Информационная безопасность
Выбери формат для чтения
Загружаем конспект в формате doc
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
Тема 1. Введение в информационную безопасность
1.1. Понятие информационной безопасности и защищенной системы
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защищенная система – это средство автоматизации какого-либо информационного процесса. Защищенная компьютерная система занимается обработкой конфиденциальной информации.
1.2. Необходимость защиты информационных систем и телекоммуникаций
Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали – национальном, отраслевом, корпоративном или персональном.
В Доктрине информационной безопасности РФ защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
1.3. Технические предпосылки кризиса информационной безопасности
Систематизируем научные и технические предпосылки сложившейся ситуации с обеспечением безопасности информационных технологий.
1. Современные компьютеры за последние годы стали приобретать гигантскую вычислительную мощь, но стали гораздо проще в эксплуатации. Это означает, что пользоваться ими стало намного легче и что все большее количество новых пользователей получает доступ к компьютерам. Средняя квалификация пользователей снижается, что в значительной мере облегчает задача злоумышленникам, так как в результате «персонализации» средств вычислительной техники большинство пользователей имеют личные рабочие станции и сами осуществляют их администрирование.
Большинство из них не в состоянии постоянно поддерживать безопасность своих систем на высоком уровне, поскольку это требует соответствующих знаний, навыков, а также времени и средств. Повсеместное распространение сетевых технологий объединило отдельные машины в локальные сети, совместно использующие общие ресурсы, а применение технологии «клиент-сервер» преобразовало такие сети в распределенные вычислительные среды. Безопасность сети зависит от безопасности всех ее компьютеров, и злоумышленнику достаточно нарушить работу одного из них, чтобы скомпрометировать всю сеть.
2. Прогресс в области аппаратных средств сочетается с еще более бурным развитием программного обеспечения. Как показывает практика, большинство распространенных современных программных средств (в первую очередь операционных систем) не отвечает даже минимальным требованиям безопасности. Главным образом, это выражается в наличии изъянов в организации средств, отвечающих за безопасность, и различных «недокументированных» возможностей. После обнаружения многие изъяны ликвидируются с помощью обновления версий или дополнительных средств, однако то постоянство, с которым обнаруживаются все новые и новые изъяны, не может не вызывать опасений. Это означает, что большинство систем представляют злоумышленнику широкие возможности для осуществления нарушений.
3. На наших глазах практически исчезает различие между данными и исполняемыми программами за счет появления и широкого распространения виртуальных машин и интерпретаторов. Теперь любое развитое приложение не просто обрабатывает данные, а интерпретирует интегрированные в них инструкции специального языка программирования, т. е. по сути дела является отдельной машиной. Это увеличивает возможности злоумышленников по созданию средств внедрения в чужие системы и затрудняет защиту, т. к. требует осуществлять контроль взаимодействий еще на одном уровне ‑ уровне виртуальной машины или интерпретатора.
4. Имеет место существенный разрыв между теоретическими моделями безопасности, оперирующими абстрактными понятиями типа объект, субъект и т. п. и современными информационными технологиями. Это приводит к несоответствию между моделями безопасности и их воплощением в средствах обработки информации. Кроме того, многие средства защиты, например, средства борьбы с компьютерными вирусами и системы firewall вообще не имеют системной научной базы. Такое положение является следствием отсутствия общей теории защиты информации, комплексных моделей безопасности обработки информации, описывающих механизмы действий злоумышленников в реальных системах, а также отсутствием систем, позволяющих эффективно проверить адекватность тех или иных решений в области безопасности. Следствием этого является то, что практически все системы защиты основаны на анализе результатов успешно состоявшейся атаки, что предопределяет их отставание от текущей ситуации.
5. В современных условиях чрезвычайно важным является обоснование требований безопасности, создание нормативной базы не осложняющей задачи разработчиков, а, наоборот, устанавливающей обязательный уровень безопасности. Существует ряд международных стандартов, пытающихся решить эту проблему, однако вплоть до последнего времени они не могли претендовать на то, чтобы стать руководством к действию или хотя бы заложить фундамент безопасных информационных технологий будущего. В России единственным официальным стандартом в этой области являются документы, подготовленные Гостехкомиссией РФ, и представляющие собой подражание зарубежным стандартам десятилетней давности. В условиях повальной информатизации и компьютеризации важнейших сфер экономики и государственного аппарата нашей стране необходимы новые решения в этой области.
Итак, развитие аппаратных и программных средств, распространение локальных и глобальных сетей привели к возрастанию количества видов и способов осуществления нарушения безопасности информации, что создало предпосылки для изменения требований к средствам защиты. Рассмотрим изменение функций средств защиты в современной обстановке.
1. Управление доступом.
2. Идентификация и аутентификация.
3. Наконец, от защиты требуются совершенно новые функции, а именно: механизмы, обеспечивающие безопасность системы в условиях возможного появления в виде программ, осуществляющих деструктивные действия, компьютерных вирусов и автоматизированных средств взлома.
4. Для того чтобы быть жизнеспособными и не вступать в безнадежный конфликт с существующими информационными технологиями, системы безопасности должны по мере возможности сохранять совместимость с популярными в настоящее время системами.
Решение этих задач нельзя откладывать на потом ибо без него дальнейшее развитие информационных технологий окажется под вопросом. В нашей стране, которая в настоящее время, благодаря тому, что мы начинаем информатизацию «с нуля», является полигоном для применения последних достижений информационных технологий, это актуально как нигде в мире.
1.4. Информационная безопасность в условиях функционирования в России глобальных сетей
Важнейшим механизмом повышения безопасности информационного пространства является государственно-правовое регулирование деятельности субъектов информационного обмена и рынка информационных услуг. Примерами подобных законодательных актов являются Закон РФ «Об информации, информатизации и защите информации». Федеральный Закон «Об участии в международном информационном обмене», а также ряд Указов Президента РФ.
В июне 2000 г. президент РФ Путин утвердил доктрину ИБ страны. Доктрина была одобрена на заседании Совета безопасности 23 июня 2000 г.
В настоящее время разработаны и продолжают совершенствоваться технологические основы защиты информационного взаимодействия в компьютерных сетях при их подключении к открытым коммуникациям, методы и средства межсетевого экранирования для защиты локальных сетей от несанкционированных воздействий со стороны открытых коммуникаций, базовые протоколы и средства построения защищенных виртуальных сетей на различных уровнях сетевого взаимодействия.
Одним из самых мощных средств обеспечения безопасности служит технология преобразования сетевых адресов (Network Address Translation, сокращенно NAT). NAT представляет собой предварительный стандарт Интернет-протокола, применяемый с тем, чтобы «спрятать» истинные адреса частной сети за одним или несколькими выделенными адресами. Механизм преобразования сетевых адресов (NAT) позволяет подключать локальную сеть к Интернет через единственный адрес IP, при этом все компьютеры локальной сети работают так, как если бы каждый из них был подключен к Интернет напрямую. Одним из главных компонентов системы обеспечения Б киберпространства РФ должен стать пост мониторинг уровня защищенности сегментов ее информационного пространства + создание служб по ликвидации последствий чрезвычайных ситуаций в информационной сфере. В ФСБ РФ начал функционировать Антивирусный центр, главными задачами которого являются: оценка качества антивирусных средств и обновлений к ним, выработка рекомендаций по построению антивирусной защиты информационно-телекоммуникационых систем органов государственной власти РФ, оказание помощи при ликвидации последствий заражений, оценки уровня защищенности систем. Протокол SSL (Secure Socket Layer) был разработан фирмой Netscape, как протокол обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP). Наиболее эффективный способ защиты при связи с Internet предполагает размещение межсетевого экрана FireWall Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные.
1.5. Основные задачи обеспечения защиты информации
К основным задачам обеспечения информационной безопасности относятся:
• выявление, оценка и прогнозирование источников угроз информационной безопасности;
• разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;
• разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и управления и предприятий по обеспечению информационной безопасности;
• развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;
• обеспечение активного участия России в процессах создания и использования глобальных информационных сетей и систем.
1.6. Основные методы и средства защиты информационных систем
Методы и средства обеспечения безопасности информации:
Препятствие ‑ метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом - методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.
Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Механизмы шифрования ‑ криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.
Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение ‑ метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Тема 2. Угрозы информационной безопасности
2.1. Понятие угрозы
Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
2.2. Виды противников или нарушителей
Под нарушителем ИБ понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.
Под атакой на ресурсы корпоративной сети понимается попытка нанесения ущерба информационным ресурсам систем, подключенных к сети. Атака может осуществляться как непосредственно нарушителем, так и опосредованно, при помощи процессов, выполняющихся от лица нарушителя, либо путем внедрения в систему программных или аппаратных закладок, компьютерных вирусов, троянских программ и т. п.
Все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних.
Внутренние нарушители
Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:
• обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
• программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
• технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
• сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.
Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).
Предположения о квалификации внутреннего нарушителя формулируются следующим образом:
• внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
• знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;
• является системным программистом, способным модифицировать работу операционных систем;
• правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
• может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.
В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.
Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.
Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B: располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.
Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С: обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС.
Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D: обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО. Концепция безопасности требует подотчетности лиц, относящихся к категории D и осуществления независимого контроля над их деятельностью.
Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E: обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.
Внешние нарушители
К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.
Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.
Предположения о квалификации внешнего нарушителя формулируются следующим образом:
• является высококвалифицированным специалистом в области использования технических средств перехвата информации;
• знает особенности системного и прикладного ПО, а также технических средств ИС;
• знает специфику задач, решаемых ИС;
• знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
• знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
• может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и из радиоканалов.
При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.
2.3. Виды возможных нарушений информационной системы (по Мещерякову В.А.)
1. Неправомерное завладение информацией или нарушение исключительного права ее использования.
1.1. Неправомерное завладение информацией как совокупностью сведений, документов (нарушение исключительного права владения).
1.2. Неправомерное завладение информацией как товаром.
1.3. Неправомерное завладение информацией как идеей (алгоритмом, методом решения задачи).
2. Неправомерная модификация информации.
2.1. Неправомерная модификация информации как товара с целью воспользоваться ее полезными свойствами (снятие защиты).
2.2. Неправомерная модификация информации как идеи, алгоритма и выдача за свою (подправка алгоритма).
2.3. Неправомерная модификация информации как совокупности фактов, сведений.
3. Разрушение информации.
3.1. Разрушение информации как товара.
3.2. Уничтожение информации.
4. Действие или бездействие по созданию (генерации) информации с заданными свойствами.
4.1. Распространение по телекоммуникационным каналам информационно-вычислительных сетей информации, наносящей ущерб государству, обществу и личности.
4.2. Разработка и распространение компьютерных вирусов и прочих вредоносных программ для ЭВМ.
4.3. Преступная халатность при разработке (эксплуатации) программного обеспечения, алгоритма в нарушение установленных технических норм и правил.
5. Действия, направленные на создание препятствий пользования информацией законным пользователям.
5.1. Неправомерное использование ресурсов автоматизированных систем (памяти, машинного времени и т. п.).
5.2. Информационное «подавление» узлов телекоммуникационных систем (создание потока ложных вызовов).
Опишем кратко основные особенности выделенных выше типов нарушений информационной безопасности.
Неправомерное завладение информацией как совокупностью сведений, фактов (нарушение исключительного права владения), т.е. ознакомление, а в некоторых случаях и распоряжение информацией субъектом, не имеющим на это законного права. Это наиболее часто встречающийся класс простейших преступных деяний, к которым относятся, как правило, без должного внимания. Примером данного вида деяний является ознакомление служащего банка с записью в базе данных о размере вклада того или иного клиента, его адресе, видах сделок и т. п. Результаты данного действия могут быть записаны на машинный носитель информации (магнитный или лазерный диск, магнитную ленту и т. п.), бумагу или просто остаться в памяти человека.
Неправомерное завладение информацией как товаром (незаконное копирование информации как товара). Это наиболее распространенный вид преступных деяний, который заключается в копировании программ или целой информационной системы (банка данных, электронного архива и т.п.) без согласия (разрешения) владельца или собственника. Данный вид деяний очень широко распространен в нашей стране как форма получения современного программного обеспечения. Еще более усложнилась задача защиты авторских прав в условиях развития глобальных сетей. Если на физических носителях правонарушители создают и распространяют хотя и большое, но все же конечное количество контрафактных экземпляров, то с публикацией в Интернет информация сразу становится доступной миллионам потребителей. Затруднено и установление фактических обстоятельств дела ‑ субъектов, места совершения преступления, ‑ ведь информация может быть размещена нарушителем на сервере, находящимся на территории другого государства.
Неправомерное завладение информацией как идеей, алгоритмом (методом преобразования информации). Данный вид преступления заключается в ознакомлении с использующимся методом расчета каких-либо оценок, алгоритмом принятия решений в экспертной системе или другой автоматизированной системе принятия решений. Примером такого деяния может быть ознакомление с методом расчета вероятности преодоления противоракетной обороны средствами воздушно-космического нападения вероятного противника, ознакомление с использующимся типом (механизмом) системы защиты информации в электронной системе платежей банка.
Неправомерная модификация информации как товара. Данный вид деятельности, так же как и неправомерное завладение информацией как товаром, получил большое распространение в России, однако ни в уголовном, ни в административно-правовом порядке ненаказуем. Многие фирмы-производители программного обеспечения, стараясь защитить себя от компьютерного пиратства, разрабатывают и используют различные методы защиты от копирования и анализа своих разработок. Однако экономические условия, в которых функционирует наша экономика, а также принципиальная невозможность создания абсолютных средств защиты информации приводят к тому, что в программное обеспечение или базу данных, полученную однажды законным (или «полузаконным» путем), вносится модификация, позволяющая делать неограниченное количество копий и использовать полезные свойства информации как товара без каких-либо ограничений (временных или по числу раз запуска), наложенных разработчиком.
Неправомерная модификация информации как идеи. Данный вид преступного деяния встречается гораздо реже и заключается не только в получении какого-либо программного обеспечения, но и его обязательный предварительный анализ. Примером такого рода действий могут служить широко известные случаи преступления в банковской сфере, когда в алгоритмы выполнения действий с записями на счетах, взимания процентов и прочих вносились незапланированные модификации, при которых с каждой операции на заранее подготовленный счет делались отчисления. Практически все известные на сегодняшний день преступления такого рода совершены разработчиками программного обеспечения и чаще всего теми же, которые его эксплуатируют.
Неправомерная модификация информации как совокупности фактов. Данный вид преступлений особенно широкое распространение получил в автоматизированных банковских системах, так как именно в них записи в полях баз данных отражают определенные денежные суммы или другие сведения, которые имеют конкретное денежное или иное экономическое выражение.
Разработка и распространение компьютерных вирусов. Этот вид деяний является очень распространенным в настоящее время и может соперничать по количеству зарегистрированных фактов разве что только с неправомерным завладением информацией как товаром.
Преступная халатность при разработке программного обеспечения, алгоритма в нарушение установленных технических норм и правил. Развитие вычислительной техники и информатики привело к тому, что автоматизированные системы управления находят свое применение практически во всех отраслях техники и экономики. Не являются исключением и вооружение, объекты атомной энергетики, непрерывные химические производства, системы управления воздушным движением, а также другие объекты, аварии и неисправности которых могут причинить огромный ущерб и непоправимые последствия. В связи с этим уже в настоящее время у нас в стране и за рубежом разработаны стандарты, инструкции и рекомендации, определяющие порядок разработки, испытания, эксплуатации и сопровождения программных средств критического приложения. Таким образом, здесь под составом преступления следует понимать нарушение этих установленных правил, которые повлекли за собой тяжкие последствия.
Неправомерное использование ресурсов автоматизированных систем. Развитие вычислительной техники, появление сетей привело к возможности их коллективного использования различными субъектами. При этом потребители запрашивают и оплачивают определенный вычислительный или временной ресурс. Под составом преступного деяния здесь следует понимать скрытый неправомерный захват вычислительного ресурса коллективного пользования каким-либо субъектом с намерениями минимизации либо полного исключения своих затрат за время его использования.
Информационное подавление узлов телекоммуникационных систем. Появление доступных информационных систем коллективного пользования, построенных на основе стандартных телефонных каналов взаимосвязанной системы связи России, позволило решать задачи информационного обеспечения самых широких кругов потребителей. В частности, с использованием этой информационной технологии разрабатывались системы электронных торгов на биржах, передачи ценовой информации, проведения электронных платежей. Большую роль в этом играет оперативность получения информации с использованием систем такого рода. Преднамеренная чрезмерная загрузка коммутирующих узлов делает оперативное получение информации невозможным.
2.4. Анализ угроз информационной безопасности
К наиболее важным свойствам угрозы относятся избирательность, предсказуемость и вредоносность.
Избирательность характеризует нацеленность угрозы на нанесение вреда тем или иным конкретным свойствам объекта безопасности.
Предсказуемость характеризует наличие признаков возникновения угрозы, позволяющих заранее прогнозировать возможность появления угрозы и определять конкретные объекты безопасности, на которые она будет направлена.
Вредоносность характеризует возможность нанесения вреда различной тяжести объекту безопасности. Вред, как правило, может быть оценен стоимостью затрат на ликвидацию последствий проявления угрозы либо на предотвращение ее появления.
Необходимо выделить два наиболее важных типа угроз:
1. намерение нанести вред, которое проявляется в виде объявленного мотива деятельности субъекта;
2. возможность нанесения вреда – существование достаточных для этого условий и факторов.
Особенность первого типа угроз заключается в неопределенности возможных последствий, неясности вопроса о наличии у угрожающего субъекта сил и средств, достаточных для осуществления намерения.
Возможность нанесения вреда заключается в существовании достаточных для этого условий и факторов. Особенность угроз данного типа состоит в том, что оценка потенциала совокупности факторов, которые могут послужить превращению этих возможностей и условий во вред, может быть осуществлена только собственно субъектами угроз.
Между угрозой и опасностью нанесения вреда всегда существует устойчивая причинно-следственная связь.
Угроза всегда порождает опасность. Опасность также можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту. Главное отличие между ними заключается в том, что опасность является свойством объекта информационной безопасности и характеризует его способность противостоять проявлению угроз, а угроза – свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно-следственную связь не только с понятием опасности, но и с возможным вредом как последствием негативного изменения условий существования объекта. Возможный вред определяет величину опасности.
2.5. Классификация видов угроз информационной безопасности по различным признакам
Существует несколько видов классификации угроз информационной безопасности объекта.
Угрозы делят:
• по источнику (его местонахождению) – на внутренние (возникают непосредственно на объекте и обусловлены взаимодействием между его элементами или субъектами) и внешние (возникают вследствие его взаимодействия с внешними объектами);
• по вероятности реализации – на потенциальные и реальные;
• по размерам наносимого ущерба ‑ на общие (наносят вред объекту безопасности в целом, оказывая существенное негативное воздействия на условия его деятельности), локальные (затрагивают условия существования отдельных элементов объекта безопасности) и частные (наносят вред отдельным свойствам элементов объекта или отдельным направлениям его деятельности);
• по природе происхождения ‑ на случайные (не связанные с действиями персонала, состоянием и функционированием объекта информационной безопасности, такие как отказы, сбои и ошибки в работе средств автоматизации, стихийные бедствия и другие чрезвычайные обстоятельства) и преднамеренные (обусловлены злоумышленными действиями людей);
• по предпосылкам возникновения – на объективные (вызваны недостатком системы информационной безопасности объекта, например, несовершенством разработанных нормативно-методических и организационно-плановых документов, отсутствием подготовленных специалистов по защите информации и т.п.) и субъективные (обусловлены деятельностью персонала объекта безопасности, например, ошибками в работе, низким уровнем подготовки в вопросах защиты информации, злоумышленными действиями или намерениями посторонних лиц);
• по видам объектов безопасности – на угрозы собственно информации (обусловлены попытками получения защищаемой информации различными способами и методами независимо от ее местонахождения), угрозы персоналу объекта (связаны с уменьшением влияния персонала на ситуацию в сфере обеспечения информационной безопасности, с попытками получения конфиденциальной информации от допущенного к ней персонала), угрозы деятельности по обеспечению информационной безопасности (направлены на снижение эффективности или нейтрализацию усилий, предпринимаемых руководством и персоналом объекта безопасности для исключения утечки защищаемых сведений, утраты или хищения носителей, ослабление системы защиты информации).
Представим следующую классификацию угроз, связанную со свойствами информации.
Свойства информации:
• доступность информации (возможность за приемлемое время получить требуемую информационную услугу);
• целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность информации (защита от несанкционированного ознакомления);
Исходя из свойств информации, выделим следующие виды угроз:
Угроза раскрытия параметров системы: появление новых угроз; выявление уязвимостей; увеличение рисков; увеличение успешности атаки. Угрозу раскрытия можно рассматривать как опосредованную. Последствия её реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам. Для открытых систем угроза раскрытия параметров системы считается неактуальной.
Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Иногда, в связи с угрозой нарушения конфиденциальности, используется термин «утечка».
Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую, в том числе и несанкционированное изменение информации при случайных ошибках программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, периодическая запланированная коррекция некоторой базы данных).
Угрозы нарушения целостности, конфиденциальности, безопасности можно считать первичными или непосредственными, так как реализация перечисленных угроз приведёт к непосредственному воздействию на защищаемую информацию.
Угроза отказа служб возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным ‑ запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.
2.6. Примеры реализации угроз информационной безопасности
Пример угрозы нарушения конфиденциальности информации ‑ доступное хранение резервных копий данных.
Пример угрозы нарушения целостности информации.
Примерами нарушения статической целостности являются:
• ввод неверных данных;
• несанкционированное изменение данных;
• изменение программного модуля вирусом.
Примеры нарушения динамической целостности:
• нарушение атомарности транзакций;
• дублирование данных;
• внесение дополнительных пакетов в сетевой трафик.
Пример нарушения доступности информации:
• отказ пользователей (неумение работать с ИС);
• внутренний отказ информационной системы (ошибки при переконфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных);
• отказ поддерживающей инфраструктуры (нарушение работы систем связи, электропитания, разрушение и повреждение помещений).
Тема 3. Основные положения теории информационной безопасности
3.1. Защита информации
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
3.2. Основные принципы обеспечения информационной безопасности в автоматизированных системах
Безопасность автоматизированной информационной системы (АИС) – состояние защищенности автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчетность и подлинность её ресурсов.
Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений.
При создании программно-аппаратных средств защиты информации разработчики руководствуются основными принципами, установленными действующими государственными законами и нормативными документами по информационной безопасности, сохранению государственной тайны и обеспечению режима секретности работ, проводимых в автоматизированных системах.
Принцип обоснованности доступа
Заключается в обязательном выполнении двух основных условий для предоставления доступа исполнителю (пользователю) к информации автоматизированной системы (АС):
• исполнитель (пользователь) должен иметь достаточную «форму допуска» для доступа к информации данного уровня конфиденциальности – грифа секретности (мандатное условие);
• исполнителю (пользователю) необходим доступ к данной информации для выполнения его производственных функций (традиционное условие).
Принцип достаточной глубины контроля доступа
Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированной системы, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями. При создании типовых средств защиты информации такие механизмы должны охватывать все возможные виды ресурсов, различаемые программно-аппаратными средствами системы, так как глубина детализации контролируемых ресурсов определяется спецификой конкретной автоматизированной системы.
Принцип разграничения потоков информации
Для предупреждения нарушений информационной безопасности, например при записи секретной информации на несекретные носители (тома, распечатки) и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также передачи секретной информации по незащищенным каналам и линиям связи необходимо осуществлять соответствующее разграничение потоков информации.
Принцип чистоты повторно используемых ресурсов
Заключается в очистке (обнулении, исключении информативности) ресурсов, содержащих конфиденциальную информацию (разделов ОП, файлов, буферов и т.п.), при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.
Принцип персональной ответственности
Заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или направлены на несанкционированное ознакомление с конфиденциальной информацией, ее искажение или уничтожение, или делают такую информацию недоступной для законных пользователей. Для проведения данного принципа необходимо выполнение следующих требований:
• индивидуальная идентификация пользователей и инициированных ими процессов (выполняющихся программ, задач, заданий и т.п.), т.е. установление и закрепление за каждым пользователем и его процессом уникального идентификатора (метки), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа (правилами предоставления доступа). В связи с этим такие идентификаторы и метки должны содержать сведения о форме допуска пользователя и его прикладной области (производственной деятельности);
• проверка подлинности пользователей и их процессов по предъявленному идентификатору или метке (аутентификация);
• регистрация (протоколирование) работы механизмов контроля доступа к ресурсам системы с указанием даты и времени, идентификаторов запрашивающего и запрашиваемого ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа.
Принцип целостности средств защиты
В автоматизированной системе необходимо обеспечивать целостность средств защиты информации, т.е. такие средства должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе. С этой целью построение комплекса средств защиты должно проводится в рамках отдельного монитора обращений, контролирующего любые запросы к данным или программам со стороны пользователей (или их программ) по установленным для них видам доступа к этим данным и программам. При этом «монитор обращений» контролирует взаимодействие ресурсов в программно-аппаратной среде, используя матрицу доступа в соответствии с разрешительной системой доступа.
3.3. Причины, виды и каналы утечки информации
Причины утечки информации являются:
• несоблюдение персоналом норм, требований, правил эксплуатации АС;
• ошибки в проектировании АС;
• ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и преднамеренным.
Виды утечки информации:
• разглашение;
• несанкционированный доступ;
• получение защищаемой информации разведками (как отечественными, так и иностранными).
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, физические лица.
Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей АС, или вне её.
Применительно к АС выделяют следующее каналы утечки:
1. Электромагнитный канал.
Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах АС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:
• радиоканал (высокочастотное излучение);
• низкочастотный канал;
• сетевой канал (наводки на сеть электропитания);
• канал заземления (наводки на провода заземления);
• линейный канал (наводки на линии связи между компьютерными системами).
2. Акустический (виброакустический) канал.
Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС.
3. Визуальный канал.
Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации АС без проникновения в помещения, где расположены компоненты систем. В качестве средства выделения информации в данном случае могут использоваться фото-, видеокамеры и т.п.
4. Информационный канал.
Связан с непосредственным или телекоммуникационным доступом к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключением к линиям связи. Информационный канал может быть разделён на следующие каналы:
• коммутируемых линий связи;
• выделенных линий связи;
• локальных сетей;
• машинных носителей информации;
• терминальных и периферийных устройств.
3.4. Понятие политики безопасности информационных систем
Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы. Формальное выражение политики безопасности называют моделью политики безопасности.
Основная цель создания политики безопасности информационной системы и описания ее в виде формальной модели ‑ это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.
3.5. Разработка и реализация политики безопасности
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
• решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
• формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
• обеспечение базы для соблюдения законов и правил;
• формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Политика среднего уровня должна для каждого аспекта освещать следующие темы: описание аспекта, области применения, позиция организации по данному аспекту, роли и обязанности, законопослушность, точки контакта.
3.6. Управление доступом к данным
Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими ресурсами). В данном случае, речь идет о логическом управлении доступом, которое, в отличие от физического, реализуется программными средствами. Логическое управление доступом – это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).
Разнообразие объектов и применимых к ним операций приводит к принципиальной децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту ту или иную операцию. Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов. Так, до реляционных баз таблиц можно добраться не только средствами СУБД, но и путем непосредственного чтения файлов или дисковых разделов, поддерживаемых операционной системой.
В результате при задании матрицы доступа нужно принимать во внимание не только принцип распределения привилегий для каждого сервиса, но и существующие связи между сервисами. Аналогичная трудность возникает при экспорте/импорте данных, когда информация о правах доступа теряется. Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.
Контроль прав доступа производится различными компонентами программной среды – ядром операционной системы, сервисами безопасности, системой управления базами данных, программным обеспечением промежуточного слоя и т.д. Можно выделить общие критерии, на основании которых решается вопрос о предоставлении доступа, и общие методы хранения матрицы доступа.
При принятии решения о предоставлении доступа обычно анализируется следующая информация:
• идентификатор субъекта;
• атрибуты субъекта (метка безопасности, группа пользователя и т.д.). Метки безопасности – основа принудительного (мандатного) управления доступом.
Матрицу доступа неразумно хранить в виде двумерного массива. Обычно ее хранят по столбцам, то есть для каждого объекта поддерживается список «допущенных».
3.7. Основные типы политики безопасности управления доступом к данным: дискреционная и мандатная политика безопасности
Модель систем дискреционного разграничения доступа
Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект-объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны, по меньшей мере, два подхода к построению дискреционного управления доступом:
• каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;
• система имеет одного выделенного субъекта – «суперпользователя», который имеет право устанавливать права владения для всех остальных субъектов системы.
Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и «суперпользователь», имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).
Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.
Мандатное управление доступом
Для реализации этого принципа каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа:
• субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта;
• субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.
Реализация мандатных правил разграничения доступа должна предусматривать возможности сопровождения изменения классификационных уровней субъектов и объектов специально выделенными субъектами. Должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном его разрешении и дискреционными, и мандатными правилами разграничения доступа. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.
3.8. Таксономия нарушений информационной безопасности вычислительной системы и причины, обуславливающие их существование
Таксономия, в отличие от классификации, представляющей собой абстрактную структуру разнесенных по категориям экземпляров, включает в себя комплексное исследование предметной области и создание теоретической модели полного множества изучаемых объектов, что позволяет определить признаки, которые могут быть положены в основу той или иной классификации.
Рассмотрим понятие потенциальной бреши в системе обеспечения безопасности (ПББ). Под ПББ понимается как совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению нормального функционирования вычислительной системы (ВС) и нарушению безопасности информации (несанкционированный доступ, ознакомление, уничтожение или искажение данных), так и особенности построения входящих в состав ВС программных средств обеспечения безопасности, которые не в состоянии противостоять атакам и обеспечивать безусловное выполнение возложенных на них задач по обеспечению безопасности. С точки зрения технологии создания защищенных систем наибольшее значение имеют следующие вопросы, на которые должна дать ответ таксономия ПББ:
1. Каким образом ошибки, приводящие к появлению ПББ, вносятся в систему защиты (классификация ПББ по источнику появления).
2. Когда (на каком этапе) они вносятся (классификация ПББ по этапу возникновения).
3. Где (в каких узлах) системы защиты (или ВС в целом) они возникают и проявляются (классификация ПББ по размещению в системе ).
Каждый вопрос предопределяет наличие соответствующего подраздела таксономии, в котором должен быть рассмотрен каждый случай нарушения безопасности.
Классификация ПББ по источнику появления
Как следует из определения ПББ, источником ее появления является ошибка или недоработка в системе безопасности. Ошибки, служащие источником появления ПББ, могут быть внесены в систему защиты специально (преднамеренно), либо возникнуть неумышленно, непреднамеренно.
Классификация ПББ по этапу возникновения
Существует большое число моделей жизненного цикла программных систем и подходов к процессу разработки программного обеспечения. Для выделения категорий ПББ относительно времени их внедрения необходимо построить простую абстрактную схему, соответствующую широкому спектру технологий разработки программного обеспечения (ПО).
На самом верхнем уровне представления жизненного цикла систем можно выделить три фазы:
• фазы разработки, которая охватывает весь период создания исходной рабочей версии системы;
• фазы сопровождения, в ходе которой происходит модификация, совершенствование, развитие системы и появление ее очередных версий;
• фазы эксплуатации, то есть непосредственного функционального применения конкретной версии системы.
Процесс разработки любой программной системы включает в себя несколько этапов. Прежде всего формулируются требования к системе, затем исходя из этих требований разрабатываются спецификации. На основании спецификаций создаются исходные тексты программ, которые затем компилируются и превращаются в исполняемый код. И на каждом из этих этапов в создаваемую систему могут быть внесены ошибки, которые приводят к возникновению ПББ.
Случайные ошибки, внесенные в систему во время ее сопровождения, чаще всего обусловлены неправильным представлением программистов всех аспектов функционирования системы в целом. Любые изменения, вносимые ими в систему, потенциально могут превратиться в каналы утечки информации. Для предотвращения такой ситуации каждое вносимое изменение должно сопровождаться тщательной проверкой всей системы в целом, так как если бы она была только что создана заново.
Возникновение ошибок и сбоев, утечка информации и другие подобные явления в процессе функционирования системы в большинстве случаев происходят по причине воздействия на нее специально написанных программ – разрушающих программных средств (РПС).
Хорошо известные случаи вирусных атак являются наиболее ярким обоснованием необходимости постоянного контроля и анализа состояния системы и исполняемых файлов. Основной задачей такого анализа в процессе функционирования системы является выявление несанкционированной модификации каких-либо фрагментов исполняемого кода. Очевидно, что целью РПС является не просто модификация кода, а нарушение функционирования системы и возможно доступ к конфиденциальным данным, перехват паролей, создание скрытых каналов утечки информации и т.д.
Тема 4. Программно-технические методы защиты информации
4.1. Общее представление о структуре защищенной информационной системы
Информационной системой (или информационно-вычислительной системой) называют совокупность взаимосвязанных аппаратно-программных средств для автоматизации накопления и обработки информации. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.
Защищённая информационная система ‑ это система, реализующая информационную модель предметной области, чаще всего, какой-либо области человеческой деятельности. Защищённая информационная система должна обеспечивать безопасное получение (ввод или сбор), хранение, поиск, передачу и обработку (преобразование) информации.
Анализ современных информационных систем (MBS Navision, MBS Axapta, SAP, 1С и другие.) позволил выявить их типовой состав:
1. Данные (от лат. data) ‑ это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.
2. Информация – это сведения о ком-либо или о чем-либо получаемые из внешнего мира с помощью различных средств. Информация (лат. informatio ‑ разъяснение, изложение, осведомлённость) ‑ одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п.
3. Знания – совокупность данных, фактов, сведений и правил вывода о мире, включающих в себя информацию о свойствах объектов, закономерностях процессов и явлений, а также правилах использования этой информации для принятия решений. Правила использования включают систему причинно-следственных связей. Главное отличие знаний от данных состоит в их активности, то есть появление в базе новых фактов или установление новых связей может стать источником изменений в принятии решений.
5. База данных (БД) ‑ структурированный организованный набор данных, описывающих характеристики каких-либо физических или виртуальных систем.
6. База знаний ‑ это особого рода база данных, разработанная для управления знаниями (метаданными), то есть сбором, хранением, поиском и выдачей знаний.
7. Программное обеспечение ‑ наряду с аппаратными средствами, важнейшая составляющая информационных технологий, включающая компьютерные программы и данные, предназначенные для решения определённого круга задач и хранящиеся на машинных носителях. Программное обеспечение представляет собой либо данные для использования в других программах, либо алгоритм, реализованный в виде последовательности инструкций для процессора.
8. Экспертная система (ЭС) – компьютерная программа, способная заменить специалиста-эксперта в разрешении проблемной ситуации. ЭС начали разрабатываться исследователями искусственного интеллекта в
1970-х годах, а в 1980-х получили коммерческое подкрепление. Экспертные системы рассматриваются совместно с базами знаний как модели поведения экспертов в определенной области знаний с использованием процедур логического вывода и принятия решений, а базы знаний ‑ как совокупность фактов и правил логического вывода в выбранной предметной области деятельности.
9. Локальные сети – сети, объединяющие все компьютеры одной системы. По локальной сети удобно передавать данные.
10. Информационная безопасность – деятельность, направленная на обеспечение защищенного состояния объекта (Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006)).
4.2. Особенности современных информационных систем, факторы влияющие на безопасность информационной системы
Информационная система типичной современной организации является весьма сложным образованием, построенным в многоуровневой архитектуре клиент/сервер, которое пользуется многочисленными внешними сервисами и, в свою очередь, предоставляет собственные сервисы вовне.
С точки зрения безопасности наиболее существенными представляются следующие аспекты современных ИС:
• корпоративная сеть имеет несколько территориально разнесенных частей (поскольку организация располагается на нескольких производственных площадках), связи между которыми находятся в ведении внешнего поставщика сетевых услуг, выходя за пределы зоны, контролируемой организацией;
• корпоративная сеть имеет одно или несколько подключений к Internet;
• на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, мобильные пользователи и, возможно, сотрудники других организаций;
• для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь;
• в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;
• к доступности информационных сервисов предъявляются жесткие требования, которые обычно выражаются в необходимости круглосуточного функционирования с максимальным временем простоя порядка нескольких минут;
• информационная система представляет собой сеть с активными агентами, то есть в процессе работы программные компоненты, такие как апплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;
• не все пользовательские системы контролируются сетевыми и/или системными администраторами организации;
• программное обеспечение, особенно полученное по сети, не может считаться надежным, в нем могут быть ошибки, создающие проблемы в защите;
• конфигурация информационной системы постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.).
4.3. Понятие информационного сервиса безопасности. Виды сервисов безопасности
Центральным для программно-технического уровня является понятие сервиса безопасности. Выделяются следующие сервисы безопасности:
• Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи.
• Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
• Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно упомянем конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).
• Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры ‑ с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
• Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.
Каждый сервис безопасности реализуется с помощью определенных механизмов на базе разных технических решений, зависящих от характеристик конкретной ИС.
4.4. Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).
Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.
4.5. Парольные схемы аутентификации
Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.
Чтобы пароль был запоминающимся, его зачастую делают простым. Однако простой пароль нетрудно угадать. Пароль можно угадать "методом грубой силы", используя, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).
Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:
• наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");
• обучение пользователей;
• использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).
Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации.
4.6. Симметричные схемы аутентификации субъекта
Аутентификация субъекта может осуществляться симметричными методами, т.е. с применением симметричных алгоритмов шифрования. В этом случае претендент и верификатор используют общие секретные ключи. Претендент зашифровывает свое сообщение, вводя в открытый или зашифрованный текст некоторое контрольное значение (КЗ). Если верификатору удается успешно расшифровать полученное сообщение и проверить корректность КЗ, то он может быть уверен в подлинности претендента.
Для реализации симметричных методов часто применяют протокол "запрос-ответ", когда верификатор сначала посылает претенденту случайный запрос x, затем претендент зашифровывает этот запрос и возвращает верификатору ответ, после чего верификатор расшифровывает ответ и проверяет его соответствие запросу.
В многопользовательских системах в сеанс связи вводится доверенная третья сторона ‑ сервер аутентификации, с которой разделяют секретный ключ каждый пользователь и каждый верификатор. Существует два основных подхода. В первом претендент зашифровывает сообщение на своем секретном ключе и посылает шифр-текст верификатору, который обращается к серверу аутентификации для получения необходимого ключа. После обмена с сервером аутентификации верификатор проводит аутентификацию претендента. Во втором методе претендент сначала устанавливает связь с сервером аутентификации и получает разрешение на доступ, которое затем передает верификатору (такой вариант используется в схеме Kerberos).
Типичным примером реализации симметричных методов является схема Kerberos.
4.7. Несимметричные схемы аутентификации (с открытым ключом)
Несимметричные методы аутентификации субъекта подразумевают использование несимметричных (с открытым ключом) криптографических алгоритмов. В этих схемах верификатор формирует некоторое сообщение и просит претендента подписать его. Претендент подписывает это сообщение, используя свой секретный ключ, а потом верификатор проверяет подпись с помощью открытого ключа подлинного пользователя. Здесь в качестве защиты от атак повтора также можно включать в сообщение некоторую неповторяющуюся величину.
Несимметричные системы имеют ряд преимуществ перед симметричными системами. В несимметричных системах решена сложная проблема распределения ключей между пользователями, так как каждый пользователь может сгенерировать свою пару ключей, а открытые ключи свободно публикуются и распространяются. Благодаря тому, что в несимметричных системах секретный ключ известен только его владельцу, возможно взаимодействие сторон, не знающих друг друга.
Криптография с открытыми ключами в чистом виде обычно не применяется, так как реализация несимметричных алгоритмов требует больших затрат процессорного времени. Тем не менее, преимуществами криптографии с открытыми ключами пользуются при формировании и проверке цифровой подписи, а также для решения проблемы распределения ключей. Секретный ключ применяется для подписания данных, а открытый ключ ‑ для их проверки. Единственно известный способ получить корректную подпись ‑ использовать секретный ключ. Кроме того, для каждого сообщения формируется уникальная подпись. В целях повышения производительности подписывается не все сообщение, а его хэш-код. Вообще, собственно цифровая подпись сообщения ‑ это хэш-код сообщения, зашифрованный секретным ключом, он пересылается вместе с цифровым объектом и удостоверяет целостность самого объекта и подлинность его отправителя.
С появлением криптосистем с открытым ключом потребность в серверах аутентификации практически отпала, поскольку характеристики этих систем естественным образом исключают проблему раскрытия ключа претендента по известному ключу верификатора. Тем не менее, для проверки подписи верификаторы должны, как правило, получать сертифицированные открытые ключи. Обычно сертификаты на ключи выдаются специальным сервером, который не является непосредственным участником сеанса аутентификации.
Примеры протоколов: Диффи-Хелмана, Шнорра, Фиата-Шамира.
4.8. Аутентификация с третьей доверенной стороной (схема Kerberos)
Kerberos – это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.
Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты – пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом.
Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать знание секретного ключа. C не может просто послать S свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S не знает (и не должен знать) секретный ключ C. Требуется менее прямолинейный способ демонстрации знания секретного ключа.
Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.
Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило – клиент) посылает Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), то есть продемонстрировал знание секретного ключа. Значит, клиент – именно тот, за кого себя выдает.
4.9. Токены, смарт-карты, их применение
Электронные USB-ключи и смарт-карты eToken представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. Подобно компьютеру устройства eToken содержат процессор и модули памяти, функционируют под управлением своей операционной системы, выполняют необходимые прикладные программы и хранят информацию.
USB-ключи и смарт-карты eToken базируются на высокозащищенной платформе, разработанной для производства смарт-карт ‑ области, в которой традиционно предъявляют повышенные требования к информационной безопасности. Поэтому USB-ключи и смарт-карты eToken фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение персональных данных и надежно защищенным от несанкционированного вмешательства.
Продукты eToken позволяют выполнить следующие задачи:
• усовершенствовать процесс аутентификации (двухфакторная аутентификация) на локальном компьютере и в корпоративной сети, а также защищенный доступ к бизнес-приложениям;
• зашифровать данные на серверах, ноутбуках и рабочих станциях;
• обеспечить защиту персональных данных;
• защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота;
• обезопасить финансовые операции в системах дистанционного банковского обслуживания (ДБО);
• внедрить электронную цифровую подпись (ЭЦП) и защитить документы в системах сдачи электронной отчетности через Интернет;
• обеспечить защиту корпоративного сайта в Интернет;
• обезопасить себя от кражи паролей к онлайн-сервисам.
4.10. Использование биометрических данных при аутентификации пользователей
Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).
В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.
Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.
Но главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы.
4.11. Сервисы управления доступом. Механизмы доступа данных в операционных системах, системах управления базами данных
Основной проблемой обеспечения безопасности операционных систем (ОС) является проблема создания механизмов контроля доступа к ресурсам системы. Процедура контроля доступа заключается в проверке соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы контроля доступа и вспомогательные средства защиты образуют механизмы управления доступом.
По способу доступа к базе данных (БД) системы управления ими подразделяются на три типа:
1. Файл-серверные
В файл-серверных системах управления базами данных (СУБД) файлы данных располагаются централизованно на файл-сервере. Ядро СУБД располагается на каждом клиентском компьютере. Доступ к данным осуществляется через локальную сеть. Синхронизация чтений и обновлений осуществляется посредством файловых блокировок. Преимуществом этой архитектуры является низкая нагрузка на центральный процессор (ЦП) сервера, а недостатком ‑ высокая загрузка локальной сети. На данный момент файл-серверные СУБД считаются устаревшими. Они могут применяться для обучения работе с базами данных (чаще всего для этого используется MS Access) или для хранения информации в небольших информационных системах. Примеры: Microsoft Access, Paradox, dBase.
2. Клиент-серверные
Такие СУБД состоят из клиентской части (которая входит в состав прикладной программы) и сервера (см. Клиент-сервер). Клиент-серверные СУБД, в отличие от файл-серверных, обеспечивают разграничение доступа между пользователями и мало загружают сеть и клиентские машины. Сервер является внешней по отношению к клиенту программой, и по надобности его можно заменить другим. Недостаток клиент-серверных СУБД в самом факте существования сервера (что плохо для локальных программ ‑ в них удобнее встраиваемые СУБД) и больших вычислительных ресурсах, потребляемых сервером. Клиент-серверные СУБД предоставляют больше возможностей для профессиональной работы с данными, поэтому они чаще всего используются в крупных предприятиях и организациях. Они больше всего подходят к крупным информационным системам с одним или несколькими серверами, обладающими большой производительностью. Даже в случае большого количества пользователей, работающих с ними, они не очень сильно загружают сеть. Примеры: Firebird, Interbase, IBM DB2, MS SQL Server, Sybase, Oracle, PostgreSQL, MySQL, ЛИНТЕР.
3. Встраиваемые
Встраиваемая СУБД ‑ библиотека, которая позволяет унифицированным образом хранить большие объёмы данных на локальной машине. Доступ к данным может происходить через SQL либо через особые функции СУБД. Встраиваемые СУБД быстрее обычных клиент-серверных и не требуют установки сервера, поэтому востребованы в локальном программном обеспечении (ПО), которое имеет дело с большими объёмами данных (например, геоинформационные системы). Примеры: OpenEdge, SQLite, BerkeleyDB, один из вариантов Firebird, один из вариантов MySQL, Sav Zigzag, Microsoft SQL Server Compact, ЛИНТЕР.
Таким образом, для использования в крупных организациях, в том числе на промышленных предприятиях, больше подходят клиент-серверные СУБД.
4.12. Ролевая модель управления доступом
При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов.
Ролевое управление доступом оперирует следующими основными понятиями:
• Пользователь;
• Сеанс работы пользователя;
• Роль;
• Объект;
• Операция;
• Право доступа.
Ролям приписываются пользователи и права доступа; можно считать, что роли именуют отношения «многие ко многим» между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько сеансов.
Между ролями может быть определено отношение частичного порядка, называемое наследованием. Отношение наследования является иерархическим, причем права доступа и пользователи распространяются по уровням иерархии навстречу друг другу. В общем случае наследование является множественным, то есть у одной роли может быть несколько предшественниц.
4.13. Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).
Аудит – это анализ накопленной информации, проводимой оперативно, в реальном времени или периодически. Оперативный аудит с автоматическим реагированием на выявленные штатные ситуации называется активным.
4.13.1. Задачи и функции аудита
• Обеспечение подотчетности пользователей и администраторов.
• Обеспечение возможности реконструкции последовательности событий.
• Обнаружение попыток нарушений информационной безопасности.
• Предоставление информации для выявления и анализа проблем.
4.13.2. Структура журналов аудита
В журнале аудита записываются отдельные действия определенных пользователей. При включении ведения журнала аудита администраторы могут использовать его для отслеживания всех изменений объектов-получателей. Журнал аудита может помочь организации обеспечить соблюдение нормативных и законодательных требований. Тщательная настройка области ведения журнала аудита позволяет управлять тем, какие именно действия будут отслеживаться, что упрощает анализ и управление журналами аудита.
События отображаются в виде некоторого набора стандартных полей, и каждый идентификатор (ID) имеет уникальное описание. Стандартными являются поля идентификатора (ID), даты (date), времени (time), имени пользователя (username), имени компьютера (computer name), источника (source), категории (category) и типа (type).
4.13.3. Активный аудит, методы активного аудита
Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее. Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным или нетипичным.
Методы активного аудита
Выявление злоумышленной активности
Под злоумышленной активностью мы понимаем как атаки (очевидно, противоречащие любой политике безопасности), так и действия, нарушающие политику безопасности конкретной организации путем злоупотребления имеющимися полномочиями. Разделение двух видов злоумышленной активности представляется нам целесообразным по той причине, что настройка на выявление атак может быть выполнена поставщиком системы активного аудита (атаки носят универсальный характер), в то время как политика безопасности (если, конечно, она есть) у каждой организации своя и настраиваться на нее заказчикам придется самим.
Для выявления злоумышленной активности пытались и пытаются использовать несколько универсальных технологий: экспертные системы, нейронные сети, сопоставление с образцом, конечные автоматы и т.п. Одной из первых и до сих пор самой распространенной остается технология обнаружения сигнатур злоумышленных действий. Идея состоит в том, чтобы каким-либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. Иногда сопоставление основывается на простом (применительно к активному аудиту) механизме регулярных выражений, известному всем по ОС Unix. В более серьезных разработках уже свыше десяти лет используются экспертные системы, опирающиеся на наборы правил, задающие более мощные языки.
Выявление аномальной активности
Для выявления аномальной активности предлагаются довольно много методов: нейронные сети, экспертные системы, статистический подход. В свою очередь, статистический подход можно подразделить на кластерный и факторный анализ, а также дискриминантный (классификационный) анализ.
Выявление аномальной активности статистическими методами основывается на сравнении краткосрочного поведения с долгосрочным. Для этого измеряются значения некоторых параметров работы субъектов (пользователей, приложений, аппаратуры).
Реагирование на подозрительные действия
После того, как обнаружена сигнатура злоумышленного действия или нетипичная активность, необходимо выбрать достойный ответ. По многим соображениям удобно, чтобы компонент реагирования содержал собственную логику, фильтруя сигналы тревоги и сопоставляя сообщения, поступающие от подсистем анализа. Для активного аудита одинаково опасны как пропуск атак (это значит, что не обеспечивается должной защиты), так и большое количество ложных тревог (это значит, что активный аудит быстро отключат). При выборе реакции особенно важно определить первопричину проблем.
Предпочтительны более спокойные, но также достаточно эффективные меры, такие как блокирование злоумышленного сетевого трафика средствами межсетевого экранирования (ряд систем активного аудита умеют управлять конфигурацией экранов) или принудительное завершение сеанса работы пользователя. Конечно, и здесь остается опасность наказать невиновного, так что политика безопасности каждой организации должна определять, что важнее ‑ не пропустить нарушение или не обидеть лояльного пользователя.
4.14. Обеспечение защиты корпоративной информационной среды от атак на информационные сервисы
Для построения систем защиты для корпоративных вычислительных сетей требуется использовать средства защиты, соответствующие современным стандартам. Данные средства защиты должны быть сертифицированы и лицензированы в соответствии с Законами Российской Федерации от 10.06.1993 N 5151-1 "О сертификации продукции и услуг", от 10.06.1993 N 5154-1 "О стандартизации", Федеральным законом от 25.09.1998 N 158-ФЗ "О лицензировании отдельных видов деятельности".
Для защиты от внешних атак со стороны открытых информационных систем, например Интернета, применяется защищенное подключение к подобным сетям. Необходима защита от проникновения в сеть и от утечки информации из сети, для этого осуществляется разграничение "доверенной" (защищаемой) сети от "недоверенной". Подобное защищенное разграничение реализуется при помощи межсетевых экранов.
4.15. Защита Интернет-подключений, функции и назначение межсетевых экранов
Защита Интернет-подключений включает в себя:
• защиту ресурсов корпоративной сети и разграничение доступа;
• обнаружение атак и вторжений;
• защиту информации при передаче через IP-сети (Виртуальные Частные Сети ‑ VPN);
• межсетевое экранирование;
• централизованное управление и сбор статистики.
В том числе:
• безопасное подключение корпоративной сети к Интернет;
• связь филиалов компаний через глобальную сеть Интернет с использованием технологии Виртуальной Частной Сети (VPN);
• защищенный удаленный доступ сотрудников к информационным ресурсам организации (VPN, SSL).
Межсетевой экран
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.
Межсетевые экраны классифицируются по следующим признакам:
• по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;
• по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.
4.16. Понятие демилитаризованной зоны
Незащищенную часть локальной сети с возможностью использования одного или нескольких портов или IP-адресов со специальными (более "слабыми") настройками сетевого экрана называют демилитаризованной зоной (DMZ). Демилитаризованная зона позволяет полноценно функционировать сетевым службам и интернет-приложениям. В DMZ обычно помещают Web-, Proxy-сервера, почтовые сервера и т. д. Внутренняя локальная сеть отделена от DMZ и защищена сетевым экраном.
4.17. Виртуальные частные сети (VPN), их назначение и использование в корпоративных информационных системах
Главной отличительной чертой технологии виртуальной частной сети VPN является использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначены для решения задач подключения конечного пользователя к удаленной сети и соединения нескольких локальных сетей. Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы.
Как же работает виртуальная частная сеть? Для объединения удаленных локальных сетей в виртуальную сеть корпорации используются так называемые виртуальные выделенные каналы. Для создания подобных соединений используется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе, пакеты немаршрутизируемых протоколов) в новые IP-пакеты, содержащие в своем заголовке адрес этого инициатора туннеля и адрес терминатора туннеля. На противоположном конце терминатором туннеля производится обратный процесс извлечения исходного пакета.
4.18. Защита данных и сервисов от воздействия вредоносных программ. Вирусы, троянские программы
Компьютерный вирус – разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.
Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.
Троянскими вирусами (троянскими конями) обычно называют программы, содержащие скрытый модуль, осуществляющий несанкционированные действия. Эти действия не обязательно могут быть разрушительными, однако практически всегда направлены во вред пользователю. В свою очередь, троянские программы можно разделить на несколько категорий.
Троянские вирусы обычно выполняют или имитируют выполнение какой-нибудь полезной или экзотической функции. При этом в качестве побочного эффекта они стирают файлы, разрушают каталоги, форматируют диск и т.д. Иногда разрушительный код встраивается в какую-нибудь известную программу. Чтобы привлечь пользователей, полученная троянская программа-вандал часто маскируется под новую версию данного программного продукта.
4.19. Антивирусное программное обеспечение
Антивирусная программа (антивирус) ‑ любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики ‑ предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
Говоря о системах Майкрософт, обычно антивирус действует по схеме:
• поиск, в базе данных антивирусного ПО, сигнатур вирусов;
• если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина и процесс блокируется;
• зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации, и оставляет систему уязвимой.
Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах ‑ как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов.
4.20. Защита системы электронной почты
Специальные средства защиты электронной почты:
1. Установка «брандмауэра» ‑ защитной стенки в виде буфера на стыке между сетью Intеrnеt и внутрифирменными сетями. Буфер, контролируя доступ на этом стыке, позволяет защитить информационные ресурсы.
2. Во-вторых, маскировка паролей. Маскирование паролей, т. е. помещение зашифрованных паролей в некий файл, доступный только для системного администратора, является наиболее простым решением проблемы защиты от хэкеров.
3. В-третьих, рекомендуется шифровать все передаваемые по сети сообщения, хотя при этом могут возникать определенные сложности. В частности, шифрование нельзя использовать при передаче сообщений между локальными вычислительными сетями (ЛВС), использующими систему Uniх и систему Мiсrоsоft Маil. Кроме того, зашифрованные сообщения зачастую не проходят по сетям, в которых используется сжатие данных. Наконец, внедрению шифрования могут противодействовать правительственные органы. Так, в интересах усиления национальной безопасности правительственные круги США хотели бы сохранить за собой возможность контроля сообщений, пересылаемых по сети Intеrnеt. И все же шифрование остается единственным надежным средством защиты информации в системах электронной почты. Оно позволяет использовать эти системы при совершении крупных сделок, для передачи финансовой информации и стратегических планов компаний. Без шифрования электронная почта оказывается чрезвычайно уязвимой по отношению к перехвату циркулирующих по ней сообщений.
4.21. Спам, борьба со спамом
Наиболее часто термин «спам» употребляется в смысле «почтовый спам». Это сообщения, присылаемые вам от неизвестных людей или организаций, которым вы не давали на это разрешения. Как правило, спам – это массовая рассылка на большое число адресов, содержащая рекламу или коммерческие предложения.
При выборе технологического решения по защите от спама вне зависимости от типа защищаемого объекта (персональный ли это почтовый ящик или почтовый сервер крупной организации) рассматриваются следующие основные требования, которым должна удовлетворять современная система защиты от спама.
1. Комплексная защита. В состав средств защиты должны входить:
• фильтры содержимого;
• сигнатурный анализ;
• проверка по черным спискам;
• проверка по серым спискам;
• байесовские фильтры;
• эвристический анализ.
2. Интегрированный комплекс антивирусной защиты.
3. Высокая производительность аппаратной платформы (интерфейсы и шины с пропускной способностью от 1 Гбит/с) и программных компонентов (разбор не менее 10 сообщений в секунду).
4. Постоянная поддержка решения производителем и автоматическое обновление сигнатур, фильтров в режиме, близком к режиму реального времени.
5. Наличие обратной связи с получателем сообщения (возможность просмотра карантина, изменения персональных параметров фильтрации, информирование пользователя о наступлении событий в системе и т.д.).
6. Возможность дополнительной адаптации системы в соответствии с особенностями инфраструктуры организации.
Тема 5. Криптографические методы защиты информации
5.1. Методы криптографии
Криптографические методы защиты информации ‑ это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования.
Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ, расширяющих возможности стандартной операционной системы. Защита на уровне операционной системы, чаще всего, должна дополняться средствами защиты на уровне систем управления базами данных, которые позволяют реализовывать сложные процедуры управления доступом.
5.2. Средства криптографической защиты информации (СКЗИ)
К средствам криптографической защиты информации (СКЗИ) относятся аппаратные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации.
Предполагается, что СКЗИ используются в некоторой компьютерной системе (в ряде источников - информационно-телекоммуникационной системе или сети связи), совместно с механизмами реализации и гарантирования некоторой политики безопасности.
Наряду с термином «средство криптографической защиты информации» часто используется термин шифратор – аппарат или программа, реализующая алгоритм шифрования. Введенное понятие СКЗИ включает в себя шифратор, но в целом является более широким.
Средства криптографической защиты информации, обеспечивающие повышенный уровень защиты можно разбить на пять основных групп:
Первую группу образуют системы идентификации и аутентификации пользователей. Такие системы применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы.
Вторую группу средств, обеспечивающих повышенный уровень защиты, составляют системы шифрования дисковых данных. Основная задача, решаемая такими системами, состоит в защите от несанкционированного использования данных, расположенных на дисковых носителях.
К третьей группе средств, обеспечивающих повышенный уровень защиты, относятся системы шифрования данных, передаваемых по компьютерным сетям.
Четвертую группу средств защиты составляют системы аутентификации электронных данных. При обмене электронными данными по сетям связи возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе.
Пятую группу средств, обеспечивающих повышенный уровень защиты, образуют средства управления ключевой информацией. Под ключевой информацией понимается совокупность всех используемых в компьютерной системе или сети криптографических ключей.
5.3. Криптографические преобразования. Шифрование и дешифрование информации
Шифрование ‑ процесс применения шифра к защищаемой информации, т.е. преобразование защищаемой информации в шифрованное сообщение с помощью определенных правил, содержащихся в шифре.
Дешифрирование ‑ процесс, обратный шифрованию, и заключающийся в преобразовании шифрованного сообщения в исходную информацию с помощью определенных правил, содержащихся в шифре.
Шифрование и дешифрование производятся одним из двух методов, а часто их комбинацией.
Первый метод известен под тремя названиями: секретный, симметричный или обычный. Независимо от названия, в этом методе используется один и тот же ключ для шифрования и дешифрования. Этот ключ засекречен и известен и отправителю, и получателю сообщения, поэтому он называется общим секретным ключом (shared secret key). Отправитель использует этот ключ для преобразования открытого текста в зашифрованный текст, а получатель использует тот же самый ключ для дешифрования этой шифровки в исходный текст.
Второй метод известен под двумя названиями: открытый или асимметричный. В этом методе используются два различных ключа (в действительности, два набора ключей): один из них используется для шифрования, а другой ‑ для дешифрования. Один из ключей называется открытым ключом, другой ‑ индивидуальным ключом.
5.4. Причины нарушения безопасности информации при ее обработке СКЗИ (утечки информации по техническому каналу, неисправности в элементах СКЗИ, работа совместно с другими программами)
Ряд основных причин нарушения безопасности информации при ее обработке СКЗИ.
Утечки информации по техническим каналам:
• электромагнитному высокочастотному прямому (излучение электронно-лучевой трубки дисплея, несущее информацию о выводе на экран, высокочастотное излучение системного блока, модулированное информативным сигналом общей шины и т.д.);
• электромагнитному низкочастотному прямому (поле с сильной магнитной составляющей от магнитных элементов типа катушек или трансформаторов);
• электромагнитному косвенному (наводки на проводящие линии и поверхности, модуляция гетеродинов вспомогательной аппаратуры);
• акустическому (звуки и вибрации от нажатий клавиш и работы принтера, голоса оператора СКЗИ);
• визуальному (просмотр или фотографирование текстов на экране, принтере или иных устройствах отображения информации);
• акустоэлектрическому (преобразование звуковых и вибрационных сигналов в электрические с помощью вспомогательного оборудования.
5.4.1. Неисправности в элементах СКЗИ
Сбои и неисправности в элементах СКЗИ могут сказаться на виде шифрующего преобразования (можно показать, что в общем случае фиксация нулевых или единичных потенциалов приведет к упрощению реализации шифрующего преобразования), на протоколах взаимодействия аппаратуры или программ СКЗИ с прочим оборудованием и программами (например, ввод каждый раз фиксированного ключа ) или на процедурах считывания ключа.
5.4.2. Работа совместно с другими программами
При этом речь может идти об их непреднамеренном и преднамеренном влиянии. Рассмотрим первое. Пусть программа зашифровывает файл и помещает шифр-текст в тот же файл. Предположим, что в то же время работает программа запрета записи на диск. Тогда результатом шифрования будет исходный незашифрованный файл. В общем случае источником непреднамеренного взаимного влияния является, как правило, конкуренция из-за ресурсов вычислительной среды и некорректная обработка ошибочных ситуаций.
При рассмотрении второй ситуации применяют термин "программная закладка" (некоторые авторы используют термин "криптовирус", "троянский конь"). Речь идет о специализированном программном модуле, целенаправленно воздействующем на СКЗИ. Программная закладка может работать в следующих режимах:
1. пассивном (сохранение вводимых ключей или открытых текстов без влияния на информацию);
2. активном:
▪ влияние на процессы записи ‑ считывания программ шифрования и цифровой подписи без изменения содержания информации (пример программная закладка для системы цифровой подписи Pretty Good Privacy (РGР), выполняющая навязывание укороченных текстов для хеширования);
▪ влияние на процессы считывания и записи с изменением информации;
▪ изменение алгоритма шифрования путем редактирования исполняемого кода в файле или оперативной памяти.
5.5. Использование криптографических средств для решения задач идентификации и аутентификации
Идентификация – процедура распознавания субъекта по его уникальному идентификатору, присвоенному данному субъекту ранее и занесенному в базу данных в момент регистрации субъекта в качестве легального пользователя системы.
Аутентификация – процедура проверки подлинности входящего в систему объекта, предъявившего свой идентификатор. В зависимости от степени доверительных отношений, структуры, особенностей сети и удаленностью объекта проверка может быть односторонней или взаимной. В большинстве случаев она состоит в процедуре обмена между входящим в систему объектом и ресурсом, отвечающим за принятие решения ("да" или "нет"). Данная проверка, как правило, производится с применением криптографических преобразований, которые нужны, с одной стороны, для того, чтобы достоверно убедиться в том, что субъект является тем, за кого себя выдает, с другой стороны ‑ для защиты трафика обмена субъект-система от злоумышленника. Таким образом, идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности пользователей.
Основным средством для проведения идентификации являются протоколы идентификации, позволяющие осуществлять идентификацию (и аутентификацию) каждой из участвующих во взаимодействии и не доверяющих друг другу сторон. Различают протоколы односторонней и взаимной идентификации.
Протокол ‑ это распределенный алгоритм, определяющий последовательность действий каждой из сторон. В процессе выполнения протокола идентификации каждая из сторон не передает никакой информации о своем секретном ключе, а хранит его у себя и использует для формирования ответных сообщений на запросы, поступающие при выполнении протокола.
Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность, ‑ секретные криптографические ключи пользователей.
5.6. Электронная цифровая подпись (ЭЦП), принципы ее формирования и использования
Электронная цифровая подпись (ЭЦП) ‑ реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП.
Схема цифровой подписи включает два алгоритма, один – для вычисления, а второй – для проверки подписи. Вычисление подписи может быть выполнено только автором подписи. Алгоритм проверки должен быть общедоступным, чтобы проверить правильность подписи мог каждый.
Для создания схемы цифровой подписи можно использовать симметричные шифрсистемы. В этом случае подписью может служить само зашифрованное на секретном ключе сообщение. Однако основной недостаток таких подписей состоит в том, что они являются одноразовыми: после каждой проверки секретный ключ становится известным. Единственный выход из этой ситуации в рамках использования симметричных шифрсистем ‑ это введение доверенной третьей стороны, выполняющей функции посредника, которому доверяют обе стороны. В этом случае вся информация пересылается через посредника, он осуществляет перешифрование сообщений с ключа одного из абонентов на ключ другого. Естественно, эта схема является крайне неудобной.
5.7. Подтверждение подлинности объектов и субъектов информационной системы
Установление подлинности субъекта (объекта) заключается в подтверждении того, что обратившийся субъект (вызываемый объект) является именно тем, которому разрешено участвовать в данном процессе (выполнять данные действия). В зависимости от сложности установления подлинности различают три основные группы операций: простое, усложненное и особое установление подлинности.
Простое установление подлинности сводится, как правило, к сравнению предъявленного кода (характеристики) с эталонным кодом, который хранится в памяти устройства, выполняющего установление подлинности.
При усложненном установлении подлинности система требует от пользователя ввода дополнительной информации и производится в режиме диалога.
Особое установление подлинности, кроме использования методов простого и усложненного установления подлинности, использует специальную совокупность опознавательных характеристик, которая выбирается для обеспечения надежного установления подлинности.
5.8. Контроль за целостностью информации. Хэш-функции, принципы использования хэш-функций для обеспечения целостности данных
Контроль целостности файловых объектов представляет собой самостоятельную задачу защиты информации. При этом основу механизмов контроля целостности файловых объектов представляет проверка соответствия контролируемого объекта эталонному образцу. Для контроля могут использоваться контрольные суммы и ряд иных признаков, например, дата последней модификации объекта и т.д. При необходимости содержать контролируемый объект в эталонном виде данные механизмы могут осуществлять автоматическое либо автоматизированное (под управлением пользователя или администратора безопасности) восстановление несанкционированно измененного файлового объекта из эталонной копии.
Для сравнения данных применяется хеширование: если у двух массивов хеш-коды разные, массивы гарантированно различаются; если одинаковые ‑ массивы, скорее всего, одинаковы. Хеширование ‑ преобразование по определённому алгоритму входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или сводкой сообщения (англ. message digest). Среди множества существующих хеш-функций принято выделять криптографически стойкие, применяемые в криптографии. Для того чтобы хеш-функция H считалась криптографически стойкой, она должна удовлетворять трем основным требованиям, на которых основано большинство применений хеш-функций в криптографии:
▪ Необратимость: для заданного значения хеш-функции m должно быть вычислительно неосуществимо найти блок данных X, для которого H(X) = m.
▪ Стойкость к коллизиям первого рода: для заданного сообщения M должно быть вычислительно неосуществимо подобрать другое сообщение N, для которого H(N) = H(M).
▪ Стойкость к коллизиям второго рода: должно быть вычислительно неосуществимо подобрать пару сообщений (М, М), имеющих одинаковый хеш.
Данные требования не являются независимыми:
▪ Обратимая функция нестойка к коллизиям первого и второго рода.
▪ Функция, нестойкая к коллизиям первого рода, нестойка к коллизиям второго рода; обратное неверно.
Следует отметить, что не доказано существование необратимых хеш-функций, для которых вычисление какого-либо прообраза заданного значения хеш-функции теоретически невозможно. Обычно нахождение обратного значения является лишь вычислительно сложной задачей.
Атака «дней рождения» позволяет находить коллизии для хеш-функции с длиной значений n битов в среднем за примерно 2n/2 вычислений хеш-функции. Поэтому n-битная хеш-функция считается криптостойкой, если вычислительная сложность нахождения коллизий для неё близка к 2n/2.
Для криптографических хеш-функций также важно, чтобы при малейшем изменении аргумента значение функции сильно изменялось (лавинный эффект). В частности, значение хеша не должно давать утечки информации даже об отдельных битах аргумента. Это требование является залогом криптостойкости алгоритмов хеширования, хеширующих пользовательский пароль для получения ключа.
5.9. Анализ способов нарушений безопасности
Способы нарушения информационной безопасности
1. Выбор модели безопасности, несоответствующей назначению или архитектуре ВС.
Из-за отсутствия мандатной модели разграничения доступа непосредственно следует, что пользователь с более высокими полномочиями (такой, как супервизор или менеджер группы) имеет возможность запускать программы, записанные пользователями с меньшими полномочиями. Таким образом, имеется потенциальная возможность запуска супервизором троянского коня, внедренного в систему рядовым пользователем-злоумышленником.
2. Неправильное внедрение модели безопасности.
Существуют шесть особенностей, которые могут быть отнесены к неправильному внедрению модели безопасности в Novell Netware:
• Отсутствие подтверждения старого пароля при его смене.
• Недостатки в реализации опций intruder detection и force periodic password changes.
• Слабое значение идентификатора супервизора.
• Право на создание файлов в каталоге SYS:MAIL.
• Ненадежность атрибута «только для выполнения».
• Получение прав пользователя сервером очереди.
3. Отсутствие идентификации и/или аутентификации субъектов и объектов.
Это самая обширная группа причин для любой сетевой операционной системы, и Novell Netware не исключение, особенно часто причиной атак служит неправильная идентификация сетевых пакетов, вызванных подменой адреса отправителя (spoofing).
Для целей аутентификации у Novell Netware 3 применяется собственный криптографический алгоритм, в Novell Netware 4 он усилен использованием открытых и закрытых ключей. Выбор собственного криптоалгоритма приводит к тому, что оказываются возможными некоторые атаки на него. Основным недостатком этого криптоалгоритма является то, что хэш-функцию, используемую в нем, удалось обратить.
С точки зрения Novell Netware, сервер печати (print server) является сервером очереди. Поэтому он может выполнять функцию ChangeToClientFligths(). Недостаток идентификации в данном случае состоит в том, что любой объект (например, пользователь) может войти в систему под именем сервера печати, используя стандартную функцию LoginToFiteServer(), либо зная пароль сервера печати, либо, чаще, тот вообще не имеет пароля. ОС не может правильно идентифицировать этот объект и дает ему права на выполнение функции Change ToClientRigths(), которая дает ему права желаемого пользователя. Таким образом, если в очередь на печать попадает задание от супервизора, то любой обычный пользователь может воспользоваться его правами.
Рассмотрим в общем виде процесс входа в систему (login) для всех версий Novell Netware:
1. Рабочая станция создает выделенный канал с сервером, присоединяясь к нему под именем NOT_LOGGEDIN и получает право на чтение каталога SYS: LOGIN.
2. Она загружает из него программу LOGIN.EXE и выполняет ее.
3. Происходит процесс идентификации и аутентификации на сервере под настоящим именем (различный для разных версий ОС).
4. После этого, если необходимо, включается подпись пакетов для дальнейшего общения рабочей станции и сервера.
Самым слабым местом здесь является шаг 2. Здесь налицо появляется состояние отсутствия информации (zero knowledge state), когда ни сервер, ни рабочая станция не может аутентифицировать друг друга, так как все механизмы аутентификации включаются после регистрации пользователя на файл-сервере. Поэтому третья станция может с успехом имитировать как сервер, так и рабочую станцию.
Таким образом, очевидная атака состоит в том, что злоумышленник на другой рабочей станции посылает от имени сервера троянскую версию LOGIN.EXE, которая, например, корректно входит в систему, но при этом передает введенный пароль по сети (возможны и другие варианты, такие как исполнение вируса на рабочей станции).
4. Отсутствие контроля целостности средств обеспечения безопасности.
Novell Netware версии 3.11 не контролирует целостность следующих объектов:
• программы загрузки SERVER.EXE;
• системных файлов на жестком диске сервера;
• системных областей на жестком диске (например, таблицы размещения файлов (FAT));
• оперативной памяти сервера;
• сетевых пакетов.
В Novell Netware 3.12 и выше после появления «голландской атаки» появилось средство контроля целостности пакетов, проходящих по сети ‑ подпись пакетов (packet signature), однако она тоже не лишена недостатков.
5. Ошибки, допущенные в ходе программной реализации систем обеспечения безопасности.
В Novell NetWare 3.12 была обнаружена серьезная ошибка, сводящая на нет все усилия по шифрованию и хешированию паролей. При вызове программы SYSCON пользователем с правами супервизора для смены пароля любому пользователю (в т.ч. и себе) новый пароль передается по сети в открытом виде и может быть легко перехвачен. Очевидно, каким-то образом в пакет попадает клавиатурный буфер.
Проявление этой ошибки только для супервизора, наверное, каким-то образом связано со специальным вызовом ChangeBinderyObjectPassword().
Тот факт, что это "свойство" присутствует только в одной версии программы (3.76), позволяет говорить о том, что это ‑ ошибка, а не программная закладка или люк.
6. Наличие средств отладки и тестирования в конечных продуктах.
В Novell Netware всех версий существует классический пример наличия люка ‑ это встроенный отладчик, который вызывается с консоли. Он предоставляет достаточно широкие возможности для редактирования и отладки всех модулей операционной системы (это связано опять-таки с тем, что контроля целостности исполняемого кода не производится). В частности, ее можно модифицировать так, что будет пропускаться проверка правильности пароля любого пользователя.
7. Ошибки администрирования.
Ошибки в администрировании системы сводят на нет самую хорошую модель безопасности и самое корректное ее внедрение. Самый простой пример ‑ наличие пользователя с правами супервизора без пароля.
Наличие возможности записи в один из каталогов, используемых в файле начальной загрузки (login script) приводит к тому, что злоумышленник может исправить одну из запускаемых программ (это могут быть различные драйверы, операционные оболочки и т.п.) так, чтобы она совершала некоторые несанкционированные действия (в частности, запоминала пароль, под которым пользователь вошел в систему). Здесь используется также тот факт, что Novell Netware никоим образом не контролирует целостность своих системных компонент.
Наличие у пользователя права на чтение SYS:SYSTEM автоматически приводит к тому, что ему могут стать доступны копии файлов базы данных связок NET$*.OLD и он сможет прочитать оттуда хеш-значение пароля любого пользователя.
Тема 6. Организационно-правовые методы защиты информации
6.1. Организационные методы защиты информации
Организационные методы защиты информации делятся на организационно-административные и организационно-технические методы защиты.
Организационно-административные методы защиты
Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется.
Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:
• выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;
• выделение специальных ЭВМ для обработки конфиденциальной информации, организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;
• использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;
• организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;
• организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации, установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
• разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации, постоянный контроль за соблюдением установленных требований по защите информации.
Организационно-технические методы защиты информации
Организационно-технические методы защиты информации охватывают все структурные элементы автоматизированных информационных систем на всех этапах их жизненного цикла. Организационно-техническая защита информации обеспечивается осуществлением следующих мероприятий: ограничением доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков, отключением ЭВМ от локальной вычислительной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи, использованием для отображения конфиденциальной информации жидкокристаллических, а для печати ‑ струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон) ‑ генераторы шума, кондиционер, вентилятор, или обрабатывать другую информацию на рядом стоящей ЭВМ, установкой клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу, размещением оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры; организацией электропитания ЭВМ от отдельного блока питания, использованием бесперебойных источников питания для персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой. Основное назначение бесперебойных источников питания (БИП) ‑ поддержание работы компьютера после исчезновения напряжения в электрической сети. Это обеспечивается за счет встроенных аккумуляторов, которые подзаряжаются во время нормальной работы. БИП мгновенно предупредит своего владельца об аварии электропитания и позволит ему в течение некоторого времени (от нескольких минут до нескольких часов) аккуратно закрыть файлы и закончить работу. Кроме обычных для БИП функций, они могут выполнять функцию высококлассного стабилизатора напряжения и электрического фильтра. Важной особенностью устройства является возможность непосредственной связи между ним и сетевой операционной системой.
6.2. Основные нормативные руководящие документы, касающиеся государственной тайны, нормативно-справочные документы
В России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации». В соответствии с этой Программой была намечена разработка базового Закона Российской Федерации в области информатизации «Об информации, информатизации и защите информации», а также специальных законов «О государственной тайне», «О коммерческой тайне», «Об ответственности за злоупотребления при работе с информацией» и др.
Основные государственные акты, регламентирующие защиту информации: Конституция Российской Федерации, Гражданский Кодекс Российской Федерации, Уголовный Кодекс Российской Федерации, Декларация прав и свобод человека и гражданина Российской Федерации, Законы Российской Федерации, Указы Президента Российской Федерации, Распоряжения Президента Российской Федерации, Постановления Правительства Российской Федерации, Решения Гостехкомиссии России, Совместные решения Гостехкомиссии России и ФАПСИ, Руководящие документы Гостехкомиссии России, Документы по созданию автоматизированных систем и систем защиты информации, Стандарты по защите от несанкционированного доступа (НСД) к информации, Стандарты по криптографической защите и ЭЦП, Стандарты, применяемые при оценке качества объектов информатизации, Нормативные документы, регламентирующие сохранность информации на объекте информатизации, Стандарты ЕСПД, ЕСКД, СРПП, Стандарты в области терминов и определений, Законы Российской Федерации и др.
6.3. Назначение и задачи в сфере обеспечения информационной безопасности на уровне государства
Основные задачи государственных органов в сфере информационной безопасности связаны с охраной общественных интересов, предотвращением противоправной деятельности, а также с защитой информации, имеющей государственную важность (военных сведений, информации о космических и ядерных технологиях и т.п.). При этом решение вопросов информационной безопасности в частном секторе экономики, как правило, является прерогативой самих частных компаний и организаций, а вмешательство государства в эту сферу должно быть минимизировано. Таким образом, на практике деятельность органов власти, как правило, концентрируется на решении вопросов информационной безопасности внутри отдельных сфер, которые считаются наиболее важными для обеспечения государственной безопасности и достижения политических целей: вооруженные силы, внешняя разведка, стратегические технологии (например, космические, атомные и военные), государственные финансы, общественная стабильность и некоторые другие. Решению вопросов информационной безопасности в других областях государственными органами, как правило, уделяется меньше внимания. Государственные органы могут решать определенные задачи информационной безопасности, не относящиеся напрямую к защите государственных информационных систем, в тех случаях, когда выгоды от государственного вмешательства существенно превышают затраты и решения, предлагаемые государством, не составляют конкуренции альтернативным решениям (услугам, технологиям, методикам и т.п.), которые предлагаются (или потенциально могут быть предложены) частными компаниями.
Деятельность государства в сфере информационной безопасности, как правило, строится на более общих задачах государственной власти, таких как:
• сохранение суверенитета государства;
• сохранение государственной и политической стабильности в стране;
• сохранение и развитие демократических институтов общества, а также обеспечение прав и свобод граждан;
• укрепление законности и правопорядка;
• обеспечение социально-экономического развития страны и устойчивости финансовой системы;
• участие в жизни международного сообщества.
6.4. Особенности сертификации и стандартизации криптографических услуг
Процесс синтеза и анализа СКЗИ отличается высокой сложностью и трудоемкостью, поскольку необходим всесторонний учет влияния перечисленных выше угроз на надежность реализации СКЗИ. В связи с этим практически во всех странах, обладающих развитыми криптографическими технологиями, разработка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, связанной с разработкой и эксплуатацией криптографических средств, сертификацию СКЗИ и стандартизацию алгоритмов криптографических преобразований.
В России в настоящее время организационно-правовые и научно-технические проблемы синтеза и анализа СКЗИ находятся в компетенции Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации.
Правовая сторона разработки и использования СКЗИ регламентируется в основном указом Президента Российской Федерации от 03.04.95 № 334 с учетом принятых ранее законодательных и нормативных актов РФ.
Дополнительно учитываемой законодательной базой являются законы: "О федеральных органах правительственной связи и информации", "О государственной тайне", "Об информации, информатизации и защите информации", "О сертификации продукции и услуг".
Лицензированию подлежат следующие виды деятельности:
1. Разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации.
2. Разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации.
3. Разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация закрытых систем и комплексов телекоммуникаций органов власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности (далее ‑ закрытых систем и комплексов телекоммуникаций), предназначенных для передачи информации, составляющей государственную или иную охраняемую законом тайну.
4. Проведение сертификационных испытаний, реализация и эксплуатация шифровальных средств, закрытых систем и комплексов телекоммуникаций, предназначенных для обработки информации, не содержащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации.
К шифровальным средствам относятся:
1. Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику.
2. Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от несанкционированного доступа к информации при ее обработке и хранении.
3. Реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства защиты от навязывания ложной информации, включая средства имитозащиты и "цифровой подписи".
4. Аппаратные, аппаратно-программные и программные средства для изготовления ключевых документов к шифровальным средствам независимо от вида носителя ключевой информации.
К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер.
Порядок сертификации СКЗИ установлен Системой сертификации средств криптографической защиты информации РОСС.Р11.0001.030001 Госстандарта России.
Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разработчиками СКЗИ апробированных криптографически стойких преобразований, обеспечения возможности совместной работы различных СКЗИ, а также возможности тестирования и проверки соответствия реализации СКЗИ заданному стандартом алгоритму.
В России приняты следующие стандарты:
1. алгоритм криптографического преобразования 28147-89;
2. алгоритмы хеширования, простановки и проверки цифровой подписи Р34.10.94 и Р34.11.94.
Из зарубежных стандартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4, алгоритмы хеширования МD2, МD4 и МD5, алгоритмы простановки и проверки цифровой подписи DSS и RSA.
Подводя итоги, можно указать примерные пути развития информационных технологий в рамках защищенных АС, опирающиеся на применение криптографических механизмов:
1. Ориентация на шифрование группового массива данных и защиту целостности отдельных объектов АС типа исполняемые модули (из которых происходит порождение субъектов).
2. Полное управление защитой только со стороны администратора сети. Реализация процедур изоляции ключей пользователей от администратора программными мерами (существование ключей только внутри программ и их уничтожение сразу после использования, хранение ключей в объектах АС, недоступных обычным пользователям).
3. Работа администратора с выделенной рабочей станцией с реализацией принципов централизованного управления СКЗИ.
4. Разделяемость клиентской части СКЗИ (рабочая станция) на отдельные модули и индивидуальные структуры данных для этих модулей.
5. Администрирование сетевых криптографически защищенных ресурсов преимущественно без участия владельцев индивидуальных ключей. Возможность установки защиты самим пользователем.
6. Локальная интероперабельность ‑ реализация защитных механизмов СКЗИ для некоторого подмножества файлово-совместимых ОС на рабочей станции и любого ПО на сервере.
7. Существование у пользователя индивидуальных данных (возможность этого задается дополнительными атрибутами защиты ‑ право порождения ключа для защиты локальных данных, возможность отключения администратора СКЗИ от своего криптографически защищенного объекта, возможность создания объекта индивидуального доступа, право допустить к объекту другого пользователя).
8. Использование открытого интерфейса криптографических функций. Организация универсальных структур данных под переменные длины ключей и имитовставок.
9. Реализация процедуры единого выхода во внешнюю сеть - через почтовую СКЗИ ‑ шлюз, либо шифрование объектов транспортной системы АС.
10. Снабжение клиента пользовательским интерфейсом (через функции открытого интерфейса), с помощью которого он может встраивать в свои приложения (в основном клиенты СУБД) криптографические функции.
На основании изложенных выше положений можно сделать вывод о том, что перспективные технологии применения криптографической защиты развиваются в направлении применения открытых интерфейсов криптографических функций, а также использования собственных вычислительных ресурсов прикладных средств.
6.5. Законодательная база информационной безопасности
Федеральные законы РФ.
Указы президента РФ.
Постановления правительства РФ.
Нормативные документы ФСТЭК России.
Нормативные документы ФСБ России.
Нормативные документы Роскомнадзора.
Концепция информационной безопасности.
Ответственность за нарушения и преступления в информационной сфере.
6.6. Место информационной безопасности экономических систем в национальной безопасности страны
Информационная безопасность играет ключевую роль в обеспечении жизненно важных интересов Российской Федерации. Это, в первую очередь, обусловлено насущной потребностью, создания развитой и защищенной информационной среды общества. Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства.
В политической сфере все большее значение приобретают информационные факторы. В традиционном противостоянии политических соперников растут удельный вес и значимость информационно-психологического воздействия.
Экономический потенциал государства все в большей степени определяется объемом информационных ресурсов и уровнем развития информационной инфраструктуры. В то же время растет уязвимость экономических структур от недостоверности, запаздывания и незаконного использования экономической информации.
В военной сфере исход вооружённой борьбы все в большей степени зависит от качества добываемой информации и уровня развития информационных технологий, на которых основываются системы разведки, радиоэлектронной борьбы, управления войсками и высокоточным оружием.
В сфере духовной жизни возникает опасность развития в обществе агрессивной потребительской идеологии, тотальной коммерциализации культуры, распространения идей насилия и нетерпимости, воздействия на психику разрушительных форм мифологизированного сознания. Эти угрозы и защита от них, а также утверждение нравственных ценностей реализуются внутри информационной среды и прежде всего через средства массовой информации и формирования общественного мнения.
Информационная среда, являясь системообразующим фактором во всех сферах национальной безопасности, активно влияет на состояние политической, экономической, оборонной и других составляющих национальной безопасности Российской Федерации. В то же время она представляет собой самостоятельную сферу национальной безопасности, в которой необходимо обеспечить защиту информационных ресурсов, систем их формирования, распространения и использования, информационной инфраструктуры, реализацию прав на информацию государства, юридических лиц, граждан.
6.7. Концепция информационной безопасности
В Концепции информационной безопасности Российской Федерации (далее ‑ Концепция) на основе анализа современного состояния информационной безопасности определены цели, задачи и ключевые проблемы обеспечения информационной безопасности.
Рассмотрены объекты, угрозы информационной безопасности и возможные их последствия, методы и средства предотвращения, парирования и нейтрализации угроз, а также особенности обеспечения информационной безопасности в различных сферах деятельности государства.
Излагаются основные положения государственной политики обеспечения информационной безопасности в Российской Федерации, организационная структура и принципы построения системы информационной безопасности.
Концепция служит методологической основой разработки комплекса нормативно-правовых и организационно-методических документов, регламентирующих деятельность в области информационной безопасности органов представительной, исполнительной и судебной властей Российской Федерации, субъектов Российской Федерации, органов местного самоуправления (далее ‑ органы государственной власти и управления), предприятий, учреждений и организаций независимо от их организационно-правовой формы и формы собственности (далее ‑ предприятия).
Тема 7. Роль стандартов в обеспечении информационной безопасности
7.1. Роль стандартов информационной безопасности. Квалификационный анализ уровня безопасности
Главная задача стандартов информационной безопасности ‑ создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов ИТ. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. Потребители также нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения.
Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов, в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя требования безопасности должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т. д.
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами ИТ, и предоставить потребителям возможность сделать обоснованный выбор.
7.2. Критерии безопасности компьютерных систем министерства обороны США (“Оранжевая книга”)
Критерии определения безопасности компьютерных систем – стандарт Министерства обороны США, устанавливающий основные условия для оценки эффективности средств компьютерной безопасности, содержащихся в компьютерной системе. Критерии используются для определения, классификации и выбора компьютерных систем предназначенных для обработки, хранения и поиска важной или секретной информации.
Критерии, часто упоминающиеся как «Оранжевая книга», занимают центральное место среди публикаций «Радужной серии» Министерства обороны США. Изначально выпущенные Центром национальной компьютерной безопасности США в качестве орудия для Агентства национальной безопасности в 1983 году и потом обновлённые в1985.
Аналогом «Оранжевой книги» является международный стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более универсальный и совершенный стандарт, но вопреки распространенному заблуждению, он не заменял собой «Оранжевую книгу» в силу разной юрисдикции документов – «Оранжевая книга» используется исключительно Министерством Обороны США, в то время как ISO/IEC 15408 ратифицировали множество стран, включая Россию.
Критерии делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A. Каждый дивизион представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.
D ‑ Минимальная защита.
Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.
C ‑ Дискреционная защита.
B ‑ Мандатная защита.
A ‑ Проверенная защита.
7.3. Базовые требования безопасности: требования политики безопасности, требования подотчетности (аудита), требования корректности
Политика безопасности
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность доступа субъектов к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где это необходимо, должна использоваться политика мандатного управления доступом, позволяющая эффективно реализовать разграничение доступа к информации различного уровня конфиденциальности.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве исходной информации для процедур контроля доступа. Для реализации мандатного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и режимы доступа к этому объекту.
Подотчетность
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе (т.е. должен существовать объект компьютерной системы, потоки от которого и к которому доступны только субъекту администрирования). Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.
Гарантии (корректность)
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.
Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одной из ключевых аксиом, используемых для формального доказательства безопасности системы.
7.4. Классы защищенности компьютерных систем
"Оранжевая книга" предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D и А соответственно), группа С ‑ классы С1, С2, а группа В три класса ‑ В1, В2, ВЗ, характеризующиеся различными наборами требований защищенности. Уровень защищенности возрастает от группы D к группе А, а внутри группы ‑ с увеличением номера класса. Усиление требований осуществляется с постепенным смещением акцентов от положений, определяющих наличие в системе каких-то определенных механизмов защиты, к положениям, обеспечивающих высокий уровень гарантий того, что система функционирует в соответствии требованиям политики безопасности.
Рассмотрим основные требования классов защищенности по указанным выше четырем категориям:
◦ политика безопасности;
◦ подотчетность;
◦ гарантии;
◦ документация.
Центральным объектом исследования и оценки по TCSEC является доверительная база вычислений (ТСВ).
Группа D. Минимальная защита.
Класс D. Минимальная защита. Класс D зарезервирован для тех систем, которые были представлены на сертификацию (оценку), но по какой-либо причине ее не прошли.
Группа С. Дискреционная защита.
Группа С характеризуется наличием дискреционного управления доступом и аудитом действий субъектов.
Класс С1. Системы на основе дискреционного разграничения доступа. ТСВ систем, соответствующих этому классу защиты, удовлетворяет неким минимальным требованиям безопасного разделения пользователей и данных. Она определяет некоторые формы разграничения доступа на индивидуальной основе, т.е. пользователь должен иметь возможность защитить свою информацию от ее случайного чтения или уничтожения. Пользователи могут обрабатывать данные как по отдельности, так и от имени группы пользователей.
Политика безопасности. ТСВ должна определять и управлять доступом между поименованными объектами и субъектами (пользователями или их группами) в компьютерной системе (например, при помощи матрицы доступа). Механизм защиты должен позволять пользователям определять и контролировать распределение доступа к объектам по поименованным пользователям, их группам или по тем и другим.
Подотчетность. Пользователи должны идентифицировать себя перед ТСВ в случае выполнения ими любых действий, ею контролируемых; при этом должен быть использован хотя бы один из механизмов аутентификации (например, пароль). Данные аутентификации должны быть защищены от доступа неавторизованного пользователя.
Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Ресурсы системы, контролируемые ТСВ, являются подмножеством множества всех ресурсов. Должны быть предоставлены АО и ПО для периодической проверки правильности работы ТСВ. Тестирование ТСВ должно выполняться согласно документации для обеспечения гарантии того, что нет явных путей обхода системы защиты неавторизованным пользователем или иного расстройства системы защиты.
Документация должна включать:
◦ описание реализованных в ТСВ механизмов защиты, их взаимодействия и руководство пользователя по их использованию;
◦ руководство для администратора системы на гарантирование системы защиты;
◦ документацию по тестам, включающую описание того, как механизмы безопасности должны тестироваться и как интерпретировать результаты тестов;
◦ документацию по проекту, описывающую философию системы защиты и того, как эта философия реализована в ТСВ (если ТСВ состоит из нескольких модулей, то должен быть описан интерфейс между ними).
Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня конфиденциальности.
Класс С2. Системы, построенные на основе управляемого дискреционного разграничения доступа.
Системы, сертифицированные по данному классу, должны удовлетворять всем требованиям, изложенным в классе С1. Однако, системы класса С2 поддерживают более тонкую, чем в классе С1, политику дискреционного разграничения доступа, делающую пользователя индивидуально ответственным за свои действия после процедуры аутентификации в системе, а также аудит событий, связанных с безопасностью системы.
Группа В. Мандатное управление доступом.
Основные требования этой группы ‑ мандатное (полномочное) управление доступом с использованием меток безопасности, реализация некоторой формальной модели политики безопасности, а также наличие спецификаций на функции ТСВ. В системах этой группы постепенно к классу ВЗ должен быть реализован монитор ссылок, который должен контролировать все доступы субъектов к объектам системы.
Класс В1. Системы класса В1 должны удовлетворять требованиям класса С2. Кроме того, должны быть выполнены следующие дополнительные требования:
Политика безопасности. ТСВ должна обеспечивать пометку каждого субъекта и объекта системы.
Подотчетность. Аудиту подлежат любые изменения меток секретности читаемого вывода.
Гарантии. ТСВ должна обеспечивать изоляцию процессов системы, через выделение им соответствующего адресного пространства.
Документация должна дополнительно включать:
◦ Для системного администратора описание функций, относящихся к безопасности ТСВ, а также описание путей и методов наилучшего использования защитных свойств системы; указание, как безопасно создать новую ТСВ; описания выполняемых процедур, предупреждений и привилегий, необходимых для контроля за безопасной работой системы.
◦ Описание формальной или неформальной политики безопасности, а также то, как она реализована в системе.
Класс В2. Структурированная защита. Выполняются все требования класса защиты В1. Кроме того, в системах класса В2 ТСВ основывается на четко определенной и хорошо документированной формальной модели политики безопасности, требующей, чтобы мандатная и дискреционная системы разграничения доступа были распространены на все субъекты и объекты компьютерной системы. ТСВ должна быть четко структурирована на элементы, критичные с точки зрения безопасности и некритичные. Интерфейс ТСВ должен быть хорошо определен и ее проект и конечный результат должны быть подвергнуты полной проверке и тестированию. Механизм аудита должен быть усилен, введен контроль за конфигурацией системы. Система должна быть устойчива к внешнему проникновению.
Класс ВЗ. Домены безопасности. В системах класса ВЗ ТСВ должна удовлетворять всем требованиям предыдущего класса и дополнительно требованиям монитора ссылок, который должен быть:
◦ защищен от несанкционированного изменения или порчи;
◦ обрабатывать все обращения;
◦ прост для анализа и тестирования.
ТСВ должна быть структурирована таким образом, чтобы исключить код, не имеющий отношения к безопасности системы.
Дополнительно должно быть обеспечено:
◦ поддержка администратора безопасности;
◦ расширение механизма аудита с целью сигнализации о любых событиях, связанных с безопасностью;
◦ поддержка процедуры восстановления системы.
Группа А. Верифицированная защита.
Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (дискреционного и мандатного). Требуется, чтобы было формально показано соответствие архитектуры и реализации ТСВ требованиям безопасности.
Класс А1. Формальная верификация. Критерий защиты класса А1 не определяет дополнительные по сравнению с классом ВЗ требования к архитектуре или политике безопасности компьютерной системы. Дополнительным свойством систем, отнесенных к классу А1, является проведенный анализ ТСВ на соответствие формальным высокоуровневым спецификациям и использование технологий проверки с целью получения высоких гарантий того, что ТСВ функционирует корректно.
7.5. Интерпретация и развитие Критериев безопасности
Опубликование TCSEC стало важным этапом, как в постановке основных теоретических проблем компьютерной безопасности, так и в указании направления их решения. Тем не менее, в ходе применения ее основных положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта. Кроме того, с течением времени (с момента опубликования прошло пятнадцать лет) ряд положений устарел и потребовал пересмотра.
Круг специфических вопросов по обеспечению безопасности компьютерных сетей и систем управления базами данных нашел отражение в отдельных документах, изданных Национальным центром компьютерной безопасности США в виде дополнений к "Оранжевой книге":
• "Интерпретация TCSEC для компьютерных сетей";
• "Интерпретация TCSEC для систем управления базами данных".
Эти документы содержат трактовку, основных положений "Оранжевой книги" применительно к соответствующим классам систем обработки информации.
Устаревание ряда положений TCSEC обусловлено прежде всего интенсивным развитием компьютерных технологий и переходом с вычислительных комплексов типа IBM-360/270 (советский аналог машины серии ЕС) к рабочим станциям, высокопроизводительным персональным компьютерам и сетевой модели вычислений. Именно для того, чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений "Оранжевой книги", адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана значительная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих "Оранжевой книге" документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:
• "Руководство по произвольному управлению доступом в безопасных системах".
• "Руководство по управлению паролями".
• "Руководство по применению "Критериев безопасности компьютерных систем" в специфических средах".
• "Руководство по аудиту в безопасных системах".
• "Руководство по управлению конфигурацией в безопасных системах".
Количество подобных вспомогательных документов, комментариев и интерпретаций значительно превысило объем первоначального документа, и в 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения. При его подготовке состав подлежащих рассмотрению и толкованию вопросов обсуждался на специальных конференциях разработчиков и пользователей защищенных систем обработки информации. В результате открытого обсуждения была создана база данных, включающая все спорные вопросы, которые затем в полном объеме были проработаны специально созданной рабочей группой. В итоге появился документ, проинтегрировавший все изменения и дополнения к TCSEC, сделанные с момента ее опубликования, что привело к обновлению стандарта и позволило применять его в современных условиях.
7.6. Руководящие документы Гостехкомиссии России
Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская Руководящие документы (РД), играющие роль национальных оценочных стандартов в области информационной безопасности (ИБ). В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на общие критерии (ОК), что можно только приветствовать. С 1992 году Гостехкомиссия при Президенте РФ опубликовала девять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации:
• Руководящий документ «Концепция защиты средств вычислительной техники и АС от НСД к информации» (Гостехкомиссия России, 1992г.);
• Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (ГТК России, 1992 г.);
• Руководящий документ «Защита от НСД к информации. Термины и определения» (ГТК России, 1992 г.);
• Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ» (ГТК России, 1992 г.);
• Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (ГТК России 1994 г.);
• Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (ГТК России, 1997 г.);
• Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (ГТК России, 1997 г.);
• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (ГТК России, 1999 г.);
• Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (ГТК России, 2001г.).
7.7. Структура требований безопасности
Руководящие документы ГТК состоят из пяти частей:
1. Защита от несанкционированного доступа к информации. Термины и определения.
2. Концепция защиты средств вычислительной техники (СВТ) и АС от НСД к информации.
3. Классификация автоматизированных систем и требования по защите информации.
4. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации.
5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.
7.8. Основные положения концепции защиты средств вычислительной техники от несанкционированного доступа (НСД) к информации
Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, используемых для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:
• выработка требований по защите СВТ и АС от НСД к информации;
• создание защищенных СВТ и АС, т.е. защищенных от НСД к информации;
• сертификация защищенных СВТ и АС.
Как уже было сказано выше, концепция предусматривает существование двух относительно самостоятельных направлений в проблеме защиты информации от НСД: направления, связанного с СВТ, и направления, связанного с АС. Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. В случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой СВТ предназначено. Примером СВТ можно считать специализированную плату расширения с соответствующим аппаратным и программным интерфейсом, реализующую функции аутентификации пользователя по его биометрическим характеристикам. Или к СВТ можно отнести программу прозрачного шифрования данных, сохраняемых на жестком диске.
При создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации. Типичным примером АС является многопользовательская, многозадачная ОС.
7.9. Показатели защищенности средств вычислительной техники от НСД
В ч. 2 руководящих документов ГТК устанавливается классификация СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Показатели защищенности содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры компьютера). Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).
По аналогии с критерием TCSEC, установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс ‑ седьмой, самый высокий – первый.
Важно отметить, что требования являются классическим примером применения необходимых условий оценки качества защиты, т.е. если какой-либо механизм присутствует, то это является основанием для отнесения СВТ к некоторому классу.
Интересно, что защищенные СВТ содержат разделение только по двум классам политик безопасности: дискреционной и мандатной.
Классы подразделяются на 4 группы, отличающиеся качественным уровнем защиты:
◦ первая группа содержит только один седьмой класс;
◦ вторая группа характеризуется дискреционной защитой и содержит 6 и 5 классы;
◦ третья группа характеризуется мандатной защитой и содержит 4,3 и 2 классы;
◦ четвертая группа характеризуется верификационной защитой и содержит только 1 класс;
◦ 7 класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований 6 класса.
Невлияние субъектов друг на друга описывается требованием "изоляция модулей" (требуется с 4-го класса). Гарантии выполнения политики безопасности коррелированы с требованием "целостность КСЗ" (требуется с 5-го класса) и класса "гарантии проектирования" (требуется также с 5-го класса).
7.10. Классы защищенности автоматизированных систем
В ч. 3 руководящих документов ГТК дается классификация АС и требований по защите информации в АС различных классов. При этом определяются:
1. Основные этапы классификации АС:
◦ разработка и анализ исходных данных;
◦ выявление основных признаков АС, необходимых для классификации;
◦ сравнение выявленных признаков АС с классифицируемыми;
◦ присвоение АС соответствующего класса защиты информации от НСД.
2. Необходимые исходные данные для классификации конкретной АС:
◦ перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
◦ перечень лиц, имеющих доступ к штатным средствам АС с указанием их уровня полномочий;
◦ матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
◦ режим обработки данных в АС.
3. Признаки, по которым производится группировка АС в различные классы:
◦ наличие в АС информации различного уровня конфиденциальности;
◦ уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
◦ режим обработки данных в АС: коллективный или индивидуальный.
Документы ГТК устанавливают девять классов защищенности АС от НСД, распределенных по трем группам. Каждый класс характеризуется определенной совокупностью требований к средствам защиты. В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NА, где N ‑ номер группы (от 1 до 3). Следующий класс обозначается NБ и т.д.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса ‑ 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса ‑ 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов ‑ 1Д, 1Г, 1В, 1Б и 1А.
7.11. Международные стандарты информационной безопасности
ISO/IEC 27002:2005. Свод правил по управлению защитой информации. CERT. Руководство по предотвращению и выявлению инсайдерских угроз. CIS: Метрики безопасности. Документы SANS по безопасности. PCI DSS. NIST.
7.11.1. Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий» («Единые критерии»)
“Единые критерии” (ЕК) на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от “Оранжевой книги”, ЕК не содержат предопределенных “классов безопасности”. Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.
7.11.2. Основные положения «Единых критериев»
«Единые критерии» регламентируют все стадии; разработки, квалификационного анализа и эксплуатации ИТ-продуктов, уже знакомых нам по «Федеральным критериям» (п. 2.8.2). «Единые критерии» предлагают достаточно сложную и бюрократичную концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей огромного количества бумажной работы по составлению и оформлению весьма объемных и подробных нормативных документов.
Согласно «Единым критериям», безопасность информационных технологий может быть достигнута посредством применения предложенной в них технологии разработки, сертификации и эксплуатации ИТ-продуктов.
С точки зрения авторов «Единых критериев» наиболее существенным аспектом требований безопасности, на которые ориентируются разработчики при создании ИТ-продукта, является их соответствие нуждам его потребителей. Только при соблюдении этого условия будет достигнута поставленная цель ‑ обеспечение безопасности информационных технологий. «Единые критерии» определяют множество типовых требований, которые в совокупности с механизмом профилей защиты позволяют потребителям создавать частные наборы требований, отвечающие их нуждам. Разработчики могут использовать профиль защиты как основу для создания спецификаций своих продуктов. Профиль защиты и спецификации средств защиты составляют проект защиты, который представляет ИТ-продукт в ходе квалификационного анализа.
Квалификационный анализ может осуществляться как параллельно с разработкой, так и следовать за ней. Для проведения квалификационного анализа должны быть получены следующие материалы:
◦ проект защиты, описывающий функции защиты ИТ-продукта и требования безопасности, соответствующие требованиям Профиля защиты, на реализацию которого претендует ИТ-продукт;
◦ доказательства возможностей ИТ-продукта. представленные его разработчиком;
◦ сам ИТ-продукт;
◦ дополнительные сведения, полученные путем проведения различных экспертиз.
Процесс квалификационного анализа включает три стадии:
1. Анализ профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности использования в качестве набора требований для анализируемого продукта.
2. Анализ проекта защиты на предмет его соответствия требованиям профиля защиты, а также полноты, непротиворечивости, реализуемости и возможности использования в качестве описания ИТ-продукта.
3. Анализ ИТ-продукта на предмет соответствия проекту защиты.
Результатом квалификационного анализа является заключение о том, что проанализированный ИТ-продукт соответствует представленному проекту защиты. Заключение состоит из нескольких отчетов, отличающихся уровнем детализации и содержащих мнение экспертов по квалификации об ИТ-продукте на основании критериев квалификации ‑ «Единых критериев». Эти отчеты могут использоваться как производителями, так и потребителями ИТ-продукта.
Применение квалификационного анализа сертификации приводит к повышению качества работы производителя в процессе проектирования и разработки ИТ-продуктов, а также к повышению безопасности их эксплуатации. Кроме того, в продуктах, прошедших квалификацию уровня безопасности, уменьшается вероятность появления ошибок и изъянов. Все это позволяет говорить о том, что «Единые критерии» оказывают положительное и конструктивное влияние на процесс формирования требований, разработку ИТ-продукта, сам продукт и его эксплуатацию.
Основными документами, описывающими все аспекты безопасности ИТ-продукта с точки зрения пользователей и разработчиков, являются соответственно профиль защиты и проект защиты. Рассмотрим структуру и содержание этих документов.
7.12. Функциональные требования и требования доверия
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности, всего 11 функциональных классов (в трёх группах), 66 семейств, 135 компонентов.
I. Первая группа определяет элементарные сервисы безопасности:
1. FAU ‑ аудит, безопасность (требования к сервису, протоколирование и аудит);
2. FIA – идентификация и аутентификация;
3. FRU ‑ использование ресурсов (для обеспечения отказоустойчивости).
II. Вторая группа описывает производные сервисы, реализованные на базе элементарных:
1. FCO ‑ связь (безопасность коммуникаций отправитель-получатель);
2. FPR ‑ приватность;
3. FDP ‑ защита данных пользователя;
4. FPT ‑ защита функций безопасности объекта оценки.
III. Третья группа классов связана с инфраструктурой объекта оценки:
1. FCS ‑ криптографическая поддержка (обслуживает управление крипто-ключами и крипто-операциями);
2. FMT ‑ управление безопасностью;
3. FTA ‑ доступ к объекту оценки (управление сеансами работы пользователей);
4. FTP ‑ доверенный маршрут/канал.
7.13. Понятие «Профиля защиты» и «Проекта защиты»
Профиль защиты ‑ специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности и их обоснования. Служит руководством для разработчика продукта информационных технологий при создании проекта защиты.
Проект защиты ‑ специальный нормативный документ, представляющий собой совокупность задач защиты, функциональных требований, требований адекватности, общих спецификаций средств защиты и их обоснования. В ходе квалификационного анализа служит описанием продукта информационных технологий.