Расширенный поиск

Определения понятий безопасность, стабильность и отказоустойчивость

Предметом настоящей статьи являются вопросы безопасности, стабильности и отказоустойчивости глобальной инфраструктуры сети Интернет. При этом область исследования ограничена только теми вопросами, которые входят в мандат ICANN. Поэтому, прежде всего, приведем определения понятий «безопасность», «стабильность» и «отказоустойчивость» в том виде, как их определяет сама корпорация ICANN (см. примечание):

Безопасность — способность предотвращать и ограждать от неправильного использования уникальных идентификаторов сети Интернет.

Стабильность — возможность гарантировать, что система функционирует в соответствии со своим регламентом, а также способность обеспечить уверенность пользователей системы уникальных идентификаторов в том, что это именно так.

Отказоустойчивость — способность системы уникальных идентификаторов эффективно противостоять/выдерживать/переживать злонамеренные атаки и другие разрушающие события без ущерба и без прекращения выполняемых системой функций.

Приведенные выше понятия имеют фундаментальное значение, но определения этих понятий требуют уточнений для соответствия современному их значению и для гармонизации с существующими международными и национальными нормативными документами и стандартами, использующими эти понятия.

Основными причинами необходимости уточнения этих понятий являются:
1. Неоднозначность толкования этих понятий. Во многих работах «стабильность» и «отказоустойчивость» рассматриваются как составные части общего понятия «безопасность» и, вследствие этого, явно или неявно входят в это общее определение. Более того, понятия «стабильность» и «отказоустойчивость» часто соотносятся с понятием «надежность», а само толкование термина «безопасность», через «неправильное использование» допускает очень широкую интерпретацию.

2. Проблемы лингвистического характера. При переводе с/на английский язык часто теряются или возникают новые, дополнительные коннотации. Базовое понятие «безопасность» в русском языке (и, что в данном случае даже более важно — в российских документах) прежде всего, означает «состояние защищенности», в то время как клише английского перевода «security», кроме этого, подразумевает и совокупность средств, обеспечивающих это состояние защищенности. Попытка использовать для перевода английское слово «safety» также не слишком удачно, т.к. оно несет оттенок «внутреннее ощущение защищенности», что, вообще говоря, отсутствует в русском эквиваленте (см. [2]). Непонимание этих нюансов часто приводит к долгим (и бессмысленным!) спорам при обсуждении конкретных вопросов на международ-
ных площадках.

3. Область применения понятий. Приведенные выше определения ограничены понятиями безопасности (стабильности и отказоустойчивости) в части функций, исполняемых ICANN (может быть, даже более точно — IANA), а именно в части системы распределения уникальных идентификаторов, номеров и параметров. В то же время к критически важной инфраструктуре глобального Интернета относятся также а) инфраструктура магистральных сетей передачи данных (оптических, спутниковых и др.) и б) сервисные платформы, обеспечивающие пользователям предоставление базовых услуг. Для них также должны быть определены соответствующие им понятия «безопасности» и «устойчивости», но в настоящей статье эти вопросы не рассматриваются.

4. Условия применимости понятий. Кроме приведенных выше замечаний в отношении определения этих понятий необходимо учитывать условия, в которых эти понятия сохраняют свои значение. Инфраструктура сети Интернет сохраняет свою работоспособность в условиях «нормальной» работы сети. Между тем в ряде исследований (см., например, материалы Таллиннского Центра кибербезопасности НАТО [10],[11]) рассматриваются условия функционирования сети как в случае «нормальных», так и в случае «экстремальных» условий ее функционирования, что также требует соответствующего уточнения значения этих фундаментальных понятий.

5. Соответствие международным и национальным нормативным документам. Существует целый пул международных (ISO), национальных (NIST, ГОСТ и пр.) и ведомственных стандартов в области безопасности и надежности, относящихся не только к информационным системам (см. обзор [8]), в которых зафиксирована терминология, соответствующая этой предметной области. Помимо вынесенных в заголовок терминов «стабильность» (stability) и «отказоустойчивость» (resiliency), используются близкие понятия «надежность» (dependability), «безотказность» (reliability), «живучесть», «ремонтопригодность» и пр. Отдельный блок стандартов относится к вопросам управления рисками (см. ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения»; ISO/МЭК 73:2002 «Управление риском. Словарь. Руководящие указания по использованию в стандартах»). Терминология, зафиксированная в этих стандартах, также имеет серьезные пересечения с понятиями, зафиксированными в руководящих документах ICANN [1].

Таксономия понятий безопасность, стабильность и отказоустойчивость

Все вышесказанное относится лишь к отдельным элементам глобальной информационной системы Интернет. Понятия «безопасность», «стабильность» и «отказоустойчивость» как системы уникальных идентификаторов, так и сервисных платформ и инфраструктуры магистральных сетей входят в общее понятие «информационной (кибер) безопасности». Таксономия понятий «информационная безопасность», «кибербезопасность», «безопасность информации», «безопасность информационнокоммуникационных технологий» и т.д. является предметом обсуждения многих международных конференций, как академических, так и политических (см. например, [9]). В силу самых разных причин (включая, конечно, и политические) до консенсуса в этом вопросе еще очень далеко. Приведем компромиссную формулировка понятия «кибербезопасность», выработанную в ходе выполнения совместного проекта Института проблем информационной безопасности (ИПИБ) МГУ и Института Восток-Запад (EWI) США, см. [2]:

Кибербезопасность — свойство киберпространства (киберсистемы) противостоять намеренным и/или ненамеренным угрозам, а также реагировать на них и восстанавливаться после воздействия этих угроз. Полезно отметить, что в том же проекте ИПИБ МГУ — EWI ([2]) изложено соотношения понятий с приставкой «кибер-» и «инфо-». В Российской Федерации первоисточником трактовки понятий, связанных с вопросами безопасности, следует считать Закон Российской Федерации «О безопасности» № 2446-I (см. [4]):

Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних ивнешних угроз. Определения всех остальных видов безопасности (военно-политической, экономической, экологической и пр.), включая понятие информационной безопасности, строятся на основе этого общего определения путем уточнения, о какой сфере общественных отношений идет речь. Для иллюстрации приведем определение информационной безопасности в том виде, как это сформулировано в ряде международных документов, подписанных Российской Федерацией (см., например, [5]):

Информационная безопасность — состояние защищенности личности, общества и государства и их интересов от угроз, деструктивных и иных негативных воздействий в информационном пространстве.

Отметим два методически важных момента, связанных с последними определениями:

  • Содержание понятия «безопасность» раскрывается только (а) в привязке к конкретным интересам пользователей и (б) в отношении конкретных угроз этим интересам.
  • Понятие «безопасность» увязано с интересами субъектов — пользователей информационной системой. Такая увязка на уровне базовых определений ведет к определенным методическим проблемам при оценке безопасности сложных (а тем более глобальных) систем. Проблема заключается в том, что у различных пользователей системы могут быть взаимоисключающие, противоречащие друг другу интересы (без привязки к анализируемой информационной системе). Поэтому при оценке защищенности их интересов в связи с анализируемой системой возникнут противоречия, не связанные с функциями/услугами, выполняемыми системой.

Принципиально важно разделить угрозы на два класса:

(1) угрозы, возникающие в силу случайных обстоятельств, непреднамеренных ошибок, перегрузок системы, стихийных бедствий, аппаратных сбоев, аварий и т.п., и (2) угрозы, сознательно планируемые, разрабатываемые и реализуемые одними пользователями системы в отношении других пользователей.

Именно последний тип угроз определяет принципиальную разницу двух понятий: «безопасность» и «надежность». Когда речь идет о безопасности, то предполагается наличие субъекта, порождающего угрозы. В то время, когда говорят о надежности, то наличие такого субъекта либо вообще не предполагается, либо он рассматривается неявно, т.е. источником угрозы являются естественные причины (например, перегрузки, сбои, старение материалов и т.д.), природные явления (ураганы, наводнения и т. п.) или неумышленные ошибки (прежде всего ошибки проектирования или написания кодов). При этом, как правило, стремятся уйти от рассмотрения сценариев и свести обсуждение только к выявлению (абстрактных, не увязанных с их источником) уязвимостей. В этом подходе есть определенная доля лукавства и/ или проявление методологической ошибки. А именно, приведем определение понятия «уязвимость» по [3]:

Уязвимость — слабость информационной системы, процедур безопасности системы, процедур внутреннего контроля или их реализации, которые могут быть использованы источником угрозы. Таким образом, в самом определении появляется этот самый субъект — источник угроз (определение по [3]):

Источник угроз — замысел и метод, имеющие целью намеренное использование уязвимости или сложившейся ситуации, а также метод, который может непреднамеренно активировать уязвимость.

По нашему мнению, при оценке безопасности системы в отношении преднамеренных угроз методически точнее использовать хорошо известную в Theory of Computer Science, математической криптологии (см., например, [6]) схему.

  1. Описывается сама Система, т.е. перечисляют функции и услуги, оказываемые Системой. Декларируют, какие при этом качества, свойства функций/услуг должна обеспечить Система и какие меры/механизмы безопасности она реализует.
  2. Определяются Участники: а) Пользователь системы, на кого нападают (Пользователь-жертва); б) Пользователь системы, который нападает (Нападающий).
  3. Формулируют Цели атаки (угрозы), которых хочет достичь Нападающий (каким именно интересам Пользователя-жертвы он стремится нанести ущерб). В данной трактовке Цель атаки — это нарушение какой-либо функции или качества услуги Системы, используемой Пользователем-жертвой.
  4. Определяют, какими Ресурсами располагает Нападающий для достижения Цели атаки — к каким элементам Системы он имеет доступ, что он может при этом делать и т.п.

Важно подчеркнуть, что при этом изучается только качество механизмов и мер безопасности, реализуемых Системой. Мотивы атаки (политические, экономические, религиозные и т.д.) здесь не рассматриваются. Здесь отсутствуют эмоциональные (политические) оценки типа Пользователь-жертва — «хороший», а Нападающий — «плохой»: в качестве Пользователя-жертвы при анализе, вообще говоря, можно рассматривать и «Плохого парня» (Bad Guy), интересы которого (например, сохранение анонимности) стремятся нарушить Нападающие — «Хорошие парни», например правоохранительные органы.

Перечисленные выше 4 позиции являются исходными данными для оценки степени/уровня безопасности Системы. В ходе анализа рассматривают все возможные (гипотетически вообразимые) способы реализации Нападающим данной Атаки. Если при этом выясняется, что для достижения своих Целей при любом вообразимом способе реализации атаки Нападающему требуются ресурсы (финансовые, временные, организационные), превышающие разумные параметры, то Система признается безопасной в отношении данной Атаки. Для оценки безопасности Системы в целом необходимо проделать такой анализ для всех пар (Пользователь-жертваНападающий) и всех Атак. Обратим здесь внимание, что при оценке безопасности системы в целом, вообще говоря, каждый пользователь системы должен рассматриваться и как потенциальная жертва, и как потенциальный Нападающий!

Предложения по уточнению понятий безопасность, стабильность и отказоустойчивость в соответствии с мандатом ICANN

Применение описанного выше формального подхода к оценке безопасности глобальной инфраструктуры Интернета, на наш взгляд, позволит во многом расставить точки над i в международных дискуссиях и при наличии доброй воли (заинтересованности) всех участников политического процесса перевести эти дискуссии в конструктивное русло.

Рассмотрим, к чему приводит применение данной методики в отношении оценки безопасности глобальной инфраструктуры распределения уникальных идентификаторов, номеров и параметров сети Интернет, в соответствии с многоуровневой моделью инфраструктуры Интернета.

1. Система (глобальная инфраструктура) распределения уникальных идентификаторов, номеров и параметров сети Интернет является, прежде всего, информационной системой. Причем таких информационных систем может быть несколько, так как в соответствии с многоуровневым представлением инфраструктуры для уровня приложений речь идет о системе доменных имен, а для сетевого и транспортного уровней — о номерах автономных систем, IP-адресах и номерах портов. И как всякая информационная система она, вообще говоря, выполняет/предоставляет возможность реализации всего необходимого набора функций по обработке, распространению, хранению, поиску и предоставлению информации.

  • В нашем случае под «информацией» понимаются данные об уникальных идентификаторах, номерах и параметрах сети Интернет, а также вся сервисная (вспомогательная) информация, необходимая для выполнения перечисленных выше функций. В определении «безопасности», даваемом в уставе ICANN, понятие «неправильное использование» следует отнести к каждой из этих функций.
  • Элементы системы включают в себя ICANN (IANA), структуру 13 корневых серверов и их зеркала, включая набор функций, выполняемых VeriSign, пять региональных RIR-ов, национальные и региональные интернет-регистраторы (NIR, LIR), провайдеры и т.д. Описание элементов системы включает в себя:
    • назначение по обработке того или иного вида информации (доменные имена, номера автономных систем, IP-адреса и номерах портов);
    • описание технических средств, реализующих функции системы (hardware, firmware, software);
    • совокупность технических и организационных стандартов, регламентов и процедур;
    • юрисдикцию, в рамках которой функционируют элементы системы.

2. Пользователи — это все, кто входит в состав «всех заинтересованных лиц» (stakeholders), именно так, как это принято понимать в текущих дискуссиях:

  • субъекты международного права: государства, коалиции и союзы государств, негосударственные автономии и т.п.;
  • бизнес (национальный, транснациональный и т.п.), в том числе бизнес «вокруг» инфраструктуры сети Интернет;
  • субъекты гражданского общества: политические партии, отдельные Церкви, Религии и их течения (причем, возможно, с экстремистскими целями), организационно оформленные общественные движения, неформальные союзы и объединения ученых и инженеров, и пр.;
  • неформальные виртуальные группы пользователей Интернет, объединенные совместными интересами (“Anonymous”, игроки виртуальных сетевых игр, участники «клубов по интересам», и пр.)
  • в отдельный блок следует выделить формальные и неформальные объединения разработчиков, инженеров, формирующих облик Интернета (ISOС, IETF и т.д.)
  • граждане и частные лица (в число которых неизбежно входят и граждане, имеющие преступные намерения).

3. Угрозы безопасности в отношении информационной системы в «классическом» понимании включают угрозы в отношении «триады» свойств — C.I.A.:

  • Confidentiality — конфиденциальность;
  • Integrity — целостность;
  • Availability — доступность.

В нашем случае может показаться, что первая из угроз — угроза конфиденциальности — не актуальна, по крайней мере, в отношении уникальных идентификаторов, номеров и параметров сети Интернет ( так как сложно представить причину, по которой кому-либо потребуется «засекретить» IP-адрес или имя хоста).

Однако сервисная информация, используемая в этих системах, может содержать информацию, составляющую коммерческую тайну или персональные данные физических лиц. Поэтому в рассматриваемом случае требуется обеспечить все свойства — конфиденциальность, целостность и доступность.

При этом необходимо учитывать, что во-первых, эти угрозы необходимо соотнести с уровнями модели инфраструктуры Интернета и если на уровне приложений речь идет о безопасности системы доменных и работы всех серверов доменных имен (DNS), то на сетевом и транспортном уровне наиболее актуальны задачи обеспечения маршрутизации, как в локальных сетях, так и на уровне взаимодействия автономных систем. И во-вторых, в данном контексте следует обратить внимание еще на один аспект. Большая часть элементов рассматривае- мой инфраструктуры являются коммерческими организациями, основной мотив деятельности которых заключается в извлечении прибыли. Поэтому следует иметь в виду угрозы в отношении доступности и целостности в результате «выпадения» из системы (прекращение или ограничение деятельности) отдельных ее частей в силу самых разнообразных внешних (банкротство, решение суда, санкции, революции и т. п.) и внутренних (низкая рентабельность, смена сферы деятельности, политическая или моральная мотивированность и т. п.) причин.

4. Ресурсы, которыми располагает Нападающий (а это может быть любой из тех самых stakeholder-ов!) для реализации своих целей (т.е. для нарушения целостности и/или доступности уникальных идентификаторов, номеров и параметров, принадлежащих Жертве или к которым обращается Жертва), существен- ным образом определяются тем, кто является этим Нападающим. В частности, наибольшими возможностями и наиболее тяжелые последствия могут наступить в результата атак со стороны центральных\ узловых элементов системы (провайдеров, регистраторов, регуляторов и т. д.) И именно в этом, по-видимому, заключается наиболее «спорный» и «деликатный» момент. Так, например, сейчас уже очевидно, что не удастся проигнорировать и замолчать недоверие ряда stakeholder-ов к техническим и программным средствам, обеспечивающим выполнение ключевых функций системы. То же самое относится и к криптографическим механизмам, реализуемым компанией VeriSign.

Вообще говоря, каждый из stakeholder-ов формирует самостоятельно модель угроз своей безопасности, исходя из своих приоритетов. Государства и бизнес-структуры, как правило, это делают явно, в форме нормативного документа (общедоступного или «закрытого»); обычные пользователи «имеют в виду», что именно для них может представлять опасность, а многие на эту тему даже не задумываются и «делают как все». Очевидно, что модели угроз различных stakeholder-ов в большинстве будут противоречить друг другу. По-видимому, наиболее прагматичным подходом для разрешения этих противоречий и недопониманий, является применение описанной выше методики и выработка пу- тем переговоров набора недостающих мер «сдержек и противовесов» (check&balance) балансирующих интересы пользователей, например, недоверие к отдельным техническим элементам системы, можно «сбалансировать» принятием нормативно-правового документа, обязывающего гарантировать безопасность этих элементов и т.п.

Примечание:
Для иллюстрации приведем несколько формулировок Национального института стандартов США NIST (см. [3]):

Безопасность — состояние, являющееся результатом внедрения и поддержания работоспособности защитных мер, которые позволяют системе выполнять свои функции, несмотря на риски реализации угроз ее работоспособности. Защитные меры могут включать совокупность мер сдерживания, избегания, предотвращения, отслеживания, восстановления и исправления. В совокупности эти меры являются частью системы управления рисками.

Отказоустойчивость — способность быстро адаптироваться и восстанавливаться после любых известных или неизвестных изменений в окружающей систему обстановке путем комплексного применения системы управления рисками и непрерывного планирования.

Речь идет о способности (а) продолжать функционировать и выполнять ключевые функции во враждебных условиях и воздействиях даже при частичном разрушении самой системы и (б) восстанавливаться до состояния, позволяющего выполнять предписанные функции за время, определяемое миссией системы.

Список цитируемых источников:

[1] ICANN’s FY 14 Security, Stability and Resiliency Framework; https://www.icann.org/public-comments/ssr-fy14-2013-03-06-en

[2] Critical Terminology Foundations 2. Russia-U.S. Bilateral on Cybersecurity policy report 2/2014; James B.Godwin III, Andrey Kulpin, Karl Frederick Rauscher and Valery Yaschenko (Chief Editors); https://dl.dropboxusercontent.
com/u/164629289/terminology2.pdf

[3] NISTIR 7298 Revision 2 Glossary of Key Information Security Terms; Richard Kissel, Editor; Computer Security Division Information Technology Laboratory; May 2013; http://dx.doi.org/106028/NIST.IR.7298r2

[4] Закон Российской Федерации «О безопасности» № 2446-I (с изменениями от 25 декабря 1992 г., 24 декабря 1993 г., 25 июля 2002 г., 7 марта 2005 г., 25 июля 2006 г., 2 марта 2007 г.); http://www.scrf.gov.ru/documents/20.html

[5] Соглашение между правительствами государств-членов Шанхайской организации сотрудничества о сотрудничестве в области обеспечения международной информационной безопасности; 16 июня 2009 г.

[6] http://www.cryptography.ru

[7] Internet Governance and the Domain Name System: Issues for Congress; Lennard G. Kruger Specialist in Science and Technology Policyб November 26, 2014, Congressional Research Service, 7-5700, www.crs.gov
R42351

[8] Струков А.В.; Анализ международных и российских стандартов в области надежности, риска и безопасности; http://szma.com/standarts_analysis.pdf

[9] Пятый международный форум «Партнерство государства, бизнеса и гражданского общества при обеспечении информационной безопасности и противодействия терроризму», 25–28 апреля 2011 г., Гармиш-Партенкирхен, Германия

[10] The Tallinn Manual on the International Law Applicable to Cyber Warfare, http://www.cambridge.org/ca/academic/subjects/law/humanitarianlaw/tallinn-manual-international-law-applicable-cyber-warfare

[11] NATO Cooperative Cyber Defense Centre of Excellence free e-book entitled «Peacetime Regime for State Activities in Cyberspace», including a chapter on Space Law and Unauthorized Cyber Activities. https://ccdcoe.org/
multimedia/peacetime-regime-state-activities-cyberspace.html

А.А.Сальников, П.Л.Пилюгин
Институт проблем информационной безопасности
МГУ имени М.В.Ломоносова

Материал подготовлен на основе доклада, представленного на Одиннадцатой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 20-23 апреля 2015 года г.Гармиш-Партенкирхен, Германия.

Об авторе

Павел Пилюгин

Институт проблем информационной безопасности, МГУ имени М.В.Ломоносова.

1 комментарий

  1. Аватар
    Руслан Опубликовано:

    О безопасности стоит очень хорошо подумать, прежде, чем начинать производство, как оказалось. Начитался по теме статей, задумался. Сейчас хочу ребят из Konsom подключить, буду усовершенствованием своей системы заниматься

Написать ответ

Send this to a friend

Перейти к верхней панели