Модель защиты многоуровневых коммуникаций

Ляпустин Антон Евгеньевич аспирант, Университет ИТМО 197101, Россия, Санкт-Петербург, г. Санкт-Пеербург, Кронверкский пр., 49, Университет ИТМО Lyapustin Anton Post-graduate student, department of Design and Safety of Computer Systems 197101, Russia, Sankt-Peterburg, g. Sankt-Peerburg, Kronverkskii pr., 49, Universitet ITMO Lyapustinae@gmail.com Другие публикации этого автора     Колесникова Светлана Юрьевна аспирант, кафедра Проектирования безопасности и компьютерных систем, Университет ИТМО 197101, Россия, Санкт-Петербург, г. Санкт-Петербург, Кронверкский пр., 49, Университет ИТМО Kolesnikova Svetlana Postgraduate Student, Department of Computer Security Systems Design, University of ITMO 197101, Russia, Saint Petersburg, g. Saint Petersburg, Kronverkskii pr., 49, Universitet ITMO kolesnikovasy@corp.ifmo.ru Другие публикации этого автора

Мельник Данил Медхатович аспирант, кафедра Проектирования безопасности и компьютерных систем, Университет ИТМО 191186, Россия, Санкт-Петербург, г. Санкт-Петербург, ул. Большая Морская, 24, оф. 101 Mel'nik Danil Postgraduate Student, Department of Computer Security Systems Design, University of ITMO 191186, Russia, Saint Petersburg, g. Saint Petersburg, ul. Bol'shaya Morskaya, 24, of. 101 melnikdanil@gmail.com Другие публикации этого автора

В качестве примера среды гетерогенных информационных платформ и разработки модели её защиты в данной статье взята система электронной поддержки процессов он-лайн коммуникаций в больнице – e-health online communications, ориентированная на обеспечение безопасности сеансов связи между двумя точками, которые передают информацию с различными уровнями чувствительности. Дополнительной мотивацией здесь служит и актуальность развития электронных коммуникаций и их защиты в системе здравоохранения РФ, так как большинство таких разработок в отечественной медицине ограничено проектами технической защиты базы персональных данных пациентов в соответствии с требованиями законодательства и нормативных документов регуляторов Российской Федерации ^[2-8]. Вместе с тем систему e-health крупной больницы в контексте данных исследований можно считать достаточно типичной для компьютерных коммуникаций большинства организаций, так как различия в этих организациях касаются в основном содержания информационных потоков, но не условий их формирования и организации защиты.

Модель многоуровневых коммуникаций (ММК): классификация коммуникаций.

Необходимо определить, как классифицировать каждую коммуникацию между пользователями в e-health на основе уровней чувствительности информации, передаваемой во время связи. Классификация коммуникаций может обеспечить гибкие механизмы защиты в рамках коммуникации на основе потребностей организации.

В этой связи предлагается разбивать сообщения в e-health на пять уровней от Уровня 1 до Уровня 5, на основе пяти классификаций информации, описанных в п. 3.2. В таблице 1 показаны пять типов сообщений в ММК. Коммуникация Уровня 1 содержит данные с самым высоким уровнем чувствительности (“Совершенно секретно”), тогда как уровень 5 содержит данные с самым низким уровнем чувствительности (“Общедоступная”). Предлагаемая на каждом уровне защита безопасности соответствует безопасности, предусмотренной в ISO 17799:

Уровень 1: для обмена информацией между пользователями, которые обмениваются информацией категории Совершенно секретно, являющейся чрезвычайно чувствительной. Должны применяться механизмы максимальной защиты. Эта информация должна быть защищена от угроз и потерь и раскрываться только уполномоченным пользователям, таким как врачи, сами пациенты и медсестры. Любое раскрытие другим пользователям должны получить согласие пациентов.

Таблица 1. – Пять уровней коммуникаций в ММК

Уровень 2: для обмена информацией между пользователями, обменивающимися высококонфиденциальной информацией, для которой недопустимо коллективное пользование или общедоступность. Сюда входит информация, поступающая от мобильных устройств в организацию. Безопасность на этом уровне должна быть очень высокой и соответствовать устройствам с ограниченными ресурсами.

Уровень 3: для коммуникации информации между пользователями, обменивающимися частной информацией, необходимой для операционных процедур в больнице. Безопасность на этом уровне средняя.

Уровень 4: для обмена информацией между пользователями, которые обмениваются информацией только для внутреннего использования, которая связана с общей информацией о системе организации и не связанной с медицинской информацией. Безопасность на этом уровне низкая.

Уровень 5: для обмена информацией между пользователями, обменивающимися общедоступной информацией. Этот уровень разделён на два уровня безопасности, называемый безопасным открытым каналом, и без обеспечения безопасности, называемый публичным открытым каналом. Безопасность на этом уровне минимальна.

На данном этапе были предложена классификация коммуникаций и определено, какие типы конфиденциальной информации передаются на каждом уровне. Также было определено, до какого уровня безопасность должна быть применена. Далее рассмотрим предлагаемые механизмы защиты на каждом уровне с разными уровнями безопасности, использующие протоколы криптографии.

Требования безопасности для защищенной среды коммуникаций e-health.

Требования безопасности выводятся из потребностей организации и отличаются от одной организации к другой. Согласно Bleumer ^[9], требования к системам e-health включают аутентификацию для входа в систему, конфиденциальность с целью предотвращения раскрытия информации и анонимности (например, для получения анонимной консультации от экспертной системы). Rodriguez и др. ^[10] добавили такие требования как целостность при хранении данных, контроль доступа к защищенной медицинской информации, отказоустойчивость всех информационных потоков, обнаружение атак, а также аудит безопасности. Blobel и Roger-France ^[11] создали общую модель безопасности, основанную на коммуникационных аспектах приложения. Элементами, необходимыми для обеспечения связи, были идентификация, аутентификация, контроль доступа, целостность, конфиденциальность и доступность.

Хотя разные организации имеют разные требования безопасности в соответствии с их потребностями, основные требования безопасности должны быть сосредоточены на рассмотрении аспектов конфиденциальности, целостности и доступности ^[1]. Данное исследование ориентировано на защиту обмена сообщениями между двумя точками, находящимися между отправителем и получателем в разных средах обмена данными. Оба пользователя хотели бы убедиться, что отправленное или полученное сообщение защищено от несанкционированного доступа (конфиденциальность), не изменено (целостность), и оригинальность сообщения гарантирована (отказоустойчивость).

Отправитель также хочет удостовериться, что он может проверить, что сообщение от него (отказоустойчивость). Получатель хотел бы убедиться, что он может получить доступ к сообщению всякий раз, когда ему необходимо (доступность). Эти требования часто решаются с использованием криптографии ^[12-16]. Криптографические протоколы, которые шифруют, дешифруют, осуществляют хеш-функции, цифровую подпись и цифровые сертификаты, должны удовлетворять следующим требованиям безопасности.

1. Конфиденциальность часто ассоциируется с шифрованием / расшифровкой открытого текста. Шифрование преобразует открытый текст в зашифрованный текст (и, наоборот, для расшифровки), используя общий симметричный ключ, таким образом, чтобы третьему лицу не удалось восстановить фактический текст из открытого текста. Гарантируя, что только предполагаемый получатель может восстановить открытый текст, доступность также включена

2. Для того, чтобы отправитель удостоверился, что открытый текст не изменен, хэш-сообщение может быть вычислено из открытого текста и внедрено в сообщение перед отправкой его получателю. Получатель может проверить хеш-сообщение, повторно вычисляя новое сообщение хэша из открытого текста.

3. Отправитель может представить доказательство того, что он отправляет сообщение с использованием цифровой подписи, путём шифрования частей сообщения своим личным ключом, чтобы получатель мог проверить его, используя открытый ключ отправителя.

4. Открытый ключ получателя можно систематически обрабатывать с помощью цифровых сертификатов, которые связывают пользователя с его открытым ключом.

Исходя из этих требований, разрабатывается предлагаемая модель безопасной коммуникации для каждого уровня в ММК, которая может обеспечить гибкие функции защиты.

ММК: Предлагаемые механизмы защиты.

Как рассматривалось в п 3.1, более чувствительные данные имеют большую степень потери или потенциального ущерба по сравнению с менее чувствительными данными. Общепринятой практикой является медицинский персонал, который сохраняет конфиденциальную информацию пациента во время её передачи, что указано в нескольких стандартах, таких как, IPPA (http://www.hhs.gov/ocr/hipaa/) и APA (http://www.privacy.gov.au/). Однако в этих стандартах не указывается, каким образом следует внедрять механизм безопасности для защиты информации.

Предлагаемые механизмы защиты в ММК основаны на требованиях безопасности, описанных выше, в которых используются криптографические протоколы. ММК принимает во внимание обеспечение гибкой защиты безопасности в целях удовлетворения потребностей в безопасности e-health. ММК предоставляет три типа механизмов безопасности, которые представляют собой защиту данных, безопасность канала, а также защиту данных и каналов. Безопасность данных использует криптографические протоколы, такие как симметричное шифрование / дешифрование, хеш-функция и цифровую подпись, тогда как безопасность канала использует протокол SSL. Каждый из механизмов безопасности ММК будет подробно рассмотрен.

Механизм 1: защита данных

Рассмотрим две точки коммуникаций (отправитель и получатель), изображенные на рисунке 1. Отправитель хочет отправить открытый текст получателю. Оба они нуждаются в криптографических протоколах для обеспечения (и восстановления) открытого текста.

		Узел отправителя		Узел получателя

Рисунок 1. - Защита данных между двумя точками

3,Ниже описаны обозначения, используемые в процессах криптографии:

- публичные и частные ключи получателя (pubKr, privKr);

- открытые и закрытые ключи отправителя: (pubKs, privKs);

- симметричные ключи K;

- простой (незашифрованный) текст, Р, хеш незашифрованного текста, Н(Р);

- цифровая п