Большой передел мира
260,945,772
514,939
|
_SV_ ( Профессионал ) |
| 03 авг 2013 00:41:01 |
Тред №600827
новая дискуссия Дискуссия 43
Скрытые угрозы зарубежного программного обеспечения
В настоящее время в борьбе за сферы экономического и политического влияния акцент с открытого, в том числе военного, противостояния все заметнее смещается в сторону использования различных форм контроля и управления информационными ресурсами государств. Для достижения этих целей применяются высокоэффективное скрытое проникновение в программное обеспечение государственных информационных и управляющих систем, а также активно навязываемая всеми доступными средствами привязка к иностранным информационным технологиям. В результате информационная инфраструктура государства становится технологически зависимой даже от отдельной фирмы-производителя программного обеспечения.
Информационное воздействие как новый вид оружия
Информационное воздействие может рассматриваться как новый вид оружия, которое в определенной степени более эффективно, чем традиционные виды вооружения и военной техники.
Россия обладает значительным военным и экономическим потенциалом и представляет серьезное препятствие для проводимой странами Запада, прежде всего США, политики экономической, культурной и военной экспансии. Поэтому она является объектом наиболее пристального внимания спецслужб иностранных государств, занимающихся вопросами информационного противоборства.
Современное программное обеспечение – очень сложный продукт. При его создании используются специальные программные средства разработки и системное программное обеспечение, объем и сложность которого могут на порядок превышать аналогичные характеристики прикладного программного обеспечения. В связи с этим верификация программного обеспечения представляет практически неразрешимую задачу. Именно поэтому ни одна организация-разработчик не гарантирует абсолютной надежности создаваемого программного продукта, фактически снимая с себя ответственность за последствия, к которым могут привести дефекты в программах.
Особую сложность представляет обнаружение дефектов, которые могут преднамеренно вноситься на этапе создания программных продуктов. Прогрессирующая в России тенденция импорта зарубежных программных средств и информационных технологий приводит к увеличению возможного импорта программных дефектов. При этом резко возрастает вероятность поражения важнейших информационных систем России информационным оружием уже на этапе их разработки.
Недостатки и отставание в создании информационных технологий, в разработке нормативно-методической базы контроля безопасности программного обеспечения многократно обостряют проблему информационной безопасности России. Поэтому основой безопасных информационных технологий должны стать отечественные системные и инструментальные программные средства (операционные системы, компиляторы, отладчики, кроссассемблеры и т.д.), обеспечивающие эффективную разработку прикладного программного обеспечения.
Обеспечение безопасности программных средств
Проблема информационной безопасности имеет два аспекта: технологический и эксплуатационный.
Технологическая безопасность подразумевает отсутствие в программном обеспечении злоумышленных программных дефектов диверсионного типа.
Эксплуатационная безопасность характеризует защищенность информации от несанкционированного доступа и несанкционированных действий с ней. При этом очевидно, что одними только мероприятиями по защите информации и информационных систем от несанкционированного доступа нельзя обеспечить ее безопасность. При всей их эффективности они не исключают ситуации, когда защищенные информационные системы содержат в своем составе программное обеспечение, имеющее программные закладки, т.е. специально внесенные дефекты либо блоки, реализующие так называемые недекларированные возможности. Эти блоки могут быть направлены на решение задач, выходящих за рамки данного программного средства (например, сбор персональной информации, данных о выполняемых прикладных программах и т.п.). Более того, программные средства защиты также могут содержать программные закладки.
Анализ вероятных последствий применения программных закладок показывает, что в случае систем управления военного назначения речь может идти о блокировании возможности применения системы оружия определенного класса или информационной системы оборонного характера. В других случаях – о блокировании передачи, утечке или модификации (вплоть до уничтожения) информации в информационно-телекоммуникационных системах государственного управления, утечке или модификации (уничтожении) финансовой или банковской информации, нарушении функционирования экологически опасных производств, в первую очередь связанных с атомной энергетикой. Фактически это означает, что Россия, обладающая мощным оружием сдерживания потенциального агрессора, может оказаться безоружной и будет поставлена на грань экологической или финансовой катастрофы.
Используемые в этих сферах автоматические и автоматизированные системы, от расчетного функционирования которых зависит безопасность России, мы будем называть системами критических приложений. Обеспечение безопасности таких систем требует, в первую очередь, создания и внедрения перспективных автоматических и автоматизированных систем обработки информации. При этом повышение требований к средствам управления в критических сферах, постоянное расширение круга решаемых ими задач приводят к возрастанию удельного веса программного обеспечения в автоматических и автоматизированных системах управления. Это, в свою очередь, повышает требования к безопасности программного обеспечения, а, следовательно, и к безопасности используемых при его разработке и эксплуатации информационных технологий.
Таким образом, ключевым элементом безопасного функционирования рассматриваемых критических сфер является безопасность информационных технологий, используемых при разработке программного обеспечения систем критических приложений.
Под безопасностью информационных технологий понимается их способность к парированию (нейтрализации) или недопущению воздействий внешних и внутренних угроз безопасности информации, таких как:
внедрение злоумышленных программных закладок, нарушающих расчетное функционирование систем;
несанкционированный доступ к информации с целью ее модификации или уничтожения либо получения лицом, для которого данная информация не предназначена, с помощью специальных программных закладок, которые позволяют нейтрализовать механизмы защиты информации и информационных систем.
С учетом сказанного можно утверждать, что злоумышленные программные дефекты – самая опасная разновидность информационного оружия, а проблема обеспечения технологической безопасности систем критических приложений является наиболее актуальной.
Как исправить положение?
Какова должна быть программа действий, направленных на противодействие сложившейся тенденции? Прежде всего, это – стимулирование работ по созданию и внедрению безопасных информационных технологий в процесс производства программного обеспечения систем критических приложений, концентрация усилий научно-исследовательских, образовательных учреждений и организаций, коммерческих структур на проведении соответствующих исследований и инновационной деятельности.
С учетом существующего и предполагаемого экономического состояния общества, а также особенностей рассматриваемой проблемы целесообразно выделить два этапа ее решения.
Цель первого этапа – разработка теории информационной безопасности, основ безопасных информационных технологий, а также разработка и реализация первоочередных мероприятий по повышению информационной безопасности систем критических приложений.
Для достижения этой цели необходимо решить следующие задачи:
разработать концепцию обеспечения технологической безопасности программных средств и методологию задания и контроля выполнения требований безопасности;
разработать предложения по составу и содержанию нормативной, правовой и законодательной базы обеспечения технологической безопасности программных средств;
разработать предложения по структуре системы контроля технологической безопасности программного обеспечения систем критических приложений и организационно-штатным мероприятиям, направленным на их реализацию.
Цель второго этапа – использование отечественного научно-образовательного потенциала для создания полномасштабной системы контроля и обеспечения технологической безопасности программного обеспечения, используемого в системах критических приложений.
Для достижения этой цели необходимо решить следующие задачи:
разработать предложения по принятию конкретных законодательных актов, направленных на обеспечение технологической безопасности программного обеспечения;
обеспечить создание системы независимых центров контроля безопасности программного обеспечения;
организовать подготовку, повышение квалификации и переподготовку кадров по безопасным информационным технологиям и обеспечению контроля безопасности программных средств;
разработать систему мероприятий по постоянному совершенствованию безопасных информационных технологий и методологическому обеспечению контроля технологической безопасности программных средств.
Политика создания безопасного программного обеспечения
В основу реализации политики в области создания информационных технологий для систем критических приложений должны быть положены следующие принципы:
государственное бюджетное финансирование фундаментально-поисковых, научно-исследовательских и опытно-конструкторских работ по созданию и внедрению безопасных информационных технологий и их элементов на предприятиях-разработчиках программных средств с сохранением государственной собственности на разработанные технологии;
долевое финансирование за счет средств государственного бюджета, коммерческих и банковских структур, а также важнейших государственных корпораций научно-исследовательских и опытно-конструкторских работ по созданию и внедрению безопасных информационных технологий в кредитно-финансовую и банковскую сферы, на критически важных объектах промышленной и энергетической инфраструктуры государства;
выделение и государственная поддержка научных организаций и наукоемких промышленных предприятий, способных разработать промежуточный вариант безопасных информационных технологий и их элементов, с возможным оформлением их в качестве «ноу-хау» и коммерческим распространением как в России, так и за рубежом;
создание и государственная поддержка системы независимых центров контроля безопасности программных средств, не исключающая их коммерческой деятельности.
Итак, использование зарубежного программного обеспечения может представлять серьезную угрозу информационной безопасности России, особенно в случае его применения для систем критических приложений. Существующая система аттестации и сертификации импортных программных продуктов не может дать стопроцентной гарантии отсутствия в них программных закладок.
В этих условиях необходимо усилить внимание государства к работам по созданию отечественного системного программного обеспечения, вплоть до возможного принятия специальной федеральной программы с соответствующим бюджетным финансированием.
http://russiancounci…_4=886#top
В настоящее время в борьбе за сферы экономического и политического влияния акцент с открытого, в том числе военного, противостояния все заметнее смещается в сторону использования различных форм контроля и управления информационными ресурсами государств. Для достижения этих целей применяются высокоэффективное скрытое проникновение в программное обеспечение государственных информационных и управляющих систем, а также активно навязываемая всеми доступными средствами привязка к иностранным информационным технологиям. В результате информационная инфраструктура государства становится технологически зависимой даже от отдельной фирмы-производителя программного обеспечения.
Информационное воздействие как новый вид оружия
Информационное воздействие может рассматриваться как новый вид оружия, которое в определенной степени более эффективно, чем традиционные виды вооружения и военной техники.
Россия обладает значительным военным и экономическим потенциалом и представляет серьезное препятствие для проводимой странами Запада, прежде всего США, политики экономической, культурной и военной экспансии. Поэтому она является объектом наиболее пристального внимания спецслужб иностранных государств, занимающихся вопросами информационного противоборства.
Современное программное обеспечение – очень сложный продукт. При его создании используются специальные программные средства разработки и системное программное обеспечение, объем и сложность которого могут на порядок превышать аналогичные характеристики прикладного программного обеспечения. В связи с этим верификация программного обеспечения представляет практически неразрешимую задачу. Именно поэтому ни одна организация-разработчик не гарантирует абсолютной надежности создаваемого программного продукта, фактически снимая с себя ответственность за последствия, к которым могут привести дефекты в программах.
Особую сложность представляет обнаружение дефектов, которые могут преднамеренно вноситься на этапе создания программных продуктов. Прогрессирующая в России тенденция импорта зарубежных программных средств и информационных технологий приводит к увеличению возможного импорта программных дефектов. При этом резко возрастает вероятность поражения важнейших информационных систем России информационным оружием уже на этапе их разработки.
Недостатки и отставание в создании информационных технологий, в разработке нормативно-методической базы контроля безопасности программного обеспечения многократно обостряют проблему информационной безопасности России. Поэтому основой безопасных информационных технологий должны стать отечественные системные и инструментальные программные средства (операционные системы, компиляторы, отладчики, кроссассемблеры и т.д.), обеспечивающие эффективную разработку прикладного программного обеспечения.
Обеспечение безопасности программных средств
Проблема информационной безопасности имеет два аспекта: технологический и эксплуатационный.
Технологическая безопасность подразумевает отсутствие в программном обеспечении злоумышленных программных дефектов диверсионного типа.
Эксплуатационная безопасность характеризует защищенность информации от несанкционированного доступа и несанкционированных действий с ней. При этом очевидно, что одними только мероприятиями по защите информации и информационных систем от несанкционированного доступа нельзя обеспечить ее безопасность. При всей их эффективности они не исключают ситуации, когда защищенные информационные системы содержат в своем составе программное обеспечение, имеющее программные закладки, т.е. специально внесенные дефекты либо блоки, реализующие так называемые недекларированные возможности. Эти блоки могут быть направлены на решение задач, выходящих за рамки данного программного средства (например, сбор персональной информации, данных о выполняемых прикладных программах и т.п.). Более того, программные средства защиты также могут содержать программные закладки.
Анализ вероятных последствий применения программных закладок показывает, что в случае систем управления военного назначения речь может идти о блокировании возможности применения системы оружия определенного класса или информационной системы оборонного характера. В других случаях – о блокировании передачи, утечке или модификации (вплоть до уничтожения) информации в информационно-телекоммуникационных системах государственного управления, утечке или модификации (уничтожении) финансовой или банковской информации, нарушении функционирования экологически опасных производств, в первую очередь связанных с атомной энергетикой. Фактически это означает, что Россия, обладающая мощным оружием сдерживания потенциального агрессора, может оказаться безоружной и будет поставлена на грань экологической или финансовой катастрофы.
Используемые в этих сферах автоматические и автоматизированные системы, от расчетного функционирования которых зависит безопасность России, мы будем называть системами критических приложений. Обеспечение безопасности таких систем требует, в первую очередь, создания и внедрения перспективных автоматических и автоматизированных систем обработки информации. При этом повышение требований к средствам управления в критических сферах, постоянное расширение круга решаемых ими задач приводят к возрастанию удельного веса программного обеспечения в автоматических и автоматизированных системах управления. Это, в свою очередь, повышает требования к безопасности программного обеспечения, а, следовательно, и к безопасности используемых при его разработке и эксплуатации информационных технологий.
Таким образом, ключевым элементом безопасного функционирования рассматриваемых критических сфер является безопасность информационных технологий, используемых при разработке программного обеспечения систем критических приложений.
Под безопасностью информационных технологий понимается их способность к парированию (нейтрализации) или недопущению воздействий внешних и внутренних угроз безопасности информации, таких как:
внедрение злоумышленных программных закладок, нарушающих расчетное функционирование систем;
несанкционированный доступ к информации с целью ее модификации или уничтожения либо получения лицом, для которого данная информация не предназначена, с помощью специальных программных закладок, которые позволяют нейтрализовать механизмы защиты информации и информационных систем.
С учетом сказанного можно утверждать, что злоумышленные программные дефекты – самая опасная разновидность информационного оружия, а проблема обеспечения технологической безопасности систем критических приложений является наиболее актуальной.
Как исправить положение?
Какова должна быть программа действий, направленных на противодействие сложившейся тенденции? Прежде всего, это – стимулирование работ по созданию и внедрению безопасных информационных технологий в процесс производства программного обеспечения систем критических приложений, концентрация усилий научно-исследовательских, образовательных учреждений и организаций, коммерческих структур на проведении соответствующих исследований и инновационной деятельности.
С учетом существующего и предполагаемого экономического состояния общества, а также особенностей рассматриваемой проблемы целесообразно выделить два этапа ее решения.
Цель первого этапа – разработка теории информационной безопасности, основ безопасных информационных технологий, а также разработка и реализация первоочередных мероприятий по повышению информационной безопасности систем критических приложений.
Для достижения этой цели необходимо решить следующие задачи:
разработать концепцию обеспечения технологической безопасности программных средств и методологию задания и контроля выполнения требований безопасности;
разработать предложения по составу и содержанию нормативной, правовой и законодательной базы обеспечения технологической безопасности программных средств;
разработать предложения по структуре системы контроля технологической безопасности программного обеспечения систем критических приложений и организационно-штатным мероприятиям, направленным на их реализацию.
Цель второго этапа – использование отечественного научно-образовательного потенциала для создания полномасштабной системы контроля и обеспечения технологической безопасности программного обеспечения, используемого в системах критических приложений.
Для достижения этой цели необходимо решить следующие задачи:
разработать предложения по принятию конкретных законодательных актов, направленных на обеспечение технологической безопасности программного обеспечения;
обеспечить создание системы независимых центров контроля безопасности программного обеспечения;
организовать подготовку, повышение квалификации и переподготовку кадров по безопасным информационным технологиям и обеспечению контроля безопасности программных средств;
разработать систему мероприятий по постоянному совершенствованию безопасных информационных технологий и методологическому обеспечению контроля технологической безопасности программных средств.
Политика создания безопасного программного обеспечения
В основу реализации политики в области создания информационных технологий для систем критических приложений должны быть положены следующие принципы:
государственное бюджетное финансирование фундаментально-поисковых, научно-исследовательских и опытно-конструкторских работ по созданию и внедрению безопасных информационных технологий и их элементов на предприятиях-разработчиках программных средств с сохранением государственной собственности на разработанные технологии;
долевое финансирование за счет средств государственного бюджета, коммерческих и банковских структур, а также важнейших государственных корпораций научно-исследовательских и опытно-конструкторских работ по созданию и внедрению безопасных информационных технологий в кредитно-финансовую и банковскую сферы, на критически важных объектах промышленной и энергетической инфраструктуры государства;
выделение и государственная поддержка научных организаций и наукоемких промышленных предприятий, способных разработать промежуточный вариант безопасных информационных технологий и их элементов, с возможным оформлением их в качестве «ноу-хау» и коммерческим распространением как в России, так и за рубежом;
создание и государственная поддержка системы независимых центров контроля безопасности программных средств, не исключающая их коммерческой деятельности.
Итак, использование зарубежного программного обеспечения может представлять серьезную угрозу информационной безопасности России, особенно в случае его применения для систем критических приложений. Существующая система аттестации и сертификации импортных программных продуктов не может дать стопроцентной гарантии отсутствия в них программных закладок.
В этих условиях необходимо усилить внимание государства к работам по созданию отечественного системного программного обеспечения, вплоть до возможного принятия специальной федеральной программы с соответствующим бюджетным финансированием.
http://russiancounci…_4=886#top
ОТВЕТЫ (0)
Комментарии не найдены!