но не равносильно ему, и свидетельство тому – постоянно появляющиеся сообщения о найденных критически опасных уязвимостях в сертифицированных средствах защиты.

Информационные системы развиваются так быстро, что очень немногие из них действительно имеют продолжительный положительный опыт эксплуатации. Остается понять, при каких верифицируемых условиях систему можно считать доверенной.

Понятие «доверенная вычислительная среда» (ДВС) было введено в [83] в развитие понятия «изолированная программная среда» (ИПС) [112]. Было показано, что ДВС поддерживается в системе, все узлы которой аутентифицированы и целостность их установлена. Там же было показано, что обеспечение целостности и аутентификация должны выполняться специальным средством, получившим название «резидентный компонент безопасности» (РКБ), для которого были перечислены свойства и доказана лемма о размещении РКБ в ДВС.

В доверенной системе все должно быть доверенным – показано в [83]. Эту позицию по прошествии ряда лет нужно уточнить. Сейчас понятно, что тогда защищенная система воспринималась как локальная или корпоративная. И для корпоративной системы практически всегда это утверждение верно.

Но появление открытых систем существенно изменило ситуацию, и нам приходится задуматься о транспортных каналах, влиять на которые мы далеко не всегда можем.

И здесь ощутимо помогают ассоциации со сферой материального производства [85, с. 11–17]. Каналы связи целесообразно считать вспомогательным элементом, предназначенным для «транспортировки» данных между узлами обработки (действия по транспортировке, измерению, маркировке продукции и т. п. в сфере материального производства называются «вспомогательные операции»). Вспомогательные элементы редко бывают доверенными и – поскольку обычно они принадлежат другим собственникам с другими целями – совсем не обязаны быть доверенными.

Как сделать доверенной транспортную среду? Или как ее использовать в доверенной системе без снижения уровня доверия? Как минимум нужно знать ответ на вопросы, «откуда» и «куда» двигаются данные, а это значит, что точки подключения к транспорту должны быть аутентифицированы.

Соответственно, характеристики системы, способной поддерживать ДВС, должны быть дополнены еще одной: каналы связи должны быть аутентифицированы и могут быть защищены.

Как сделать доверенными технические средства?

Обеспечить целостность. Обеспечить аутентификацию.

Это делает резидентный компонент безопасности.

Таким образом, доверенное средство должно содержать РКБ. РКБ активен, он выполняет контрольные процедуры, взаимодействуя с другими узлами системы. Активность становится важнейшим необходимым (но, конечно, не достаточным) признаком.

Доверенное средство всегда активно.

Компьютер: дополним аппаратным модулем доверенной загрузки или выберем компьютер, в котором целостность обеспечивается архитектурно [82].

Периферия: подменить мышь, клавиатуру или принтер ничего не стоит. А они – подмененные – вполне могут выполнять функции, не входящие в состав защищенных информационных технологий. Сделать их доверенными, если это актуально, можно, вставив в них небольшой специализированный блок РКБ. Это сделает их активными на этапе аутентификации и защитит систему от подмены.

Отчуждаемые носители: как правило, они пассивны. Значит, невозможно понять, можно с ними работать или нет. Специализированные отчуждаемые носители со встроенным РКБ выпускаются [88] и могут использоваться в составе доверенных систем.

Исторически получилось так, что современные компьютеры являются реализацией идеи «машины Тьюринга», то есть универсального исполнителя. Это означает, что принципиально они созданы так, чтобы выполнить любую задачу. Любую, а не только те, что мы бы хотели.

Удивительно, что, не обладая, скорее всего, в большинстве своем знаниями о машине Тьюринга и ее особенностях, эту довольно специфичную проблему компьютерной безопасности хорошо чувствуют гуманитарно ориентированные люди: писатели, поэты, римские папы, – формулируя теми или иными словами, что компьютеры могут все и наша задача заставить их делать только то, что нам нужно, не дать им делать все. Мы, пожалуй, довольно далеки от опасений насчет бунта компьютеров и захвата ими власти над миром, но полностью разделяем убежденность в том, что универсальность современных компьютеров является основным источником всех связанных с компьютерной сферой угроз. Если компьютер способен выполнить любую задачу, то он выполнит и вредоносную.

Именно в этом состоит цель мероприятий по обеспечению ИБ, если посмотреть на нее с определенной дистанции: нам необходимо добиться того, чтобы все наши (т. е. легальные) задачи решались, а задачи злоумышленников (нелегальные) не решались.

Отсюда распространенное убеждение о том, что все задачи защиты информации сводятся к управлению доступом субъектов к объектам. Это не вполне так, к этому сводятся не все задачи.

Если пытаться уложить деятельность по защите информации в некую максиму, то скорее она будет звучать так: защита информации – это ограничение универсальности средств вычислительной техники.

Универсальность компьютера обеспечивается архитектурно, самой «конструкцией» машины Тьюринга – как мыслимой в абстракции, так и реализованной на практике.

Поскольку архитектуру нельзя изменить программным путем, никакие программные средства не помогут нам защититься от хакеров надежно. Игра «кто кого» продолжается уже много лет, давая работу сотням тысяч специалистов по ИБ, но не спасая нас от потерь.

Как же быть?

Если уязвимость в архитектуре – то и совершенствовать нужно архитектуру.

Мы можем делать это одним из двух способов:

1) усовершенствовать архитектуру уже существующих технических средств;

2) использовать новые технические средства на базе новой, более совершенной, архитектуры.

Следуя первому направлению, эксплуатирующие организации при приобретении новой техники устанавливают на нее те или иные средства защиты, следуя второму – приобретают технику, спроектированную тем или иным особым образом.

10.1.1. Устройства с правильной архитектурой

Quod ab initio vitiosum est, tractu temporis convalescere non potest

(Что с самого начала порочно, не станет лучше с течением времени).

Крылатое латинское выражение

Каждый день, выходя из дома, мы, даже не задумываясь, запираем дверь. Это действие выполняется привычно, автоматически, так как накопленный за многие годы опыт однозначен: это полезно для сохранения в неприкосновенности принадлежащих нам вещей. Конечно, дверь, замок и ключ не решают проблему воровства полностью, но ни у кого не возникает сомнения, что дверь все же должна быть и чтобы вор в нее не влез – необходимо ее не носить с собой, а запирать по месту установки. Заметим еще раз: вещи, находящиеся в квартире, будут в большей безопасности, если квартиру защищать.

Аналогия верна и для вашего компьютера. Программы и данные, составляющие принадлежащие вам информационные ресурсы, легче сохранить, если компьютер будет защищен.

Конечно, запертая дверь не гарантирует, что вещи не украдут. Защита компьютера – тоже не гарантия от нарушения целостности программ, но это абсолютно необходимый рубеж защиты. Вещи из квартиры точно украдут, если дверь оставить нараспашку. Без защиты компьютера невозможно обеспечить защиту программ.

Но даже если ваши вещи будут находиться внутри защищенной квартиры, вовсе не обязательно они сохранятся в первозданном виде. Если вы в этом не уверены – попробуйте, не выходя из квартиры, вместе с рубашкой простирать паспорт.

Похожая ситуация и в виртуальном мире: казалось бы, в защищенном компьютере ничто не может повлиять на состояние данных и программ – однако же нет! В процессе исполнения одна программа вполне может изменить состояние данных другой программы и даже код другой программы – так, собственно, и ведут себя вирусы, да и не только