В соответствии с общепринятым современным подходом (см., например, [1] ), выделяют следующие аспекты информационной безопасности:
Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как существенный элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т.п. Так, по утверждениям специалистов, на химическом заводе человек-оператор способен воспринимать менее 1% информации о ходе производственного процесса. В таких условиях выход из строя системы автоматического управления чреват серьезной аварией. Внешне менее драматичные, но также весьма неприятные последствия — и материальные, и моральные — может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей. Имеются в виду продажа железнодорожных и авиабилетов, банковские услуги и т.п. Выход из строя информационной системы Центрального банка способен поставить под угрозу национальные интересы. Несомненно, читатели сами без труда умножат число подобных примеров.
Важность доступности как аспекта информационной безопасности находится в разительном противоречии с тем вниманием, которое уделяют данному аспекту потенциально заинтересованные стороны. Если вопросы защиты от несанкционированного доступа (то есть обеспечение конфиденциальности и целостности информации) курирует Гостехкомиссия России, а криптографические средства (что опять-таки связано с обеспечением конфиденциальности и целостности) — ФАПСИ, то доступность пока — сирота. Явно не хватает и современных исследований по данной теме, посвященных конфигурациям клиент/сервер и применимых на практике, в то время как простор для исследований выглядит практически безграничным, а их важность невозможно переоценить (см. [2] , [3] ). Наконец, забота владельцев информационных систем о доступности в лучшем случае сводится к покупке компьютеров "белой", а не "желтой" или "красной" сборки, что, мягко говоря, недостаточно.
В эпоху господства мэйнфреймов удалось создать инфраструктуру, способную поддержать по существу любой наперед заданный уровень доступности на всем протяжении жизненного цикла информационной системы. Эта инфраструктура включала в себя как технические, так и операционные регуляторы (обучение персонала и пользователей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к технологии клиент/сервер инфраструктура обеспечения доступности во многом оказалась утраченной, однако важность данной проблемы не только не уменьшилась, но, напротив, существенно возросла в силу повсеместного распространения вычислительной техники. Перед государственными и коммерческими организациями встала задача соединения упорядоченности и регламентированности, присущих миру мэйнфреймов, с открытостью и гибкостью систем, построенных в архитектуре клиент/сервер.
Такова ситуация на Западе. У российских компаний заботы несколько иные. Подавляющее большинство молодых организаций "избежали" мэйнфреймов, а вместе с ними и присущей им компьютерной культуры. Нашим организациям в плане обеспечения доступности приходится начинать даже не с нуля, а из отрицательной зоны, созданной "персоналочными" привычками (компьютер, стоящий на моем рабочем месте — мой, информация на нем — моя, я его как хочу, так и конфигурирую, и т.д.). Мысль об элементарном наведении порядка, конечно, не нова и обычно воспринимается без энтузиазма, но без подобной отправной точки, увы, не обойтись.
Цель настоящей работы — привлечь внимание к задаче обеспечения доступности информационных услуг и предложить (а в некоторых случаях — просто напомнить) возможные подходы к ее решению.
|
|
||
| Постановка задачи |
| Copyright ╘ 1993-2000, Jet Infosystems |