В XXVII веке до нашей эры, во времена Третьей династии египтянин, Имхотеп служил своему фараону в самых разных ипостасях: инженера, архитектора, физика, изобретателя папирусных свитков, создателя колонн, священнослужителя и т. д. Он построил пирамиду Джосера и поэтому стал первым известным в истории инженером, а как строитель-мастер передал знания своим ученикам, которые столетие спустя завершили Великую Пирамиду Гизы.

До недавнего времени крупные строительные проекты оставались уделом ремесленников, работавших в рамках цеховой системы, при которой строители-мастера стремились развивать свое искусство и практические навыки, передавая секреты достойным ученикам и подмастерьям. Все совершенствовалось постепенно. Организация защиты крупных распределенных систем информационной безопасности переживает сейчас примерно аналогичную стадию своего развития. Определенные принципы и нормативы, интегрированные в процессы и стандарты жизненного цикла системы, образуют инженерию средств поддержки безопасности, но пока это ремесло в равной степени является и наукой и искусством.

В 80-х годах исследователи потратили немало сил на разработку принципов и развитие науки создания крупных защищенных систем, однако в первой половине 90-х начался застой в сфере инженерии системной безопасности — коммерческие компании и государственные учреждения были расформированы, в силу чего большая часть знаний этой области сохранилась лишь в головах немногих специалистов. Но потребность в инженерии системной безопасности никуда не исчезла, а тем более стала актуальной проблема обучения «подмастерьев» ремесла под названием "информационная безопасность".

Что должны знать начинающие инженеры по безопасности?

Инженерия системной безопасности неразрывно связана с более обширной дисциплиной, системной инженерией. Есть множество различных определений данной дисциплины, но, как заметили Бенджамин Бленчард и Уолтер Фабриски, «системная инженерия – это хорошая инженерия, определенным областям которого уделяется особое внимание» [1]. К таким областям относятся:

  • анализ системы как целого, использущий подход "сверху вниз";
  • оценка и управление рисками на протяжении всего жизненного цикла системы;
  • установка четких требований и определений к каждому этапу жизненного цикла системы;
  • применение междисциплинарного подхода к проектированию и разработке, позволяющего использовать различные методы, методики и инструменты.

Международный совет по системной инженерии International Council on Systems Engineering [2] утвердил процесс Similar, объединяющий семь этапов [3]: постановка задачи, изучение альтернатив, моделирование системы, интеграция (подсистем), запуск системы, оценка производительности, повторная оценка. Этот процесс поддерживает последовательные и параллельные пошаговые итерации.

Чтобы снизить уровень угроз, возникающих случайно или злонамеренно, процессы разработки безопасных систем должны включать в себя инженерию безопасности информационных систем (Information Systems Security engineering, ISSE), а также последовательное применение принципов обеспечения качества информации на протяжении всего жизненного цикла системы. (В этой статье под ISSE мы будем понимать как инженерную дисциплину, так и инженера, который ее практикует.) ISSE объединяет основы системной инженерии с практикой, принципами и механизмами обеспечения качества информации, а также четкое представление о том, как ИТ влияет на производительность и функциональность системы.

Инжиниринг безопасности требуется как при добавлении функциональности в систему, так и при создании новых систем. В первом случае ISSE должен оценить риск и определить, как расширение функциональности изменит его степень. Такой инженер участвует в работе группы разработчиков на протяжении всего жизненного цикла системы. Многие трудности, с которыми сталкиваются ISSE, носят социальный характер [4] — им приходится иметь дело с:

  • пользователями, не знающими или упорно игнорирующими требования обеспечения безопасности;
  • пользователями, не желающими реагировать на требования обеспечения безопасности, поскольку их собственная деятельность представляется им более важной;
  • широким кругом требований, реалий и практики применения средств обеспечения безопасности;
  • системными инженерами, которые либо не понимают, либо не видят смысла в процессе проектирования защиты;
  • инженерами по вопросам безопасности, неспособными спроектировать компонуемые системы;
  • руководителями, неспособными адекватно оценить риск, перед тем как одобрить системы.

В результате квалифицированный ISSE должен четко понимать, в чем суть системной инженерии и инженерии безопасности, и иметь прекрасные навыки межличностного общения.

Программа обучения ISSE должна гарантировать, что студенты прочно освоят три вещи. Во-первых, они должны достаточно знать о системной инженерии для того, чтобы быть эффективными партнерами инженерных групп. Во-вторых, они должны изучить базовую науку, принципы, методологии и технологии инженерии системной безопасности. И наконец, они должны обучиться тонкому искусству ведения переговоров.

Сертификат ISSE

В конце 2007 года Военно-морская последипломная школа в Монтерее (шт. Калифорния) и Агентство национальной безопасности США приняли решение совместно заняться обучением нового поколения специалистов по ISSE. Цель состояла в том, чтобы предложить учебный курс, который позволил бы студентам получить общий базовый уровень знаний по этой дисциплине. Школа привнесла в этот проект опыт обучения методам и технологиям поддержки качества информации, исследования и создания безопасных систем, а также предоставила возможность использовать службы Министерства обороны США. В состав группы со стороны АНБ вошли сотрудники, отвечающие за операции ISSE в этой организации, имеющие большой опыт в разработке безопасных систем, и другие специалисты, заинтересованные в превращении ISSE из искусства в науку.

При разработке учебной программы по ISSE мы предположили, что ее участники будут уже иметь незаконченное (после колледжа) или законченное высшее образование. Более того, мы хотели, чтобы программа продолжалась около двух полноценных академических четвертей и содержала от четырех до шести курсов, которые студенты могли бы выбрать либо для того, чтобы получить отдельный сертификат, либо чтобы прослушать их как часть учебного курса магистратуры факультета компьютерных наук Военно-морской школы. Создатели учебной программы предположили, что студенты будут иметь техническое образование в таких областях, как компьютерные науки, компьютерная инженерия, математика или сопутствующие дисциплины; обладать базовыми знаниями в области кибербезопасности и поддержки качества информации; пройдут учебный курс по операционным системам и сетям.

Исходя из этих предположений, мы предложили программу из пяти курсов. Первые два курса, Network Security ("Сетевая безопасность") и Secure System Principles ("Принципы обеспечения безопасности систем"), закладывают основу для более продвинутых курсов, ориентированных на ISSE. Курс Vulnerability Assessment and Risk Mitigation ("Оценка уязвимости и снижение рисков") готовит студентов к задачам, в которых ISSE должны определять, как один или несколько новых программных компонентов повлияют на общую безопасность системы. Эти курсы также ставят целью ознакомить студентов с конкретными темами, касающимися снижения рисков при разработке и эксплуатации системы. Два специальных курса: Introduction to ISSE ("Введение в инжиниринг обеспечения безопасности информационных систем") и Applied ISSE ("Прикладной ISSE") базируются на предположении, что понимание взаимозависимостей между операциями ISSE имеет критически важное значение для того, чтобы добиться профессионализма в анализе и разработке безопасных систем. В Таблице 1 отмечены темы, освещаемые в каждом курсе.

Курсы по ISSE составлены таким образом, чтобы охватить шесть основных этапов процесса ISSE в том виде, как они определены в Information Assurance Technical Framework [5]. Этапы IATF следуют логической последовательности процесса Similar.

Этап 1. Discover Information Protection Needs ("Определение потребностей в защите информации"). Определение необходимой защиты информации на основе ее важности и целей, а также бизнес-рисков.

Этап 2. Define System Security Requirements ("Определение требований к безопасности системы"). Формирование понимания того, насколько важно корректно определить требования к безопасности на основе контекста безопасности системы, концепции безопасности операций и анализа угроз.

Этап 3. Design System Security Architecture ("Проектирование архитектуры безопасности системы"). Необходим для создания архитектуры безопасности на основе сформулированных требований, необходимых сервисов безопасности и доступных механизмов безопасности.

Этап 4. Develop Detailed Security Design ("Разработка детальной архитектуры безопасности"). Требуется для разработки детальной архитектуры безопасности. Учебная группа может реализовать прототипы для того, чтобы убедиться в правильности выбранных архитектурных решений.

Этап 5. Implement System Security ("Реализация безопасности системы"). Преобразование проекта в действующую систему [5] с гарантией того, что созданная система сможет снизить уровень угроз, выявленных на предыдущих этапах.

Этап 6. Assess Information Protection Effectiveness ("Оценка эффективности защиты информации"). Необходим для оценки эффективности выбранного решения обеспечения безопасности и оставшихся рисков.

Курс Introduction to ISSE ("Введение в ISSE") посвящен детальному изучению этапов 1 и 2 и дает начальное представление об этапах 3, 4 и 5. В рамках курса Applied ISSE ("Прикладной ISSE") делается обзор этапов 1 и 2 и детально изучаются этапы 3-5.

Пилотная программа

Летом 2009 года 12 сотрудников АНБ подтвердили свое желание участвовать в шестимесячной программе ISSE Certificate. Они должны были посещать семинары и заниматься соответствующей деятельностью в рамках своей основной работы. Агентство предоставило им место для работы в лаборатории в Мэриленде специально для изучения ISSE. Были также организованы видеоконференции в аудиториях и поддержка для проведения консультаций по Web. За два месяца до начала занятийи студентам были предоставлены материалы и средства самообучения, чтобы освежить их общие знания по поддержке качества информации.

Перед началом основной программы в течение недели в группе проводилось интенсивное обучение в аудиториях и лабораториях в Монтерее. Студентам преподавались курсы Network Security, Secure System Principles и Introduction to ISSE. В академической среде Военно-морской школы студентов представили друг другу и сформировали группу, которая должна была работать и учиться вместе в течение следующих шести месяцев. Затем мы перешли на обучение в режиме видеоконференций. Под конец четверти студенты вернулись в Монтерей для дополнительных лабораторных работ, аудиторных занятий и финальных экзаменов, после чего сразу же перешли к последним двум курсам. В конце программы преподаватели факультета приехали в Мэриленд и провели интенсивное обучение для подготовки к заключительным и вспомогательным профессиональным экзаменам.

Два лабораторных проекта для курса Applied ISSE должны были способствовать формированию ориентированного на ISSE критического и логического мышления. Проект Shipboard Antipiracy Alarm System должен был повысить профессионализм студентов в классификации, выборе, настройке и предоставлении заданных элементов управления безопасностью. Мы также предусмотрели в проекте рассказ о методологии IATF определения потребностей в защите. В рамках соответствующей лабораторной работы предлагалось создать гипотетическую систему, которая интегрирует технологию Ship Security Alert Systems на кораблях торгового флота в компьютерные системы ВМС США для того, чтобы обеспечить более эффективную реакцию на случай чрезвычайных ситуаций (например, актов терроризма или пиратства).

Второй проект был посвящен формированию у студентов навыков проектирования. В рамках этого проекта студенты должны были добавить новую возможность к существующей системе. Во время аудиторных занятий по проектированию студенты сначала анализировали текущую организацию систем обнаружения вторжений (Intrusion Detection System, IDS) в нашей учебной системе [6], а затем разрабатывали схематичный план для реализации возможности погружения в систему безопасности, используя который аналитик по вопросам безопасности, имеющий доступ на самом высоком уровне секретности, мог бы видеть уведомления IDS на всех уровнях, а также создавать интегрированный отчет. По нашему замыслу этот проект должен был показать, как студенты могут применять принципы проектирования (например, разделение по уровням и минимальные привилегии) для того, чтобы реализовать элементы управления безопасностью и сервисами сетевой безопасности в распределенной системе с многоуровневой защитой.

По мере изучения программы и проведения множества проверок, экзаменов и проектов, у студентов могло возникнуть впечатление, что они принимают участие в эксперименте на выживание для телевизионного реалити-шоу, однако, когда все закончилось, они получили обширные знания и создали вокруг себя сообщество коллег, с которыми могли обсуждать вопросы инженерии безопасности.

Полученные уроки

Группа NPS-NSA тоже училась.

Подготовка студентов

Студенты имели разное образование: математика, ИТ, компьютерные науки и компьютерная инженерия. С самого начала мы знали, что некоторым из них придется освежить знания, особенно в области операционных систем, поэтому мы зарезервировали две недели в курсе Secure System Principles для того, чтобы дать обзор операционных систем и другой базовый материал по информатике. Ничего хорошего из этого не вышло. Студенты, получившие образование по информатике, откровенно скучали, а остальные буквально утонули в массе обрушившихся на них сведений. В рамках этого подхода мы были вынуждены сократить время, отпущенное на изучение остального курса, в результате чего его пришлось заканчивать в большой спешке. Вывод: не снижайте предварительные требования.

Использование видеоконференций

Первоначально мы опасались, что видеоконференции окажутся не очень эффективным средством обучения, однако класс проявлял большой энтузиазм, возможно потому, что в начале каждой четверти студенты собирались вместе, а изучаемый материал был непосредственно связан с их работой. (Как преподаватели мы пришли к выводу, что этот уровень заинтересованности был не совсем обычным, но приятным сюрпризом.) Вывод: видеоконференции оправданны в сочетании с начальным высококачественным обучением в аудитории.

Проекты

Поскольку мы стремились дать студентам некий структурированный «дамп ядра» того, что мы знали сами, часть подготовленных нами проектов и практических примеров были слишком сложными и трудоемкими. Поэтому студенты тратили очень много времени на то, чтобы попытаться понять контекст упражнения, вместо того чтобы работать над поставленными целями обучения. Вывод: нужно сосредотачиваться на одном более крупном практическом примере, организованном так, чтобы он охватывал все темы.

***

По мере развития структурного инжиниринга от строительства простых хижин до возведения многоэтажных зданий греки изобрели геометрию, римляне – стандарты и детальную топографическую разведку, а исламский мир Средневековья усовершенствовал такие вещи, как централизованные системы отопления и водоснабжения. Начало инжинирингу на основе научных знаний положил другой великий энциклопедист – Леонардо да Винчи. В XVII столетии наука и инженерия вступили в эпоху Возрождения благодаря работам Галилея, Гука, Ньютона, Лейбница, Бернулли, Эйлера, Навье и других, а сейчас физика и материаловедение объединяются с достижениями математики, позволяя архитекторам и инженерам постигать и создавать конструкции, которые на первый взгляд нарушают законы гравитации — настолько далеко друг от друга находятся опоры их куполов.

Инженерия безопасности информационных систем переживает эпоху своего становления, и, возможно, мы приближаемся к периоду Возрождения, по мере того как вспоминаем открытые ранее принципы и распространяем развивающиеся стандарты и процедуры. С ростом числа программ обучения ISSE можно ожидать, что возникнет живой обмен между наукой и практикой обеспечения безопасности, а эта область превратится из искусства, передаваемого от мастера к подмастерьям, в строгую научную дисциплину.

Литература

  1. B.S. Blanchard, W.J. Fabrycky, Systems Engineering and Analysis. 4th ed., Prentice Hall, 2006.
  2. A Consensus of the INCOSE Fellows. Int'l Council on Systems Eng., 2006; www.incose.org/practice/fellowsconsensus.aspx.
  3. A.T. Bahill, B. Gissing, Reevaluating Systems Engineering Concepts Using Systems Thinking. IEEE Trans. Systems, Man and Cybernetics, Part C: Applications and Reviews, vol. 28, no. 4, 1998.
  4. R.K. McAllister, Information Systems Security Engineering: The Need for Education. Proc. ACSA Workshop Application of Eng. Principles to System Security Design (WAEPSSD 02), Applied Computer Security Associates, 2002; www.acsac.org/waepssd/papers/05-mcallister.pdf.
  5. Information Assurance Technical Framework, Release 3.0, US Nat'l Security Agency, Sept. 2000, Ch. 3; http://oai.dtic.mil/oai/oai?&verb=getRecord&metadataPrefix=html&identifier=ADA393328.
  6. C.E. Irvine et al., MYSEA: The Monterey Security Architecture. Proc. 2009 ACM Workshop Scalable Trusted Computing (STC 09), ACM Press, 2009.

Синтия Ирвин (irvine@nps.edu)  – профессор, Тхи Д. Нгуэн (tdnguyen@nps.edu) – научный сотрудник Военно-морской последипломной школы США (Монтерей, шт. Калифорния).

Cynthia Irvine, Thuy Nguyen. Educating the Systems Security Engineer's Apprentice, IEEE Security & Privacy, July/August 2010, IEEE Computer Society. All rights reserved. Reprinted with permission.

Таблица. Курсы для получения сертификата по безопасности информационных систем

Курс Описание
Network Security ("Сетевая безопасность") Курс охватывает концепции и технологии, применяемые для обеспечения конфиденциальности, целостности и аутентичности информации, передаваемой по сетям. Основные темы: базовые принципы обеспечения сетевой безопасности, фильтрация трафика, анализ трафика, шифрование, туннелирование и инкапсуляция, инфраструктура открытого ключа, протоколы удаленной аутентификации и виртуальные частные сети.
Secure System Principles ("Принципы обеспечения безопасности систем") Курс охватывает основные темы и ключевые принципы, лежащие в основе конструктивного подхода к обеспечению безопасности систем, в том числе рассматривались: характеристика и ликвидация угроз; локализация; фундаментальные абстракции, принципы и механизмы; гарантия в течение жизненного цикла. Здесь также обсуждались современные достижения в сфере защитного оборудования, компонентов и систем.
Introduction to Information Systems Security Engineering ("Введение в инженерию обеспечения безопасности информационных систем") Курс охватывает фундаментальные принципы и процессы ISSE применительно к этапам модели жизненного цикла ISSE. Здесь эти процессы объясняются в контексте стратегии глубокой защиты, причем особое внимание уделяется роли инжиниринга требований к безопасности. Студенты изучают концепции и практические методики, необходимые для систематического выявления, формулирования и проверки требований к безопасности.
Vulnerability Assessment and Risk Mitigation ("Оценка уязвимости и снижение рисков") Студенты в рамках курса анализируют потенциальные уязвимые места в сетевых системах, изучая методы получения информации об удаленной сети и использования ее для злонамеренных целей или разрушения этой сети. Они также изучают, как можно снизить риски для таких систем. Выполняя лабораторные работы, студенты получают практический опыт работы с существующими инструментальными средствами и методиками оценки сетевых атак и уязвимости сети, а также систематического снижения уровня уязвимости.
Applied ISSE ("Прикладной ISSE") Курс продолжает анализ концепций и практических решений ISSE с точки зрения жизненного цикла системы. К основным темам относятся: анализ архитектуры и топологии обеспечения безопасности, оценка реализации системы, соответствие требований и возможностей отслеживать реализацию, стратегия тестирования и оценки безопасности, анализ требований сертификации и аккредитации, управление рисками. Подход, основанный на «системном мышлении», предусматривает оценку работы системной защиты на основе зависимостей, взаимодействий и неожиданно проявляющихся свойств системных компонентов в контексте функциональности, масштабируемости, интероперабельности и сопровождения. Конкретные примеры и проекты иллюстрируют практику инженерии безопасности.