Доверенная вычислительная среда

 

Концептуальные отличия модели ДВС от модели ИПС состоят в следующем.

1. Требование неизменности программных средств в модели ИПС заменяется требованием их целостности.

Во-первых, неизменность есть, строго говоря, характеристика только цифрового отображения информации, здесь неизменность может быть установлена, например, побитным сравнением двух двоичных последовательностей. Понимая электронную среду существования как множество элементов, взаимодействующих на основе формальных правил обработки, хранения и передачи цифровой информации, надо учитывать, что сами эти элементы реализованы в объектах аналоговой среды. Любой аналоговый объект принципиально вариативен, его параметры не могут быть измерены абсолютно точно, к тому же они изменяются с течением времени.

Во-вторых, состав процессов, активизированных в любой конкретный интервал времени, меняется. Хотя бы за счет изменения обрабатываемой информации. Тогда что же означает неизменность среды? Постоянство программных средств, как активизированных, так и хранящихся в памяти? А что тогда делать с файлами документов, состав которых принципиально вариативен? И здесь понятие целостности кажется более предпочтительным по сравнению с неизменностью.

Под целостностью вычислительной среды понимается сохранение в течение рассматриваемого периода в требуемом диапазоне состава объектов и процессов, их параметров и взаимосвязей между собой и параметров функционирования.

Какой состав, какие параметры и взаимосвязи, и в течение какого периода — это определяется конкретной задачей контроля. Важно, что при анализе особенностей защиты различных объектов КС нельзя ограничиваться только анализом файловой структуры.

2. Замена требования неизменности на существенно менее жесткое требование целостности сказывается на задачах защиты информации.

Вычислительная среда меняется во времени, и задача защиты информации — обеспечение изменений в предусмотренном, штатном, режиме. Но тогда задача становится динамической, а динамический характер принципиально требует отслеживания изменений во времени. Если требуется отслеживать целостность среды, то надо знать ее меняющиеся во времени параметры, необходимо приходится «влезать» в среду, измерять, сравнивать с эталоном. Для изолированной среды такое требование не является, вообще говоря, обязательным — достаточно никого «не пускать» в среду.

Следовательно, доверенная программная среда принципиально предполагает наличие некого «контролёра», отслеживающего ее параметры — этот контролёр называется компонент безопасности (КБ).

3. Возникает вопрос, а где должен находиться КБ, вне вычислительной среды или «внутри», являться одним из элементов среды? Если — «вне», то обязательно должен быть некий элемент, «разрешающий» такой контроль и, быть может, разрешающий даже вмешательство в процесс функционирования среды при фиксации нежелательных режимов. А кто будет контролировать его? Замкнутый круг. Стало быть – компонент безопасности целесообразно встраивать в состав компьютерной системы, это должен быть «присутствующий — resident» объект. Исходя из этого требования, далее будем его называть резидентный компонент безопасности — РКБ, которому в этой книге посвящена значительная часть.

С практических позиций, включение РКБ в состав компьютерной системы предоставляет широкие возможности для возложения на него и ряда дополнительных, помимо контроля, функций: оповещения, регулирования и управления процессами в вычислительной среде.

4. С одной стороны, РКБ предназначен для защиты электронной среды, а с другой — сам является элементом этой среды и, таким образом, сам нуждается в защите. Теоретически идеальная защита вычислительной среды недостижима, но практически это сводится к тому, что сам РКБ должен характеризоваться намного более высоким уровнем защищенности, нежели остальные элементы вычислительной среды.

Аппаратная реализация технологических операций, процедур, протоколов изначально обладает более высоким потенциалом защиты, чем программная. Поэтому при практической реализации РКБ должны превалировать аппаратные методы.

5. Понимая, что абсолютно надежных средств защиты не существует, и, полагая, что злоумышленник в состоянии преодолеть защиту на любом этапе, разумно стремиться к получению реальных результатов, а не к бесплодным попыткам достичь идеальную цель, иными словами — к созданию и поддержанию доверенной вычислительной среды, но не к обеспечению ее изолированности.

Фрагмент среды электронного взаимодействия, для которого установлена и поддерживается в течение заданного интервала времени целостность объектов и целостность взаимосвязей между ними, называется доверенной вычислительной средой — ДВС.

6. Очевидно, что доверенная вычислительная среда должна сохраняться на всех этапах работы КС. Соответственно, РКБ должны участвовать в обеспечении информационной безопасности на всех этапах реализации технологии электронного обмена данными.

Логика применения РКБ совершенно проста:

· Раз нельзя до конца быть уверенным в отсутствии взаимовлияния программ, значит, необходимо контролировать их поведение.

· Если есть изъяны в архитектуре аппаратных средств, то их нужно блокировать.

Это и делает РКБ.