 |
Контроль и тестирование в системе обеспечения безопасности
|
|
|
|
Контроль и тестирование самой системы обеспечения безопасности являются важнейшими задачами при обеспечения безопасности информации. Как и ранее решение этих задач мы будем искать применительно к информационным системам, в качестве которых рассмотрим:
1) исполняемый код системного программного обеспечения (операционную систему);
2) человека;
3) государство.
Задача заключается в разработке метода выявления скрытно внедренных средств в управляющие механизмы вышеперечисленных информационных самообучающихся систем.
Начнем наше исследование с системного программного обеспечения. Оно характеризуется отсутствием в явном виде механизмов самообучения. Самообучение возможно здесь только в союзе с разработчиком при смене версии в сторону увеличения ее номера. Конкретный же исследуемый алгоритм не способен к самомодификации, к самостоятельной генерации дополнительных, отсутствующих ранее функций. Он способен только в соответствии с заданной ранее спецификацией и созданной разработчиками документацией отрабатывать закрепленные за ним задачи[22].
Проверку того, что программа должна выполнять, с тем, что она реально выполняет, принято называть тестированием.
Тестирование кода в чем-то аналогично проверке на профессиональную пригодность принимаемого на работу сотрудника. Оно позволяет понять насколько объект соответствует предъявляемым к нему требованиям, но не позволяет ответить на интересующий нас вопрос: А нет ли в нем умело скрытых паразитных, с нашей точки зрения, включений, которые, будучи активизированными в определенный момент, сделают данный объект опасным для системы?
В чем-то аналогичную работу по отношению к людям проводят кадровые службы при допуске человека в управляющие структуры или к информации, имеющей статус государственной тайны. Надо признать, что в отличие от центров сертификации программного обеспечения, здесь выработана хоть какая-то схема, ориентированная на поиск именно скрытых включений. В данном случае имеются в виду следующие приемы:
|
|
|
1) проверка на наличие контактов, во время которых могло быть осуществлено скрытое заражение со стороны противника;
2) проверка на «детекторе лжи»;
3) проверка на наличие психических отклонений.
Что интересно, названные приемы не дают и не могут дать 100%-ой гарантии в том, что изучаемый объект заражен или не заражен. В чем тогда смысл всей этой работы?
Понятно, что данная служба целесообразна только тогда, когда на основании вышеперечисленных проверок можно не только сделать вероятностные выводы, но и, самое главное, принять решение о допуске или отказе в допуске к государственной тайне, к системе управления страной или предприятием.
Если же рекомендации кадровой службы не принимаются во внимание или накладывается запрет на проведение ею соответствующих проверок, то это неизбежно приводит к ослаблению уровня безопасности.
Тогда надо либо вообще отказываться от подобного рода служб, либо вводить какие-то субъективные измерительные шкалы, устанавливать такие же субъективные границы допуска и в обязательном порядке принимать к исполнению получаемые рекомендации.
Кстати, в мире существуют страны, где кадровая служба носит чисто бутафорский характер, где пропуском служит либо набитый кошелек, либо родственные отношения; в тоже время есть и такие государства, где вход в святая святых — систему управления, сопряжен с обязательными проверками и с обязательным исполнением полученных рекомендаций. Выбор первого или второго варианта определяется теми целями, которым служит конкретное государство и персонажи, находящиеся у власти.
|
|
|
Для программного обеспечения, которое явно много проще человека, нет научно обоснованных проверок и рекомендаций по поиску закладок, а для людей, работающих в государственных структурах, есть. Однако, в соответствии с принципом преемственности всегда можно попытаться приемы из социального мира, приемы, годящиеся для защиты государства, спроецировать в мир ЭВМ.
Что же тогда получится?
Итак, начнем с проверки на наличие контактов, в ходе которых возможно скрытое заражение. Для программного обеспечения данная проверка заключается в минимизации контактов предполагаемых к использованию программ и данных с какими бы то ни было людьми ли, организациями ли. Желательно, чтобы продукт поступал непосредственно от разработчика напрямую. В том случае, если программное обеспечение предполагается использовать в сфере управления государством (в сфере обеспечения безопасности) идеальным вариантом была бы разработка его коллективом, которому государство может доверять, т.е. коллективу, который сам прошел соответствующую кадровую проверку. Тогда данное программное обеспечение можно было бы назвать «доверенным». Именно это, кстати, утверждал в 1983 году лауреат премии Тьюринга К.Томпсон: «До какой степени можно полагаться на утверждение, что программа не содержит «троянских коней»? Возможно, более важно — полагаться на людей, написавших эту программу».
Если Заказчик полагается на Исполнителя, тогда все остальные проверки (за исключением общепринятого тестирования) являются избыточными.
Рассматривать программный продукт в отрыве от его производителей в корне неверно еще и потому, что нельзя из потока версий одной и той же программы выделить одну. Они только все вместе образуют ту систему, которой свойственно самообучение, в которой существует обратная связь через пользователей и разработчиков. Продукт плюс разработчик — вот основные составляющие того, что принято называть программным обеспечением.
В любом случае, если речь идет о проверке программного обеспечения на наличие паразитных включений, проверяться должны люди, его разработавшие или разрабатывающие. В ситуации, когда коллектив, чье программное обеспечение предполагается использовать, не может быть проконтролирован государственными структурами, надо сразу ставить жирную точку и не заниматься пустой деятельностью, называемой сертификацией, и требующей отвлечения серьезных интеллектуальных сил и материальных средств.
|
|
|
Прежде чем ответить на вопрос: Что означает термин «детектор лжи» в приложении к программному обеспечению? — исследуем принципы функционирования «детектора лжи» применительно к выявлению тайн человека. Здесь и далее понятие «детектор лжи» имеет несколько расширенную трактовку, под «детектором лжи» понимается алгоритм работы некоего человеко-машинного комплекса, позволяющий организовать информационное взаимодействие с исследуемым объектом таким образом, чтобы в процессе этого взаимодействия выявлять наличие у исследуемого объекта скрытых знаний по определенной теме. При этом алгоритм работы детектора лжи во многом опирается на принципы хранения и извлечения данных из памяти. У такой самообучающейся системы, как человек, для поиска данных привлекаются все возможные ассоциативные связи, во многом обусловленные эмоциональными переживаниями.
У компьютера эмоциональных переживаний пока нет и поиск в его базах определяется соответствующими индексами и указателями. Достаточно сложно на сегодняшнем уровне развития программного обеспечения предложить для ЭВМ те методы проверки, которые разработаны К.Г.Юнгом и замечательно обыграны в рассказе К.Чапека «Эксперимент профессора Роусса». Суть метода профессора Роусса в том, чтобы дать простор подсознательным ассоциациям, т.е. в ответ на услышанное слово говорить первое, что придет в голову.
Вопрос: Ответ:
— Дорога. — Шоссе.
— Прага. — Бероун.
— Спрятать. — Зарыть.
— Чистка. — Пятна.
— Тряпка. — Мешок.
— Лопата. — Сад.
— Яма. — Забор.
— Труп!?
—... Вы зарыли его под забором у себя в саду, — решительно повторил Роусс. — Вы убили Чепелку по дороге в Бероун и вытерли кровь в машине мешком. Все ясно.
|
|
|
В любой информационной самообучающейся системе, как правило, чаще активизированы те процессы и высвечены те данные, которые являются наиболее значимыми для текущего состояния системы.
Аналогичным образом может работать «детектор лжи» при выявлении не только скрытых знаний, но и скрытых способностей. Например, резкий выброс в скорости набора на клавиатуре отдельных слов позволяет утверждать, что они ранее чаще других набирались испытуемым, а значит — он имеет к ним более «близкое» отношение.
Так какие вопросы задавать и как оценивать ответы должен «детектор лжи», объектами которого являются программные продукты?
Вернемся к данному выше определению «детектора лжи». «Детектор лжи» предназначен для выявления знаний у исследуемого объекта исключительно по определенной теме. Какие темы в приложении к программным средствам скрытого информационного воздействия могут нас так заинтересовать, что придется применять «детектор лжи»?
В первую очередь:
1) способен ли исследуемый программный продукт скрытно фиксировать в незащищенном виде для последующего изъятия вводимые оператором пароли?
2) способен ли исследуемый продукт при определенной комбинации условий уничтожить или методично искажать обрабатываемые им данные и результаты?
3) способен ли исследуемый продукт скрытно пересылать, например, по сети, обрабатываемые им данные?
После того, как были выделены интересуемые темы, можно перейти к построению конкретных протоколов информационно логического взаимодействия процессов, человеко-машинная алгоритмическая реализация которых и будет представлять собой конкретный «детектор лжи».
И третья проверка — проверка на наличие психических отклонений. У программного продукта нет психики, но она есть у его создателей. Психическим отклонением у Разработчиков Заказчик всегда считал ситуацию, при которой Разработчику становилось наплевать на нужды Заказчика. При этом причина крылась не в том, что Разработчика кто-то перекупил, а просто ему стало неинтересно жить и работать, исчезла мотивация к жизни или вектор предпочтений выровнял значения абсолютно всех свои переменных. По сути своей данная ситуация вполне напоминает результат действия скрытых информационных средств, но не занесенных со стороны, а как бы выращенных самой информационной системой. Поэтому, представляется вполне возможным данную проверку проводить в рамках проверки на «детекторе лжи», дополнительно добавив туда тему со следующим названием: «Поведение программного обеспечения в случае нарушения требований по эксплуатации».
|
|
|
Технические средства для тестирования и контроля
В силу важности проблемы тестирования и контроля систем обеспечения безопасности информации на рынке существуют самые разнообразные технические средства для решения названных задач.
Основной принцип работы данного вида приборов - воспроизведение физических процессов, сопровождающих утечку информации по всему спектру возможных каналов.
Например, прибор осуществляет генерацию звука, его направленную передачу и оценку утечки информации по вентиляционным каналам, сквозным щелям, трещинам и нарушениям уплотнителей, по структуре ограждающих конструкций и инженерных коммуникаций.
Аналогичным образом работает техника по следующим направлениям защиты:
- создание микрофонного эффекта различного оборудования, передача сигнала по электросети и телефонной линии, имитации подозрительных сигналов в проводных коммуникациях;
- создание и выявление радиоканалов;
- имитация излучения средств подслушивания;
- создание и выявление канала инфракрасного излучения;
- имитация оптического излучения осветительных приборов, индикаторов, датчиков сигнализации;
- создание канала телефонного передатчика;
- имитация работы телефонного передатчика с передачей информации по радиоканалу.
|
|
|
