Факторы, определяющие технологическую безопасность информационных систем, основные проблемы ее обеспечения. Показатели технологической безопасности систем. Оперативные методы повышения безопасности функционирования программных средств и баз данных.
Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности: необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки; необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации). Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств: целостность - информация, на основе которой принимаются решения, должна быть достоверной и точной, защищенной от возможных непреднамеренных и злоумышленных искажений; доступность (готовность) - информация и соответствующие автоматизированные службы должны быть доступны, готовы к работе всегда, когда в них возникает необходимость; Так сложилось, что основное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от злоумышленных разрушений, искажений и хищений программных средств и информации баз данных.Наиболее полно безопасность ИС характеризует величина ущерба, возможного при проявлении дестабилизирующих факторов и реализации конкретных угроз безопасности, а также среднее время между проявлениями угроз, нарушающих безопасность. Однако описать и измерить в достаточно общем виде возможный ущерб при нарушении безопасности для критических ИС разных классов практически невозможно, поэтому реализации угроз целесообразно характеризовать интервалами времени между их проявлениями, или наработкой на отказы, отражающиеся на безопасности. Различие состоит в том, что в показателях надежности учитываются все реализации отказов, а в характеристиках безопасности следует регистрировать только те отказы, которые отразились на безопасности. Реальные исходные данные могут иметь значения, отличающиеся от заданных техническим заданием и от использованных при тестировании программ и баз данных, в результате чего функционирование последних трудно предсказать заранее и вероятны различные аномалии, завершающиеся отказами. При длительности восстановления, меньшей заданного порога, аномалии при функционировании программ следует относить к сбоям, а при восстановлении, превышающем по длительности пороговое значение, происходящее искажение соответствует отказу.В результате сложность программ и баз данных, а также доступные ресурсы становятся косвенными критериями или факторами, влияющими на выбор методов разработки, на достигаемое качество и безопасность ИС. Целесообразно разделять ресурсы, необходимые для непосредственного решения основных функциональных задач ИС, и ресурсы, требующиеся для обеспечения безопасности функционирования ПС и БД. В различных ИС ресурсы на обеспечение надежности и безопасности могут составлять от 5-20% до 100-300% от ресурсов, используемых на решение функциональных задач, то есть в особых случаях (критические военные системы) могут превышать последние в 2-4 раза. В большинстве гражданских систем средства обеспечения безопасности обычно требуют 5-20% всех видов ресурсов. Рациональное распределение специалистов на решение достаточно локализуемых функциональных задач и выделение группы, осуществляющей комплексирование и отладку функциональных программ, а также средств обеспечения безопасности, может значительно повысить эффективность технологического процесса.Для этого разрабатываются и применяются методы оперативного обнаружения дефектов при исполнении программ и искажений данных путем введения в них временной, информационной и программной избыточности. Для обеспечения высокой надежности и безопасности функционирования ПС и БД необходимы вычислительные ресурсы для максимально быстрого обнаружения проявления дефектов, возможно точной классификации типа уже имеющихся и вероятных последствий искажений, а также для автоматизированных мероприятий, обеспечивающих быстрое восстановление нормального функционирования ИС. Неизбежность ошибок в сложных ИС, искажений исходных данных и других аномалий приводит к необходимости регулярной проверки состояния и процесса исполнения программ, а также сохранности данных. Временная избыточность состоит в использовании некоторой части производительности ЭВМ для контроля исполнения программ и восстановления (рестарта) вычислительного процесса. Такие данные обычно характеризуют некоторые интегральные сведения о внешнем управляемом процессе и в случае их разрушения может прерваться процесс управления внешними объектами или обработки их информации, отражающийся на безопасности ИС.Однако исследования и практика обеспечения безопасности при наличии внутренних аномалий ПС и БД значительно отстают от работ по защите ИС от внешних злоумышленных угроз. В связи с этим при создании критических ИС используются ПС и БД, содержащие различные дефекты проектирования, значительно снижающие безопасность их применения. Для обеспечения технологичес
План
Содержание
1. Основные факторы, определяющие технологическую безопасность информационных систем. Проблемы обеспечения технологической безопасности информационных систем
2. Показатели технологической безопасности информационных систем
3. Ресурсы, необходимые для обеспечения технологической безопасности информационных систем
4. Оперативные методы повышения безопасности функционирования программных средств и баз данных
Выводы и рекомендации
1. Основные факторы, определяющие технологическую безопасность информационных систем. Проблемы обеспечения технологической безопасности информационных систем
Вывод
Степень влияния внутренних, непредумышленных дефектов и факторов на безопасность ИС в ряде случаев может быть не меньше, чем внешних факторов. Однако исследования и практика обеспечения безопасности при наличии внутренних аномалий ПС и БД значительно отстают от работ по защите ИС от внешних злоумышленных угроз. В связи с этим при создании критических ИС используются ПС и БД, содержащие различные дефекты проектирования, значительно снижающие безопасность их применения. Для обеспечения технологической безопасности критических ИС необходимо комплексное исследование и разработка эффективных методов и средств, предупреждающих и выявляющих дефекты, а также удостоверяющих безопасность использования программ и баз данных и оперативно защищающих функционирование ИС при проявлениях внутренних аномалий.
Для каждого вида программ и баз данных их качество отражается особым набором упорядоченных показателей, которые необходимо уметь измерять и сравнивать. Основным показателем качества любых программ является их функциональная пригодность для решения задач, определенных в техническом задании или в спецификации. Для ИС реального времени доминирующими показателями качества являются надежность и безопасность их функционирования в реальной внешней среде. Некоторые другие показатели качества могут также становиться определяющими в зависимости от требований технического задания.
Высокое качество ИС достигается при определенных затратах на их разработку. Значительную долю в них составляют затраты на отладку и испытания ИС, особенно в системах реального времени. Анализ факторов, влияющих на затраты ресурсов при создании ПС и БД, позволяет рационализировать их использование и добиваться заданного качества при минимальных или допустимых затратах. Одним из наиболее эффективных методов снижения затрат на разработку и испытания высококачественных ПС является многократное использование апробированных компонент и сборка из них версий ПС и БД с новыми характеристиками.
Для обеспечения технологической безопасности ИС должны быть организованы и стимулированы разработка, освоение и применение современных, автоматизированных технологий и средств, обеспечивающих исключение или предупреждение многих видов дефектов и ошибок при создании и модификации критических ИС. Разработка и сопровождение сложных ПС и БД на базе CASE-технологий позволяет устранять наиболее опасные системные и алгоритмические ошибки на ранних стадиях проектирования, а также использовать неоднократно проверенные в других проектах программные и информационные компоненты высокого качества. Процесс разработки должен планироваться и последовательно проходить ряд этапов, охватывающих все компоненты ИС с учетом реальных условий. Контроль качества создаваемых и модифицируемых ПС и БД должен сопровождать весь жизненный цикл ИС посредством достаточно автономной технологической системы обеспечения их качества и безопасности последующего применения. Предупреждение ошибок должно поддерживаться высококачественной документацией в процессе создания ПС и БД, используемых в критических ИС.
Для обнаружения и устранения ошибок проектирования все этапы разработки и сопровождения ПС и БД должны быть поддержаны методами и средствами систематического, автоматизированного тестирования. На этапах разработки ИС целесообразно применять различные методы, эталоны и виды тестирования, каждый из которых ориентирован на обнаружение, локализацию или диагностику определенных типов ошибок.
Безопасность применения ПС и БД непосредственно зависит от полноты комплектов тестов и адекватности генераторов тестов реальным объектам внешней среды и условиям эксплуатации. Следует учитывать, что сложность и трудоемкость создания полноценных тестов и процессов тестирования соизмеримы с непосредственной разработкой программных и информационных компонент критических ИС. Регистрация выявленных дефектов и обобщение их характеристик может служить базой для оценки достигнутого уровня надежности и безопасности ПС и БД. Планирование, контроль процессов и выполненных объемов тестирования, а также рациональное распределение ресурсов на его проведение, позволяет достигать необходимой безопасности применения критических ИС при допустимых затратах.
Непредсказуемость вида, места и времени проявления дефектов ПС и БД в процессе эксплуатации приводит к необходимости создания специальных систем оперативной защиты от непредумышленных искажений вычислительного процесса, программ и данных. Системы оперативной защиты предназначены для выявления и блокирования распространения негативных последствий проявления дефектов и уменьшения их влияния на безопасность функционирования ПС и БД без устранения их первичных источников. Для этого в критические ИС вводится временная, программная и информационная избыточность, осуществляющая оперативное обнаружение аномалий, их идентификацию и автоматическое восстановление нормального функционирования ИС. Необходимая надежность и безопасность ПС и БД обеспечиваются за счет средств повышения помехоустойчивости, оперативного контроля и восстановления функционирования программ и баз данных. Эффективность такой защиты зависит от используемых методов, координированности их применения и выделяемых вычислительных ресурсов на обеспечение безопасности ИС.
Обеспечение безопасности ИС при сопровождении и развитии версий ПС и БД имеет ряд особенностей, обусловленных локальным характером внесения изменений, созданием только части новых компонент и тщательной апробацией предшествующих версий. Поэтому выбор методов, видов и средств автоматизации сопровождения ориентируется преимущественно на проверку новых и модернизированных компонент и их взаимодействия с неизменявшейся частью версии ПС или БД. Эти методы поддерживаются средствами конфигурационного управления. Благодаря этому эффективно используется программный и информационный задел, увеличивается длительность жизни программных средств и баз данных, непрерывно совершенствуются их функции и повышается качество.
Для обеспечения безопасности использования импортных ПС и БД следует закупать только лицензионно чистые продукты, поддерживаемые гарантированным сопровождением конкретных фирм-поставщиков. В контрактах на закупку должны специально фиксироваться обязательства поставщиков по длительному сопровождению и замене версий ПС и БД при выявлении дефектов. Использование легальных версий ПС и БД солидных зарубежных фирм, распространяющих свои изделия в разных странах, значительно снижает риск злоумышленных внедрений вирусов или "закладок", угрожающих безопасности их применения в нашей стране.
Только совместное применение всего арсенала средств обеспечения алгоритмической и программно-технологической безопасности позволяет достигать высокого качества и безопасности программ и баз данных, необходимых для их применения в критических системах управления и обработки информации..
Список литературы
1. Л. Дж. Хоффман - Современные методы защиты информации - М.: Сов. радио, 1980
2. В. А. Герасименко - Защита информации в автоматизированных системах обработки данных. Книги 1 и 2 - М.: Энергоатомиздат, 1994. Республиканский н.-т. совет по направлению Информатизация России, НИИ Квант - Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России - М., 1992
3. Р. М. Юсупов , Б. П. Пальчун - Безопасность компьютерной инфосферы систем критических приложений. - Вооружение. Политика. Конверсия - М., 1993, # 2, с.52-56, # 3, с. 23-31.
4. Parnas - Software aspects of strategic defense systems - Communications of the ACM , 1985, v. 28, n 12. p. 1326-1335 Информатика и вычислительная техника. Научно-технический сборник - М.: ВИМИ , 1994 # 2-3
5. Владимир Галатенко - Информационная безопасность - обзор основных положений - JETINFO, 1-3, 1996
Размещено на .ru
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
