Модель защищенных информационных систем
Защищенные технологии в целом
Все общепринятые технологии – такие как электричество, автомобили или телефоны – вошли в нашу повседневную жизнь и пользуются доверием, поскольку они почти всегда готовы к работе, когда мы в них нуждаемся, они делают то, что нам от них нужно, и работают так, как и было обещано.
Почти любой человек в развитом мире может купить новый телефон и включить его в телефонную розетку, не волнуясь о том, будет он работать или нет. Для нас само собой разумеется, что, сняв трубку, мы услышим гудок, а когда дозвонимся, то сможем слышать собеседника. Мы исходим из того, что ни сосед, ни страховой агент с нашей улицы не смогут подслушать разговор или получить список тех, кому мы звонили. И мы, как правило, предполагаем, что телефонная компания будет предоставлять услуги и взимать за них плату согласно своим обязательствам. Усилия инженеров, практика бизнеса и регулирование в совокупности создали ситуацию, когда люди воспринимают телефонную службу как должное.
Можно выделить три общих качества, которые, по мнению большинства людей, должны присутствовать в любой защищенной технологии: безопасность, безотказность и деловая добросовестность (т.е., добросовестность организации, предоставляющей технологию). Эти категории, а также их проявление в области использования компьютеров, будут более подробно рассмотрены ниже.
Защищенные информационные системы
Компьютерные устройства и информационные службы смогут распространиться действительно повсеместно, когда они станут настолько надежными, что о них можно будет просто забыть. Другими словами, к тому времени, когда компьютеры начнут проникать почти во все сферы нашей жизни, мы должны иметь возможность им доверять. При этом методы создания компьютеров и методы, которыми мы сегодня создаем службы на основе компьютеров, по сути, не настолько сильно изменились за последние 30-40 лет. Но это должно произойти.
Нам не удалось найти существующую классификацию, которая могла бы послужить моделью для обсуждения вопросов в области защищенных информационных систем. И хотя существует множество разнообразных концепций защищенности, каждая из них охватывает только узкую область. Например, есть концепции доверия в операциях электронной коммерции и взаимного доверия между системами удостоверения личности, и есть анализы восприятия компьютеров в обществе; однако подлинно эффективный подход должен объединять различные аспекты: и с инженерной точки зрения, и с точки зрения политики в этой области и пользователей. При этом даже лишь с инженерной точки зрения наша задача шире, чем, например, в моделях SysTrust/SAS703, которые имеют дело только с крупными онлайновыми системами.
Во-первых, есть сама техника. Она должна быть достаточно надежной, чтобы мы могли встраивать ее во всевозможные устройства – другими словами, она не должна отказывать чаще, чем другие сравнимые по важности технологии в нашей жизни. Затем, есть программное обеспечение, работающее на этой технике: считают ли люди его настолько же надежным? И, наконец, существуют компоненты-службы, которые также во многом зависят от программного обеспечения. Это особенно сложная проблема, поскольку сегодня мы должны обеспечивать надежность комплексных, глубоко взаимосвязанных (а иногда и интегрированных) систем.
Поскольку защищенность – понятие сложное, полезно проанализировать задачу создания защищенных информационных систем с нескольких различных точек зрения. Мы зададим три уровня, на которых будем описывать различные точки зрения на проблему защищенности: цели, средства и исполнение.
Цели
Цели описывают защищенность с точки зрения пользователя. Вот главные вопросы: готова ли технология к работе, когда это необходимо? Находится ли при этом в безопасности моя конфиденциальная информация? Делает ли технология то, что от нее ожидается? И всегда ли правильно поступают люди, которые владеют и управляют бизнесом, предоставляющим эту технологию? Вот цели, которые должны быть достигнуты для реализации защищенных информационных систем:
|
Цели, связанные с защищенностью, охватывают как рациональные ожидания в области функционирования систем – т.е. то, чего можно достичь инженерными и технологическими мерами, – так и более субъективные оценки работы, возникающие как результат репутации, предубеждений, отзывов знакомых и личного опыта. В связи с каждой из этих целей, хотя и в различной степени, возникают вопросы из области инженерных задач, практики бизнеса и восприятия в обществе. Для пояснения терминов приведем примеры, касающиеся целей:
· Безопасность. Моя личная информация не оказывается раскрытой без разрешения. Вирусы не заражают мой ПК и не приводят его в негодность. Взломщик не может привести мою систему в нерабочее состояние или несанкционированным образом изменить мои данные.
· Безотказность. Когда я устанавливаю новую программу, мне не нужно беспокоиться, будет ли она правильно работать с существующими приложениями. Я могу читать свою почту, когда захочу, например, щелкнув ссылку Hotmail на msn.com. Я никогда не получаю сообщений «Система недоступна». Календарь не теряет внезапно все запланированные встречи.
· Деловая добросовестность. Когда я сообщаю моему провайдеру услуг4 о проблеме, он реагирует быстро и эффективно.