или "квадратура круга" угроз информационной безопасности
В современном мире проблема информационной безопасности компьютерных систем и сетей обрела статус глобальной проблематики. Она имеет большой поток периодической, монографической и учебной литературы. Является дежурной темой дискуссий и обсуждений на проводимых компьютерных выставках и конференциях как международного, так и национального масштабов. Например, в ноябре 1996 г. в Чикаго прошла уже 23-я международная конференция по защите информации. Ряд конференций по информационной безопасности и защите информации прошли в странах СНГ в прошлом и в первой половине текущего года, в частности, с 4 по 7 февраля 1997 года в Раубичах, под Минском прошла Первая республиканская конференция по комплексной защите информации.
Особую остроту и актуальность проблеме информационной безопасности придает компьютерная преступность на так называемой "интернетовской почве". Глобальная компьютерная сеть Internet, возникшая первоначально в образовательных и научных целях, в настоящее время предоставляет коммерческим структурам возможность обмениваться информацией и вести бизнес в ее каналах. Сегодня около 25000 компаний мира используют сеть Internet в коммерческих целях, и 60% всех передаваемых по сети Internet сообщений имеет коммерческий характер. Интернет активно внедряется в область телекоммуникаций и электронной коммерции. Согласно данным компании U.S.Computer, использование Internet в качестве корпоративной сети оказывается на 23 - 50 % дешевле эксплуатации традиционной сети на базе выделенных линий. Многие компании включаются в так называемую "сетевую экономику", в которой покупатели и продавцы во всем мире соединены между собой сетевыми средствами связи. Так, 23% объема всех продаж в США и Канаде за первое полугодие 1996 г. осуществлено при помощи сети Internet.
Эффективность и масштабы использования Internet-технологий в сфере бизнеса во многом зависят от успешного решения проблем защиты информации. Согласно данным института Computer Security Institute, в 1994 году каждая пятая организация, использующая Internet, зарегистрировала случаи проникновения в ее сеть. В том же году в Соединенных Штатах АЗИС (Агентство по Защите Информационных Систем) образовало группу "пиратов", которым поручило проникнуть через Internet в компьютеры Пентагона. Этим "хакерам" удалось взять контроль над 88 процентами из 10 тысяч аппаратов, которые они попытались "взломать". Но обнаружить это удалось только в четырех процентах случаев. Есть данные, что некоторые иностранные государства используют целые группы профессиональных компьютерных взломщиков, нацеленных на заранее определенные объекты. Из отчета, подготовленного АЗИС, вытекает, что не менее 30 стран готовятся в данный момент к информационной войне. Согласно данным CERT (Computer Emergency Responce Team) - организации, которая следит за действиями хакеров и сообщает об уязвимых местах Internet, - количество зарегистрированных попыток "взломов" сети Internet достигает 170 случаев в неделю.
Угрозы сети Internet уже проявили себя и на постсоветском пространстве. Так, 11 сентября 1996 года произошел первый крупномасштабный взлом российской части сети Internet. Неизвестными злоумышленниками была произведена несанкционированная замена физического адреса, соответствующего имени Web-сервера "ИнфоАрт, и поэтому пользователи данного сервера стали попадать на другой сервер с "картинками для взрослых".
22 ноября 1996 года был взломан белорусский сервер "WWW Belarus", в котором издается электронная версия газеты "Вечерний Минск". Интернет-журнал "WWW Belarus" стал недоступен читателям.
Многими аналитиками отмечается опасная тенденция, складывающаяся в связи с развитием сети Internet. Масштабы грозящей опасности для инфосферы особенно впечатляют, если учитывать, что к 2000 г. связь с Internet установят более 160 млн. пользователей.
По оценкам специалистов, из-за неразработанности общей теории защиты информации и отсутствия надежных данных о взаимосвязях между дестабилизирующими факторами и средствами защиты информации в процессе их взаимодействия, защита информации современной автоматизированной информационной системы представляет собой еще достаточно слабоструктурированный процесс с высоким уровнем неопределенности.
Для достижения гарантированной безопасности процесс защиты современных АИС должен своевременно отслеживаться, корректироваться и приводиться в соответствие с действующей системой дестабилизирующих факторов и угроз, влияющих на уязвимость защищаемой информации. На уровне современных знаний в области защиты информации данная задача пока не имеет удовлетворительного (адекватного) решения.
Современную автоматизированную распределенную информационную систему, рассматриваемую в качестве объекта/процесса защиты информации, следует относить к категории открытых сложных систем, характеризуемых отсутствием математического описания их функ-ционирования, стохастичностью поведения и нестационарностью состояний, выражающейся в дрейфе характеристик объекта или в "уплывании" его параметров во времени. С этим процессом мы постоянно сталкиваемся на практике, наблюдая быстрое "старение" компьютерной техники. Так, экспертами отмечаются четыре волны эволюции информационных систем.
Первая волна (1960-1970 гг.): информационные системы строились на базе мэйнфреймов.
Вторая волна (1970-1980 гг.): первые шаги децентрализации информационных систем с использованием в офисах и отделениях компаний мини-компьютеров класса DEC VAX и IBM AS/400.
Третья волна (80-е - начало 90-х гг.): бум распределенной сетевой обработки, главной движущей силой которой был массовый переход пользователей с мэйнфреймов и мини-компьютеров на персональные компьютеры и последующим объединением разрозненных рабочих мест в одноранговые сети.
Четвертая волна (начало 90-х гг.): современные информационные системы с иерархической организацией, в которой централизованная обработка и единое управление ресурсами информационной системы на верхнем уровне сочетаются с распределенной обработкой на нижнем. Особенностью новой модели информационной системы является наличие в ней сетей двух уровней: базовой сети, связывающей информационные узлы концентрации, и множества локальных сетей, обеспечивающих пользователям взаимный обмен данными и доступ к корпоративным ресурсам.
Отмеченные тенденции по-новому ставят и проблему обеспечения безопасности информационных технологий. Ситуация с защитой информации от реальных и потенциальных угроз безопасности информационных технологий напоминает известную из истории математики задачу о квадратуре круга - задачу построения квадрата с площадью, равной площади круга. Как невозможно построить квадрат, равновеликий площади круга, так невозможно построить систему полной защиты открытой распределенной информационной системы от множества реальных и потенциальных угроз ее информационной безопасности. По-видимому, возможное приближенное решение этой задачи может состоять в построении некоторого механизма защиты информации, лишь в большей или меньшей степени гарантирующего определенный уровень безопасности защищаемой информационной системы.
Отсюда важнейшим концептуальным положением построения системы защиты информации и достижения гарантированной защищенности АИС является требование адаптируемости системы защиты информации или ее способности к целенаправленному приспособлению при изменении характера дестабилизирующих факторов и угроз, а также структуры, технологических схем и условий функционирования АИС.
Многие актуальные вопросы управления защитой информации современных компьютерных систем и сетей, в частности, в банковской и финансовой сферах, были рассмотрены на республиканской конференции по комплексной защите информации, состоявшейся в феврале текущего года в Раубичах. Одним из пунктов Решения указанной конференции был пункт о необходимости создания республиканского журнала по актуальным проблемам защиты информации. 7 апреля 1997 года Государственным комитетом Республики Беларусь по печати зарегистрирован научно-практический ежеквартальный журнал "Управление защитой информации" (Регистрационное свидетельство N 957). В июне состоится выход в свет первого номера журнала. Данное издание будет представлять интерес для широких читательских кругов - "от юристов до алгебраистов". Оно предназначено для научных и деловых кругов, преподавателей и студентов, наконец, обычных пользователей компьютерных систем и сетей. Условия подписки приведены ниже.
А.П. Леонов,
главный редактор журнала
"Управление защитой
информации"