Безопасность информации
С 27 по 29 октября в Санкт-Петербургском государственном техническом университете прошла очередная общероссийская научно-практическая конференция на тему "Методы и технические средства обеспечения безопасности информации". Ее организаторы - Санкт-Петербургский государственный технический университет, Комитет по науке и высшей школе Администрации Санкт-Петербурга, Гостехкомиссия, Академия криптографии, Московский инженерно-физический институт, Военная инженерно-космическая академия им. А.Ф.Можайского и Военная академия связи. Проводит конференцию Региональный учебно-научный центр информационной безопасности при СПбГТУ. Работа на конференции была организована по следующим секциям: "Современные теоретические и практические вопросы информационной безопасности", "Защищенные операционные системы", "Криптография", "Телекоммуникационные и технические средства обеспечения информационной безопасности", "Правовые вопросы и подготовка кадров". В фойе актового зала были развернуты стенды.
Технический прогресс обладает одной неприятной особенностью. В каждом его достижении таится нечто, ограничивающее его развитие и на каком-то этапе обращающее его достижения не во благо, а во вред.
Жизнь современного общества немыслима без повсеместного применения информационных технологий. Компьютеры обслуживают банковские системы, управляют самолетами и космическими кораблями, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов. Компьютерные системы и телекоммуникации предопределяют надежность и мощность систем обороны и безопасности страны. Однако степень внедрения информационных технологий в жизнь современного общества ставит общество в зависимость от их безопасности и надежности. Не безопасность информационных технологий является одним из основных аргументов консервативных оппонентов их активного внедрения. Действительно, широкое распространение популярных дешевых компьютерных систем массового изготовления делает места их использования чрезвычайно уязвимыми по отношению к деструктивным воздействиям. Примерами нанесенного вреда как материального, так и морального, полны общие и специализированные издания, а также Интернет. В "КИ", 18-19, стр. 25 был опубликован материал под заголовком "Невеселая картина". Согласно данным отчета U.S. General Accounting Office под заголовком "Serious Weaknesses Place Critical Federal Operations and Assets at Risk" утверждается, что в сетях 24 крупнейших федеральных государственных организаций США обнаружены слабые места. Среди обследованных организаций - министерства финансов, обороны, социальной защиты. В защите их информации обнаружено множество дыр.
Наиболее часто встречающейся проблемой был доступ неавторизованных пользователей к важным данным и системам. Например, Министерство финансов сообщило о происшествиях в сети таможенной службы, которые могут нанести ущерб торговле, управлению финансами и соблюдению законов. В 1997 году Министерство здравоохранения (отвечающее за данные о 38 млн пациентов) сообщило о неадекватной защите конфиденциальной информации по части пациентов. Министерство социальной защиты, которое в 1997 году отвечало за распределение $390 млрд выплат для 50 млн жителей США, имело схожие проблемы с защитой своей информации. У Министерства авиации недостатки в защите информации касались безопасности полетов.
И, как утверждается в отчете, этим уже воспользовались. Согласно опубликованному в марте исследованию Института компьютерной безопасности и ФБР в 64% из 520 частных и общественных организаций за последний год были нарушения режима безопасности. И это на 16% больше, чем год назад. Были, например, зафиксированы случаи незаконного съема информации по оплате налогов и продажи этой информации.
Современная доктрина поддержания национальной безопасности исходит из положения, что информационные конфликты будут доминировать в 21-м веке. Специфика России состоит в том, что при решении задач защиты информации приходится опираться на импортную технику, оснащенную иностранным программным обеспечением, которое может содержать средства скрытого информационного воздействия и разрушения. Поэтому проблема построения надежной защиты, опирающейся на "ненадежные" аппаратную и программную составляющие, является для России актуальной. На данной конференции предлагались основные результаты исследований в области методов и средств обеспечения информационной безопасности.
По результатам конференции были приняты следующие решения. Приводим выдержки из них.
1. Обратиться в Министерство общего и профессионального образования РФ и к организациям, представленным в оргкомитете, с просьбой расширить статус конференции до ежегодной общероссийской и учесть в подготовке следующее.
1.1. Считать основным направлением работы конференции следующие наиболее актуальные проблемы:
1.3. В рамках конференции создать рабочую группу, которая будет формулировать и подготавливать "Словарь терминов и определений по безопасности компьютерных систем". <...>
6. Продолжить обсуждение направлений подготовки и содержания специальных дисциплин по специальности 22.06.00 "Технология и организация защиты информации", 22.07.00 "Комплексное обеспечение информационной безопасности автоматизированных систем" со специализациями "Технология обеспечения информационной безопасности банковских систем" и "Обеспечение безопасности распределенных информационных систем" магистерского плана 552850, разработанных в СПбГТУ и обмен опытом с другими вузами.
В газетной заметке невозможно даже кратко перечислить темы докладов. Мы остановимся на нескольких темах, а всем заинтересовавшимся специалистам рекомендуем обратиться к д.т.н., проф. Зегжде Петру Дмитриевичу, зав. каф. "Информационная безопасность компьютерных систем", директору специализированного центра защиты информации по e-mail zeg@ssl.stu.neva.ru или по тел. (812) 552-6489.
Обзор современной ситуации, выводы и рекомендации содержатся в докладе П.Д.Зегжды "Основные направления развития средств обеспечения информационной безопасности".
Среди прочитанных на конференции докладов большой интерес вызвали работы по квантово-криптографическим системам, которые представили авторы Коржик В.И., Корольков А.В., Кушнир Д.В., Мартынов С.С., Шаповалов А.В. С точки зрения авторов, анализ состояния исследований в области криптографических протоколов позволяет прогнозировать возрастание их удельного веса в общем объеме исследований по криптографии. Это обусловлено, в частности, широким внедрением безбумажных технологий документооборота, что приводит к снижению эффективности традиционных административных мер контроля над распространением информации, и требует создания адекватного криптографического обеспечения мер информационной безопасности.
Привлекательность квантовых криптографических протоколов в том, что, в принципе, их можно применять для решения всего спектра задач, при которых работают "классические" протоколы, а также в их высокой безопасности, которая не зависит от вычислительных возможностей нарушителя. В основе квантовых реализаций криптографических протоколов лежат фундаментальные законы квантовой механики. С одной стороны, это обеспечивает их стойкость в сравнении с "классическими" криптографическими протоколами, а с другой - существуют специфические угрозы их безопасности из-за ряда потенциально реализуемых квантовых технологий.
Исследования в области криптографических протоколов направлены на определение условий успешного выполнения конкретных протоколов "честными" корреспондентами, а также на выявление возможных угроз безопасности информации, которой обладает "честный" корреспондент при взаимодействии с нарушителем. Предметом исследования являются и методы защиты от указанных угроз.
Развитие квантовой криптографии создало условия для реализации даже традиционных услуг шифрования, если у корреспондентов отсутствуют общие секретные ключи. А это в свою очередь расширило возможности построения квантовых реализаций криптографических протоколов.
Последнее время в России активно развиваются телекоммуникационные технологии, в том числе и столь не дешевая, как ATM. Обсуждение широкополосных сетей связи на технологии ATM перешло из научных статей в стадию практической реализации. Например, в Петербурге в компании ПетерСтар уже функционируют коммутаторы ATM. Особенности криптографической защиты информации в сетях ATM рассматривались в докладе А.Н.Назарова, М.В.Симонова, В.М.Пьянкова, А.А.Субботина. Как известно, криптографическая защита информации, передаваемой в сетях связи с технологией ATM, может строиться на двух базовых методах - абонентском и линейном. В докладе рассмотрены возможности обоих методов с учетом специфики архитектуры сетей и используемых в них протоколов. Приведены их достоинства и недостатки, даны рекомендации по использованию с различной аппаратурой. Авторы доклада не рекомендуют применять линейное шифрование для транспортной сети, но отмечают в качестве положительного момента, что при линейном шифровании закрывается вся информация, в том числе и информация управления сетью связи, а также интенсивность обмена информацией между пользователями, которая в ряде случаев является дополнительным демаскирующим признаком. Поэтому линейное шифрование может использоваться в сетях доступа в комбинации с абонентским.
Основным достоинством абонентского шифрования является возможность использования на начальном этапе эксплуатации сетей ATM имеющихся средств криптографической защиты информации. Ограничением служат жесткие требования к показателям семантической и временной прозрачности сетей ATM для гарантии качества обслуживания пользователей.
Вопросы аппаратной защиты информации рассматривались в докладе В.С.Заборовского, В.Н.Кирпичева, Е.В.Королева, посвященном многофункциональному сетевому процессору для управления трафиком и разграничения доступа к информационным ресурсам в компьютерных сетях. Наша газета неоднократно рассказывала об этой разработке ("КИ", 5, 1998, стр. 29).
Авторами Д.П.Зегждой, А.М. Ивашко, А.В.Федоровым П.Г.Степановым. были представлены результаты разработки отечественной защищенной операционной системы, а также методы создания систем обработки закрытой информации на основе защищенной ОС и распространенных приложений. Авторы разработки исходили из того, что попытки внедрения продуктов, не совместимых с распространенными средствами обработки информации, заранее обречены на неудачу. Поэтому разработчикам пришлось решить две противоречивые задачи:
В ближайших номерах "КИ" планирует опубликовать подробный рассказ об отечественной защищенной ОС, разработанной в центре защиты информации СПбГТУ.
Интерес специалистов вызвал доклад докт. физ.-мат.наук, член.-корр. Академии криптографии А.А.Грушо и канд. физ.-мат. наук Е.Е.Тимониной "Использование скрытых статистических каналов для атак и защиты информационных технологий". Авторы предлагают рассмотреть скрытую возможность нарушения безопасности при использовании существующих методов шифрования. Статья А.А.Грушо опубликована в сб. "Дискретная математика", т.10, вып.1, стр.3-9.
Как было сообщено на только что прошедшем в Петербурге конгрессе
"Телекоммуникации в аспекте национальной безопасности"
в составе ФСБ создано Управление информационной и компьютерной безопасности.
К сведению читателей приводим извлечения из УК РФ, относящиеся к данной
теме.
Глава 28. Преступления в сфере компьютерной информации
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.