8.1. Проблеми теорії захисту інформації
Незважаючи на те що технологія захисту інформаційних систем почала розвиватися відносно недавно, сьогодні вже існує досить багато теоретичних моделей, за допомогою яких можна описати практично всі аспекти безпеки і забезпечувати засоби захисту формально підтвердженою алгоритмічною базою [58].
Побудова моделей захисту й аналіз їхніх властивостей становлять предмет теорії ІБ, що тільки оформлюється як самостійний науково практичний напрямок. Як природнича дисципліна теорія інформаційної безпеки поступово еволюціонує в напрямку формалізації і математизації своїх положень, вироблення єдиних комплексних підходів до розв'язання задач ЗІ. Однак на даний момент можна констатувати, що цей процес дуже далекий від завершення. Деякі підходи мають скоріше характер опису застосовуваних методів і механізмів захисту і являють собою їхнє механічне об'єднання. Крім того, у зв'язку з розвитком інформаційних технологій виникають нові завдання щодо забезпечення безпеки інформації, підходи до вирішення яких на початковому етапі майже завжди мають описовий характер.
Найхарактернішими особливостями теорії ІБ є:
• чітка практична спрямованість більшість положень, принаймні поки що, спочатку реалізуються у вигляді конкретних схем
і рекомендацій і тільки потім узагальнюються і фіксуються у вигляді теоретичних положень чи методичних рекомендацій; сильна залежність теоретичних розробок від конкретних способів реалізації АС, що визначаються проектними програмними чи апаратними рішеннями конкретна реалізація тієї чи іншої АС визначає можливі види атак, а отже, ті чи інші захисні заходи;
багатоаспектність, тобто дослідження із широкого кола напрямків;
відсутність системонезалежних теоретичних положень, на ос нові яких можлива реалізація різних проектів АС.
У даний час виділяються два основні підходи до розгляду питань теорії ІБ: неформальний (або описовий) і чисто формальний.
Формальний підхід до розв'язання задач оцінки захищеності через труднощі, пов'язані з формалізацією, широкого практичного поширення поки що не набув. Справа в тому, що на практиці далеко не завжди вдається скористатися результатами цих досліджень, оскільки часто теорія захисту не узгоджується з реальним життям. Теоретичні дослідження у сфері захисту інформаційних систем мають поки що розрізнений характер і не утворюють загальної теорії безпеки. Всі існуючі теоретичні розробки ґрунтуються на різних підходах до проблеми, внаслідок чого запропоновані ними постановки задачі забезпечення безпеки і методи її розв'язання істотно відрізняються.
Найбільшого розвитку набули два формальні напрямки, кожний з яких ґрунтується на своєму баченні проблеми безпеки і націлений на вирішення певних завдань це формальне моделювання політики безпеки і криптографія. Причому ці різні за походженням і розв'язуваними задачами напрямки доповнюють один одного: криптографія може запропонувати конкретні методи захисту інформації у вигляді алгоритмів ідентифікації, автентифікації, шифрування і контролю цілісності, а формальні моделі безпеки надають розробникам захищених систем основні принципи, що лежать в основі архітектури захищеної АС і визначають концепцію її побудови.
Нагадаємо [17], що під політикою безпеки розуміється сукупність норм і правил, які регламентують процес обробки інформації, виконання яких забезпечує захист від певної множини загроз і становить необхідну (а іноді й достатню) умову безпеки системи. Формальне вираження політики безпеки називають моделлю політики безпеки.
Складання формальних моделей потребує істотних витрат і залучення висококваліфікованих фахівців, вони важкі для розуміння і вимагають певної інтерпретації для застосування в реальних системах. Проте вони необхідні й використовуються досить широко, тому що тільки за їх допомогою можна довести безпеку системи, спираючись при цьому на об'єктивні і незаперечні постулати математичної теорії. За своїм призначенням вони аналогічні аеродинамічним моделям літаків чи мод...