная система применяет весь комплекс способов защиты, да и сами способы взаимно дополняют друг друга.

Безусловно, в идеале было бы полезно определить влияние каждого из способов на защищенность или на качество функционирования защитного механизма. Понятно, что для каждого набора входных данных существует своя оптимальная стратегия защиты. Проблема в том, чтобы узнать, каким именно будет этот входной набор данных.

Поэтому, защищающемуся субъекту, для того чтобы уцелеть, недостаточно владеть всеми четырьмя способами. Ему надо уметь грамотно сочетать все названные способы с теми событиями, которые на него обрушиваются или способны обрушиться. Таким образом, мы выходим на "остановку задачи по организации защиты со следующими входными данными:

1) множество способов защиты;

2) методы прогнозирования;

3) механизм принятия решения, использующий результаты прогнозирования и имеющиеся способы защиты.

Система защиты лежит на пересечении методов прогнозирования и способов защиты; чем хуже работает механизм прогнозирования, тем более развитыми должны быть способы защиты и наоборот.

Схематично алгоритм функционирования системы защиты можно попытаться представить в виде рис.4.2.

Рис. 4.2. Алгоритм работы системы защиты.

По алгоритму рис. 4.2 от явных угроз защищается любая система: отдельно взятый человек, государство, мафиозная структура, банк и т.п.. При этом, безусловно, что полнота реализации блоков и наполненность баз данных для каждой системы свои.

Спроецировать приведенную схему в практические системы защиты государства, фирмы, человека достаточно просто, аналогии напрашиваются сами собой.

Для государства: 
Прогнозирование внешних событийразведка
Прогнозирование внутренних событийминистерство внутренних дел
Первый способ защиты (броня)граница (пограничные войска)
Второй способ защиты (изменение места)министерство внутренних дел
Третий способ защиты (уничтожение)армия
Четвертый способ защиты (внесение изменений)пропаганда, диверсии, террор (МИД, СМИ, спецслужбы и т.п.)
Блок принятия решенийправительство
Блок занесения информации в БДаналитические службы


Для фирмы: 
Прогнозирование внешних событийинформационная служба
Прогнозирование внутренних событийрежимная служба
Первый способ защиты (броня)территориальные ограждения, охрана, сейфы, замки и т.п.
Второй способ защиты (изменение места)наличие параллельных центров для управления и хранения информации, капиталов и т.п.
Третий способ защиты (уничтожение)административные меры: увольнение собственных сотрудников; экономические: уничтожение конкурентов (ценовая политика и т.п.)
Четвертый способ защиты (внесение изменений)идеологическая служба: психологическая обработка собственных сотрудников, создание нужного имиджа через СМИ и т.п.
Блок принятия решенийруководство фирмы
Блок занесения информации в БДаналитические службы

Спроецировать сказанное на человека предоставим читателю. Если распространить сказанное на отдельно взятого человека, то получится довольно занимательная схема, в основном отражающая работы типа "Как выжить в ...".

Более интересно, так как никто этого еще не пробовал (ни природа, ни человек), попытаться перенести названные выше принципы построения системы защиты в область защиты программного обеспечения и предложить Функциональную структуру для программных систем защиты автоматизированных информационных систем (АИС).

В приложение к проектированию программной системы зашиты сказанное означает, что данная система должна состоять из следующих блоков

1) Блок контроля окружающей среды и самой системы защиты. При этом контроль должен быть направлен не только на контролирование текущего состояния системы, типа подсчета контрольных сумм и т.п. Контролироваться должны команды, выполнение которых предполагается в ближайшем будущем, т.е. речь идет о контроле опасных событий будущего (контроль должен осуществляться в режиме эмуляции команд, на которые предполагается передать управление) [76].

2) Блок парольной защиты всей системы и отдельных ее элементов включая криптографические способы защиты (способ 1), а также контроля целостности.

3) Блок периодического изменения месторасположения элементов защитного механизма в АИС (способ 2). Предполагается, что основные исполняемые файлы, ответственные за реализацию механизма прогнозирования и всех способов защиты, должны самостоятельно мигрировать в вычислительной среде (менять диски, директории, компьютеры) и изменять свои имена.

4) Блок уничтожения "незнакомых" программных объектов, "уборки мусора". Тем самым осуществляется восстановление заданной среды (способ 3 - "убить незнакомца"). Вырожденный вариант этого способа - всем хорошо известные механизмы принудительного восстановления целостности среды.

5) Блок самомодификации исполняемого алгоритма и кода (подробнее см. [76]).

Что же касается практических механизмов реализации сказанного, то они, как ни странно, уже есть. Осталось только их свести в единую комплексную систему.

Это приемы создания самомодифицированного кода, что характерно для компьютерных вирусов последних поколений, которые не содержат неизменных байтовых цепочек, позволяющих идентифицировать исполняемый код. Полное изменение исполняемого кода становится возможным благодаря наличию в командах процессора взаимозаменяемых команд или их последовательностей.

Это Госты шифрования и способы их программной реализации широко освещенные в периодических изданиях.

Это парольные входы для защиты программ и данных от НСД, часто используемые программистами.

Это всевозможные электронные ключи (Touch Memory), рекламируемые чуть ли не в каждом компьютерном издании. И все же главное здесь - средства прогнозирования, алгоритмы выявления опасных функциональных зависимостей во входном материале, заставляющем систему переходить из одного состояния в другое.

Чтобы обосновать неизбежность включения в систему защиты АИС средств прогнозирования, напомним читателю историю развития программных средств контроля за работой ПЭВМ [76]. Толчком появления первых программ из рассматриваемой области, безусловно, стал вирусный бум. Как средство защиты от вирусов на рынок программных средств в свое время было поставлено множество программ, перехватывающих соответствующие прерывания и анализирующих входные параметры функций "открытие файла", "запись". При этом в случае выявления намерения осуществить запись в любой исполняемый модуль на диске (файлы ЕХЕ и СОМ форматов), вычислительный процесс программами-стражниками прерывался, на экран выдавалось сообщение типа: "Попытка записи в файл... Разрешить - да. Запретить - любая клавиша". После этого пользователь лично принимал решение.

Подобные средства защиты, несмотря на излишнюю надоедливость, не умерли, а продолжали совершенствоваться, правда, в основном по линии информирования своего хозяина. Чтобы не "фонить" на экране, все сообщения скидывались в файл. Программист на досуге всегда имел возможность их просмотреть.

На этом этапе был получен следующий результат: если средства контроля отвлекают пользователя от основной работы, то такие средства ему не только не нужны, но и порой вредны.

Преодоление указанного недостатка виделось по пути "интеллектуализации" программного продукта, включения в него механизмов принятия решения с элементами искусственного интеллекта. Одним из вариантов практической реализации подобного подхода являются экспертные и самообучающиеся системы.

В изложенном материале, исследуя подходы к организации защиты информационной системы от явных угроз, основной упор делался на прогнозирование опасности и приведение в действие одного из первых трех названных выше способов защиты:

1) постановка барьера между собой и источником опасности;

2) уход от опасности за пределы ее достигаемости;

3) уничтожение источника опасности;

4) видоизменение до неузнаваемости.

Что же касается четвертого, то этот способ вызывает аргументированное возражение на предмет возможности считать видоизменение способом защиты.

Действительно, представим, что некая система А постоянно применяет четвертый способ для защиты от опасности. Тогда возникают резонные вопросы: После k применения этого способа к самой себе, что останется от системы А? Сохранится ли система А? Или теперь следует вести речь совсем другой системе?

В свете сказанного интересно вспомнить, что у представителей некоторых первобытных племен после достижения ими определенного возраста происходит смена имени. Выглядит подобное переименование вполне логично, человек достиг совершеннолетия, изменились его функции и возможности, по сути своей он стал другим, поэтому ему следует поменять имя.

Обычай изменять имя при перемене среды обитания или функциональных обязанностей сохранился и до наших дней. Смена фамилии происходит у женщины, когда она выходит замуж или меняет мужа. Уход человека от мира в монастырские кельи также требует изменения имени, потому что система стала по иному функционировать.

Даже смена должности в производственной структуре предполагает, что у индивидуума, ее занимающего, будут изменены функции в соответствии с требованием должностных инструкций.

Более того, порой бывает, что новая личина, одетая на информационную систему, и, как следствие, новые ее действия полностью перечеркивают все то, чему данная система служила ранее.

Так можно ли считать видоизменение способом защиты?

Сохраняется ли в этом бесконечном изменении преемственность? И что считать преемственностью, когда система сегодняшняя готова растоптать себя вчерашнюю, а вчерашняя еще вчера клялась сражаться с подобными себе сегодня до конца своей жизни? Так может быть ее жизнь уже закончилась, раз она перестала сражаться?

Если требования внешней среды сводятся к гибели системы, то реакция системы на эти требования в виде ее полного видоизменения разве не является разновидностью той же самой гибели? Отсюда, кстати, можно перейти к парадоксальному выводу о том, что видоизменение это не способ самозащиты, а способ самоуничтожения.

Может быть поэтому в нормальном человеческом обществе принято с неуважением относиться к людям, изменившим своим принципам. Ситуация здесь выглядит примерно так: изначальный человек уже мертв, но кто-то другой

продолжает пользоваться отставленным им физическим телом. А кто он эта другой и что можно от него ожидать?

Самообучающаяся информационная система потому и самообучающаяся, что постоянно живет в тонусе перемен, постоянно изменяется. Постоянных изменения - это частичный отказ от себя вчерашнего, что часто обозначается термином умирание по отношению к себе исходному. Новые знания в силу неизбежного изменения структуры системы, их принимающей, несут смерть этой системе.

Психология bookap

В виду спорности вопроса об отношении самомодификации к способам защиты системы, наверное, нецелесообразно рассматривать самомодификацию как защиту, по крайней мере, от внешних явных угроз, ибо в этой ситуации четко просматривается, что именно внешние явные угрозы и осуществляют модификацию, т.е. по существу осуществляют замену системы, их неустраивающей, на другую, с которой можно иметь дело.

Но сказанное не означает, что видоизменение не может выступать в качестве способа защиты от скрытых угроз. О том, каким образом подобное возможно, пойдет речь в дальнейшем.