Сексуальный разврат и разводы губят нацию быстрее, чем экономические кризисы. © Александр Дьяков 983 - | 878 - или читать все...
Обратная связь Пожаловаться на материал

Лекция 6. Построение систем защиты информации от НСД


⇐ ПредыдущаяСтр 9 из 35Следующая ⇒

Вопросы:

Классические модели защиты информации

Синтез структуры системы защиты информации

Проектирование систем защиты предполагает разработку модели защиты и перенесение ее на конкретную структуру программных средств, ОС, системы управления базами данных или на автоматизированную систему в целом. Модель защиты представляет собой описание, формализованное или нет, правил взаимодействия ресурсов в программно-аппаратной среде АС. Под информационно-программным ресурсом будем в дальнейшем понимать объект доступа в АС: узел сети, ЭВМ, внешние устройства ЭВМ, том, файл, запись, программу, процесс и т.п., под пользователем - субъект доступа: прикладную программу, пакет прикладных программ (ППП), процесс, команду, задачу, задание, терминал, ЭВМ, узел сети и т.п.

Модели защиты позволяют сконцентрировать основное внимание на наиболее важных аспектах проблемы защиты информации, отбрасывая из рассмотрения технические детали системы. Использование теоретических или формальных моделей позволяет сравнивать различные системы на общей основе.

Модели защиты информации исторически возникли из работ по. теории защиты ОС. Первая попытка использования модели защиты была предпринята при разработке защищенной ОС ADEPT-50 по заказу МО США. Эта модель состоит из множества объектов защиты: пользователи, задания, терминалы и файлы, которым задаются такие характеристики, как уровень конфиденциальности, категория прикладной области (из дискретного набора рубрик, описывающих прикладную область), полномочия и режим (вид) доступа. Поведение модели описывается следующими простыми правилами [1]:

а) пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей;

б) пользователю разрешается доступ к терминалу, если он входит в подмножество пользователей, закрепленных за данным терминалом:

в) пользователю разрешен доступ к файлу, если:

уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла:

прикладная область файла включается в прикладную область задания пользователя;

режим доступа задания пользователя включает режим доступа к файлу; - пользователь входит в подмножество допущенных к файлу пользователей.

Характеристики безопасности объекта получаются на основе прав задания, а не прав пользователя, и используются в модели для управления доступом, что обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов.

В модели Хартсона в качестве основных характеристик используются множества так называемого пятимерного "пространства безопасности" [1):

установленных полномочии;

пользователей;

операции;

ресурсов;

состояний.

Область безопасных состояний системы представляется в виде декартова произведения перечисленных множеств. Каждый запрос на доступ представляется подпространством четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.

В модели безопасности с "полным перекрытием" [1] предусматривается по крайней мере одно средство защиты для обеспечения безопасности на каждом возможном пути проникновения в систему или нарушения защиты охраняемых объектов. Модель имеет более простой вид за счет удаления из рассмотрения "области пользователя" и "внешних ограничений". В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения с точки зрения их эффективности и их вклад в обеспечение безопасности во всей автоматизированной системе.

Одна из первых фундаментальных моделей защиты была разработана Лэмпсоном (Lampson) и затем усовершенствована Грэхемом (Graham) и Деннингом (Denning) [2].

Основу их модели составляет правило доступа, которое определяет возможный вид доступа субъекта доступа по отношению к объекту доступа. В контексте ОС объектами доступа могут являться страницы оперативной памяти, программы, устройства внешней памяти ЭВМ и файлы. Субъектами обычно являются пары вида "процесс-домен". Процесс представляет собой активную выполняющуюся программу, а домен - окружение, в котором выполняется процесс.

Примерами доменов в системе IBM System/370 являются состояния процессора, супервизора или прикладной программы. Видами доступа могут быть: выполнение, выделение (памяти), чтение, запись. Множество всех возможных правил доступа можно представить в виде матрицы (таблицы) доступа А, в которой столбцы Oi, 02,..., Оn представляют объекты доступа, а строки S1, S2,..., Sn представляют субъекты доступа. Элемент таблицы A [Si,Oj] содержит список видов доступа t1, Т2,..., Тk который определяет привилегии субъекта S, по отношению к объекту Оj,-

Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом, часто именуемым монитором. Следовательно, когда субъект S, инициирует доступ вида Тk к объекту 0j, монитор проверяет наличие Tk в элементе матрицы A [Si,Oj]. Так как во время выполнения программы возможна передача управления от одного процесса к другое, то правила доступа должны динамически изменяться таким образом, чтобы права доступа одного субъекта могли бы передаваться другому. Права доступа в матрице помечаются, если разрешена их передача (копирование). Субъекту, не находящемуся в процессе отладки, можно запретить произвольно передавать свои права. Ценность такого подхода состоит в ограничении воздействия ошибок. Ошибки в этом случае не могут бесконтрольно распространяться по всей системе. Поэтому увеличивается надежность (так как другие части системы в большинстве случаев могут продолжать свою работу безошибочно) и упрощается отладка. В такой модели безопасность всех объектов системы рассматривается единообразно. Однако при рассмотрении вопросов безопасности баз данных (БД) такая модель описывает безопасность только части объектов системы, а именно безопасность операционных систем. Безопасность БД предполагает включение в матрицу доступа не только страниц памяти, внешних устройств и файлов, но также и объектов, присущих самим системам управления БД, таких, как записи и поля записей. Поэтому модель может быть расширена для исследования всех аспектов безопасности в автоматизированной системе. Однако существует несколько принципиальных отличий между безопасностью операционной системы и безопасностью БД. Они заключаются в следующем:

в БД большее число защищаемых объектов;

безопасность БД связана с большим числом уровней укрупненности данных, таких, как файлы, записи, поля записей и значения полей записей;

операционные системы связаны с защитой физических ресурсов, а в БД объекты могут представлять собой сложные логические структуры, определенное множество которых может отображаться на одни и те же физические объекты данных;

возможно существование различных требований по безопасности для разных уровней рассмотрения - внутреннего, концептуального и внешнего для БД и ОС;

безопасность БД связана с семантикой данных, а не с их физическими характеристиками.

Единая модель защиты ОС и БД значительно усложняет рассмотрение вопросов безопасности. Поэтому разработаны специальные модели защиты БД. Одним из примеров моделей защиты БД является модель Фернандеза (Fernandez), Саммерса (Summers) и Колмана (Coleman) [3].

Данные модели защиты относятся к классу матричных и получили наибольшее распространение вследствие того, что они служат не только для целей анализа логического функционирования системы, но и успешно поддаются реализации в конкретных программных системах. Так как программы выступают в правилах доступа в качестве субъектов, то они могут при необходимости расширять права конкретных пользователей. Например, программа может иметь права на сортировку файла, чтение которого пользователю запрещено, б модели Хартсона (Hartson) и Сяо (Hsiao) [1] каждое правило может иметь расширение, которое определяет права программ. В других случаях может потребоваться сужение прав пользователей правами используемых ими программ. В то же время программы могут выступать в качестве объектов доступа, типичными операциями для которых являются исполнение (Execute) и использование (Use).

Другим видом моделей являются многоуровневые модели. Они отличаются от матричных моделей по нескольким аспектам. Во-первых, они рассматривают управление доступом не в рамках задаваемых неким администратором прав пользователям, а в рамках представления всей системы таким образом, чтобы данные одной категории или области не были доступны пользователям другой категории. Первый вид управления получил название дискреционного (discretionary) контроля доступа, а второй - недискреционного (nondiscretionary), хотя возможны и сочетания видов управления доступом. Например, администратор может установить дискреционные правила доступа для персонала внутри подразделения и недискреционные правила доступа для исключения доступа к данным подразделения со стороны сотрудников из другого подразделения. Ценность недискреционных моделей управления доступом состоит в возможности проведения формального заключения об их безопасности, в то время как для дискреционных моделей в общем случае теоретически невозможно установить, являются ли они безопасными (основная теорема Харрисона) [1].

Во-вторых, многоуровневые модели рассматривают не только сам факт доступа к информации, но также и потоки информации внутри системы. Подобно дискреционным (матричным) моделям, многоуровневые модели также были разработаны для рассмотрения аспектов безопасности операционных систем и в дальнейшем были распространены на безопасность БД.

Наибольшее распространение получила многоуровневая модель защиты, разработанная Бэллом и Ла Падулом (Bell, La Padula) в фирме Mitre Corp. [4,5]. В этой модели вводятся понятия уровня и категории. Каждому субъекту приписывается уровень допуска (форма допуска), а каждому объекту - уровень конфиденциальности (гриф секретности). В военной области известны такие уровни под грифами "сов. секретно", "секретно", "конфиденциально" (для служебного пользования) и "несекретно". Субъект обычно представляет процесс, выполняющийся по запросу пользователя и имеющий тот же уровень допуска, что и пользователь. Объектами могут быть области памяти, переменные программ, файлы, устройства ввода-вывода, пользователи и другие элементы системы, содержащие информацию. Каждому субъекту и объекту приписывается также множество категорий в виде прикладных областей, например "Ядерное вооружение" или "НАТО". Тогда уровень безопасности представляется в виде сочетания: уровень конфиденциальности, множество категорий.

Один уровень безопасности доминирует над другим тогда и только тогда, когда его уровень конфиденциальности или уровень допуска больше или равен второму, и его множество категорий включает соответствующее множество второго. Уровни допуска и конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично, так что некоторые субъекты и объекты могут быть несравнимы. Например, на рис.2 уровень безопасности LI доминирует над уровнем L3, так как его уровень классификации выше и его множество категорий включает множество категорий уровня L3. С другой стороны, уровни безопасности LI и L2 являются несравнимыми.

Рис.2. Взаимодействие уровней безопасности

Доступ к объекту может рассматриваться либо как чтение (получение из него информации), либо как изменение (запись в него информации). Тогда виды доступа

определяются любыми возможными сочетаниями таких операций, т.е.:</ ...........

p>

ни чтение, ни изменение;

только чтение;

только изменение;

чтение и изменение.

Модель рассматривает состояния системы безопасности, которые определяются:

текущим множеством доступов, представляемых в виде триад (субъект, объект, вид доступа);

матрицей доступа;

уровнем безопасности каждого объекта;

максимальным и текущим уровнями безопасности каждого субъекта.

Любой запрос вызывает изменение состояния системы. Запросы могут быть: на доступ к объектам, на изменение уровня безопасности или матрицы доступа, на создание или удаление объектов. Реакция системы на запросы называется решением. При данном запросе и текущем состоянии решение и новое состояние определяются правилами. (Здесь правила рассматриваются не как правила доступа в дискретной модели, а как правила оценки) Эти правила поведения системы предписывают, как будет обрабатываться каждый вид запроса. Доказательство безопасности системы включает доказательство того, что каждое правило выполняется безопасным образом. Тогда, если состояние системы безопасно, то любой новый запрос вызывает переход системы в новое безопасное состояние.

Безопасное состояние определяется двумя свойствами: простым условием безопасности и условием безопасности (*) (звездочка), которое называют также ограничительным. Простое условие безопасности заключается в том, что для каждого текущего доступа (субъект, объект, вид доступа), связанного с чтением объекта, уровень безопасности субъекта должен доминировать над уровнем безопасности объекта. Иначе такое условие можно сформулировать как "запрет чтения из более высоких уровней". Простое условие не исключает рассмотрение безопасности при сочетании безопасных доступов.

Для случая, когда субъект-нарушитель может прочитать информацию из "сов. секретного" объекта и записал" его в "конфиденциальный" объект, предусматривается условие - (*). Оно предотвращает потоки информации из объектов более высокого уровня в объекты низкого уровня. Это условие определяется следующим образом:

если запрос на чтение, то уровень субъекта должен доминировать над уровнем объекта;

если запрос на изменение, то уровень объекта должен доминировать над текущим уровнем субъекта;

если запрос на чтение-запись, то уровень объекта должен быть равен текущему уровню субъекта.

Простое условие безопасности и условие - * представляют модель безопасности, в которой доступ рассматривается по отношению к уровням

субъекта и объекта. В дискретной же модели безопасность обеспечивается, если каждый текущий доступ разрешен в рамках текущей матрицы доступа.

Деннинг рассмотрел потоки информации в многоуровневой модели в более общем виде. Понятия уровней конфиденциальности и категорий он соединил в одно понятие классов безопасности и ввел переменную "оператор соединения классов" вместо ранее введенной постоянной.

Модель потоков информации, описывающая конкретную систему, определяется пятью компонентами: множеством объектов, множеством процессов, множеством классов безопасности, оператором соединения классов и потоковым отношением. Оператор соединения классов определяет класс результата любой операции. Например, если мы соединим два объекта а и b классов А и В соответственно, то класс результата представляется как А+В. Потоковое отношение между двумя классами, например в направлении от А к В означает, что информация класса А может быть записана (передана) в класс В. Потоковая модель является безопасной, если потоковое отношение не может быть нарушено.

Подводя итог рассмотрению двух классов моделей: матричных и потоковых, отметим, что преимущество матричных моделей состоит в легкости представления широкого спектра правил безопасности информации. Например, правила доступа, зависящие от вида доступа (операции) и объекта доступа (файла), достаточно просто представляются в рамках матричных моделей. Основной недостаток матричных моделей состоит в отсутствии контроля за потоками информации. Основным недостатком моделей управления потоками информации является невозможность управления доступом к конкретным объектам на индивидуальной основе субъектов. Следовательно, оба подхода включают различные компромиссы между эффективностью, гибкостью и безопасностью. Очевидно, что оптимальные решения вопросов безопасности могут вырабатываться при применении обоих видов моделей защиты.

Синтез структуры системы защиты информации

Выбор структуры СЗИ и методов защиты осуществляется в процессе создания АС на основании предварительного аналитического и технического обследования объекта автоматизации с учетом государственных нормативных и руководящих документов по зайдите информации от ПЭМИН и НСД.

При обработке или хранении в АС информации в рамках СЗИ рекомендуется реализация следующих организационных мероприятий:

выявление конфиденциальной информации и ее документальное оформление в вице перечня сведений, подлежащих защите;

определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;

установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;

ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;

получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;

обеспечение охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи АС;

организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;

разработка или модификация СЗИ, включая соответствующую организационно-распорядительную и эксплуатационную документацию:

осуществление приемки СЗИ в составе АС и ее аттестация.

Создание СЗИ рекомендуется проводить поэтапно.

1. Проведение аналитического обследования АС. Осуществляется с целью оценки возможной уязвимости обрабатываемой в ней конфиденциальной информации и выработки необходимых требований по ее защите.

2. Проектирование СЗИ. В процессе проектирования СЗИ на основании установленных требований по защите информации от НСД и ПЭМИН с учетом условий работы АС и заданных собственником (владельцем) информации ограничений на финансовые, материальные, трудовые и другие ресурсы осуществляется выбор или/и разработка конкретных методов и средств защиты. Результатом данного этапа является законченный комплекс сертифицированных средств и методов защиты информации, имеющий соответствующую необходимую проектную и эксплуатационную документацию.

3. Приемка СЗИ в эксплуатацию. На данном этапе осуществляется внедрение (установка) средств и методов СЗИ в АС, их комплексная проверка и тестирование, необходимое обучение и освоение персоналом АС СЗИ. Устраняются выявленные в процессе проверки и тестирования недостатки СЗИ. Результатом этого этапа является общая аттестация СЗИ АС.

4. Эксплуатация СЗИ АС. В процессе эксплуатации АС проводится регулярный контроль эффективности СЗИ, при необходимости осуществляется доработка СЗИ в условиях изменения состава программно-аппаратных средств, оперативной обстановки и окружения АС. Контролируются и анализируются все изменения состава АС и СЗИ перед их реализацией. Отклоняются все модификации АС, снижающие установленную эффективность защиты информации. Периодически проводится контроль СЗИ АС на соответствие нормативно-техническим требованиям и в целях проверки работоспособности средств защиты.

При проектировании систем защиты информации от несанкционированного доступа в автоматизированных системах наибольшее затруднение у разработчиков вызывает необходимый функциональный состав СЗИ, определяющий трудоемкость разработки и затраты на защиту при достаточном уровне защищенности АС.

Одним из возможных методов ориентации разработчиков на создание необходимых средств защиты являются классификация АС в зависимости от определяющих с точки зрения безопасности параметров режима их функционирования. При этом для каждого класса АС устанавливается обязательный функциональный состав средств, который определяет достаточный уровень защиты информации. К параметрам, определяющим класс АС, относятся:

наличие в АС информации различного грифа секретности;

уровень полномочии пользователей АС на доступ к секретной информации;

режим обработки данных в АС: коллективный или индивидуальным.

В нормативном документе [6] устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности, и содержит два класса - ЗБ и ЗА.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности, и содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС, и содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицами 1, 2 (см. приложение).

Организационные мероприятия в рамках СЗИ НСД в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечая государственным требованиям по обеспечению режима секретности проводимых работ.

При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются аналогичные организационные мероприятия. Отличие заключается только в последнем мероприятии: осуществлении приемки СЗИ НСД в составе АС.

При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться на классы защищенности АС не ниже (по группам) ЗА, 2А, 1А, 1Б, 1С и использовать сертифицированные СВТ в соответствии с нормативным документом [6]: не ниже 4-го класса для класса защищенности АС 1В; не ниже 3-го класса для класса защищенности АС 1 Б; не ниже 2-го класса для класса защищенности АС 1 А. Практическое создание СЗИ, удовлетворяющих перечисленным требованиям, осуществляется в рамках аппаратных средств и управляющих программ ОС ЭВМ (ПЭВМ), а также в рамках программных средств, расширяющих возможности ОС (СУБД, сетевых пакетов и пакетов телеобработки) в случае их применения.

3. Обобщенная структура системы защиты информации

Защита информации от НСД является составной частью обшей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники от ПЭМИН.

Комплекс программно-аппаратных средств и организационных (процедурных) решении по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), состоящей из четырех подсистем:

управления доступом;

регистрации и учета;

криптографической;

обеспечения целостности.

Подсистема управления доступом включает средства идентификации, проверки подлинности (аутентификации) и контроль доступа пользователей и их программ (процессов) к ресурсам:

системе;

терминалам;

ЭВМ (ПЭВМ),) типам сети ЭВМ (ПЭВМ);

каналам связи;

внешним устройствам ЭВМ (ПЭВМ);

программам;

томам, каталогам, файлам, записям, полям записей.

Элементы идентификации, проверки подлинности и контроля доступа к ресурсам реализуются при их наличии в АС и в случае отсутствия полномочий на доступ к ним у некоторых пользователей. Контроль доступа субъектов к защищаемым ресурсам осуществляется в соответствии с матрицей доступа.

Помимо средств контроля доступа данная подсистема при наличии нескольких уровней конфиденциальности информации должна включать средства управления потоками информации, т.е. контроля передачи информации между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление потоками информации осуществляется с помощью меток конфиденциальности. При записи информации на какой-либо носитель необходимо, чтобы уровень конфиденциальности защищаемо объектов (носителей) был не ниже уровня конфиденциальности записываемой на них информации.

Подсистема регистрации и учета включает средства регистрации и учета событий и/или ресурсов с указанием времени и инициатора:

входа/выхода пользователей в/из системы (узла сети);

выдачи печатных (графических) выходных документов;

запуска/завершения программ и процессов (заданий, задач), использующих защищаемые файлы;

доступа программ пользователей к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;

доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ, каналам и линиям связи, внешним устройствам ЭВМ, программам, томам, каталогам;

изменения полномочий субъектов доступа;

создаваемых объектов доступа;

учет носителей информации.

Регистрация проводится с помощью средств автоматического ведения журнала (системного) и выдачи из него протоколов работы пользователей по выбранным регистрируемым параметрам.

Кроме этого, данная подсистема включает средства очистки (обнуления, обезличивания) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации.

Криптографическая подсистема предусматривает шифрование конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, а также на съемные носители данных (ленты, диски, дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа, а также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется посредством подсистемы управления доступом.

Криптографическая подсистема реализуется в виде:

программно-аппаратных или программных средств, разрабатываемых (используемых) на основе "Алгоритма криптографического преобразования" (ГОСТ 28147-89), криптосхемы, реализующей данный алгоритм, или других аттестованных средств, предназначенных для шифрования/дешифрования с целью снятия грифа секретности информации, записываемой на внешних запоминающих устройствах ЭВМ (накопителях) или передаваемой по линиям связи;

других криптографических средств для шифрования/дешифрования информации, включая служебную информацию СЗИ НСД (ключи, пароли, таблицы санкционирования и т.п.).

Уровень реализации функций СЗИ от НСД должен обеспечивать ее целостность для всех режимов работы АС в соответствии с принципом целостности средств защиты.

Подсистема обеспечения целостности СЗИ НСД является обязательной для любой СЗИ и включает организационные, программно-аппаратные и другие средства и методы, обеспечивающие:

физическую охрану СВТ (устройств и носителей информации), территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;

недоступность средств управления доступом, учета и контроля со стороны пользователей с целью их модификации, блокирования или отключения;

контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения;

периодическое и/или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств;

наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД;

восстановление СЗИ НСД при отказе и сбое;

применение сертифицированных (аттестованных) средств и методов зашиты, сертификация которых проводится специальными сертификационными и испытательными центрами.

4. Методы идентификации и аутентификации

Для осуществления одного из основных принципов защиты информации - принципа персональной ответственности, помимо законодательных, этических и моральных норм необходимы соответствующие административные (процедурные) мероприятия и технические средства. Такие мероприятия должны быть направлены в первую очередь на идентификацию и аутентификацию пользователей автоматизированной системы.

Идентификация пользователей заключается в установлении и закреплении за каждым пользователем автоматизированной системы уникального идентификатора в виде номера, шифра, кода и т.п. Это связано с тем, что традиционный идентификатор вида фамилия-имя-отчество не всегда приемлем для применения в системе. Так, в США широко применяются в различных автоматизированных системах персональный идентификационный номер (PIN - Personal Identification Number), социальный безопасный номер (SSN - Social Security Number), личный номер, код безопасности и т.д. [8]. Такие идентификаторы используются при построении различных систем разграничения доступа и защиты информации. Идентификаторы пользователя являются аналогом подписи или факсимильной печати традиционных документальных систем.

Аутентификация заключается в проверке подлинности пользователей по предъявленному идентификатору, например при входе в систему. Такая проверка должна исключать фальсификацию пользователей в системе и их компрометацию. Без проверки подлинности теряется смысл в самой идентификации пользователей и применения средств разграничения доступа и защиты информации, построенных на базе личных идентификаторов. Отсутствие надежных средств проверки подлинности пользователей может существенно затруднить определение персональной ответственности за осуществленные нарушения безопасности системы.

Проверка подлинности (аутентификация) может проводится различными методами и средствами. В общем случае такие методы основываются на том, что конкретный пользователь в отличие от других знает код, пароль, имеет ключ, жетон, карту. Проверка подлинности может также осуществляться с помощью биометрических характеристик отпечатков пальцев, формы кисти руки, сетчатки глаза, голоса и т.п.

Для аутентификации пользователей применяется широкий спектр устройств, которые по принципу своей работы разделяются по видам идентификации: по магнитным картам; по отпечаткам пальцев; по геометрии кисти руки; по сетчатке глаза; по подписи; по голосу.

Наибольшее распространение получили устройства идентификации по индивидуальным магнитным картам [9]. Популярность таких устройств

объясняется универсальное-то их применения (не только в автоматизированных системах), относительно низкой стоимостью и высокой точностью. Такие устройства легко комплексируются с терминалом и ПЭВМ. Поскольку считыватели этих устройств идентифицируют не личность, а магнитную карту, то они компонуются специальной, часто цифровой клавиатурой для ввода владельцем карты своего шифра, пароля. Для защиты карт от несанкционированного считывания и подделки применяются специальные физические и криптографические методы.

Основными характеристиками устройств аутентификации являются:

частота ошибочного отрицания законного пользователя;

частота ошибочного признания постороннего;

среднее время наработки на отказ;

число обслуживаемых пользователей;

стоимость;

объем циркулирующей информации между считывающим устройством и блоком сравнения;

приемлемость со стороны пользователей.

Исследования и испытания биометрических устройств аутентификации показали, что частота ошибочного отрицания несколько превышает частоту ошибочного признания и составляет от сотых до тысячных долей процента и менее.

Так, отечественное устройство аутентификации по подписи имеет частоту ошибочного отрицания, приблизительно равную частоте ошибочного признания, и составляет около 0,005.

Исследования устройств аутентификации по голосу, проведенные фирмой Bell, показали, что распознавание речи можно осуществлять с частотой ошибочного отрицания и ошибочного признания равными 0,012. В связи с этим был сделан вывод о нецелесообразности применения таких устройств.

Основным выводом, полученным из опыта создания устройств аутентификации, является то, что получение высокой точности аутентификации возможно только при сочетании различных методов. Дополнительный ввод с клавиатуры обеспечивает приемлемую вероятность правильной аутентификации.

Программные средства аутентификации, применяемые в большинстве ОС, СУБД, мониторов телеобработки, сетевых пакетов, основаны на использовании парольной системы доступа. Однако многие из них достаточно легко вскрываются или обходятся. Например, в ОС RSX-11M в стандартной конфигурации отсутствуют средства шифрации паролей в файле счетов пользователей. В процессе загрузки этой ОС можно легко просмотреть пароли всех пользователей, включая привилегированный пароль системного пользователя. Более безопасные системы осуществляют хранение списков паролей пользователей в зашифрованном виде на основе необратимых преобразований. В то же время перехват даже зашифрованного пароля, например в сети типа DECnet, позволяет при его использовании получить несанкционированный доступ к удаленной ЭВМ. Теоретические аспекты парольных систем достаточно хорошо проработаны и позволяют оценить необходимую длину пароля, исходя из технических характеристик конкретной автоматизированной системы. Различные модификации парольных систем (выборка символов, пароли однократного использования, метод "запрос-ответ") могут значительно повысить безопасность системы.

Не меньшее значение имеет для пользователя также аутентификация системы, с которой он взаимодействует. Это особенно актуально в сети ЭВМ, когда пользователь хочет взаимодействовать только с данной ЭВМ сети и поэтому желает убедиться в ее подлинности. Использование подставной ЭВМ, ОС или программы является одним из путей несанкционированного получения паролей законных пользователей или сообщений. Одним из методов уменьшения такой угрозы является применение процедур "запрос-ответ" и их разновидностей, а также криптографических средств [10]. Такая взаимная аутентификация имеет важное значение и для взаимодействующих программ и процессов, особенно в среде сети ЭВМ, локальных вычислительных сетей. Необходимость взаимной аутентификации сетевых процессов подтверждена международным стандартом по взаимодействию открыло систем.

Одним из распространенных методов установления подлинности программных средств и файлов является также использование контрольного суммирования. Алгоритмы подсчета контрольных сумм варьируются по своей надежности в больших пределах. Наиболее безопасными являются сертифицированные криптографические алгоритмы подсчета контрольных сумм, результаты которых практически не поддаются подделке. Их примером является режим имитовставки стандартного алгоритма криптографического преобразования ГОСТ 28147-89. Однако такие алгоритмы вносят немалые издержки.

Большое распространение для аутентификации аппаратурных средств вычислительной техники (ЭВМ, терминалов, внешних устройств) получили специальные аппаратные блоки-приставки. Такие блоки, будучи подключенными к аппаратуре, могут генерировать особые уникальные последовательности сигналов, подтверждая подлинность соответствующих устройств [17, 19]. Такой метод используется также для защиты программных комплексов от несанкционированного копирования. В этом случае защищаемые программные средства периодически опрашивают такие блоки и при их отсутствии блокируют работу всей системы [11].

Современным средством аутентификации является цифровая подпись (ЦП). В основе ЦП лежат криптографические преобразования информации. Получаемые цифровые сигнатуры обладают высоким уровнем защиты от подделки. Криптографическое преобразование может быть применено как к документу в целом, так и только к удостоверяющим реквизитам. Соответственно ЦП подтверждает либо подлинность документа в целом (одновременно контролируется целостность документа), либо удостоверяющих реквизитов. Более подробно о ЦП см. в [34].

Необходимо отметить, что все методы аутентификации в случае неподтверждения подлинности, должны осуществлять временную задержку перед обслуживанием следующего запроса на аутентификацию. Такое условие необходимо для снижения угрозы подбора паролей в автоматическом режиме. Неуспешные попытки подтверждения подлинности целесообразно регистрировать в системном журнале и/или сигнализировать на терминал или АРМ администратора системы, что связано с надзором (контролем) за безопасностью системы.

5. Методы контроля доступа

В практике работы на ЭВМ контроль доступа заключается в реализации того или иного вида матрицы доступа. Схемы разграничения доступа удобно разделить на две группы: - "списковые" схемы, в которых защитные механизмы встраиваются в каждый объект и осуществляют контроль в соответствии со списками доступа данного объекта; - "мандатные" схемы, в которых защитный механизм объекта реагирует на некоторый мандат, и субъект должен иметь набор мандатов для доступа ко всем Необходимым ему объектам, т.е. схема основана на домене субъекта.

При разделении функций адресации и защиты удобно разбить память на области или сегменты, каждый из которых снабжен своим идентификатором и имеет непересекающийся с другими сегментами диапазон адресов. Реализация механизма защиты памяти на той или иной ЭВМ существенно влияет на построение схемы контроля доступа.

Например, в ЭВМ фирмы Burroughs, системе Multics фирмы Honey well, "Минск-32", ПЭВМ с процессорами, обеспечивающими защиту памяти, адресные дескрипторы в равной степени принадлежат всем пользователям и не содержат атрибутов доступа - они состоят только из базы и границ памяти. Данный механизм наиболее пригоден для реализации мандатной схемы контроля доступа. Мандатом здесь может являться находящееся в памяти значение дескриптора защиты.

В то же время на ЭВМ типа IВМ Р4 в процессоре содержатся регистры для дескрипторов защиты, в состав которых включены атрибуты доступа. Доступ к этим регистрам возможен только привилегированными командами процессора. Данный механизм наиболее подходит для реализации схемы контроля доступа со списками доступа. Причем списки могут быть как "индивидуальными", так и "групповыми" для сокращения объемов матриц доступа, если это возможно.

Обычно необходимость контроля доступа возникает при разделении пользования каким-либо ресурсом многими субъектами. При этом разнообразие предлагаемых схем и механизмов контроля доступа к информации в программной реализации весьма велико. Рассмотрим только некоторые из них.

1. Системы без схем защиты. В некоторых системах полностью отсутствуют механизмы, препятствующие определенному пользователю получить доступ к информации, хранимой в системе. Хотя на современном этапе развития СЗИ эти системы уже не представляют интереса, о них следует упомянуть потому, что до сих пор некоторые из них широко использовались и используются. Это, например, DOS для IBM 360/370, MS и PC DOS для ПЭВМ.

2. Системы, построенные по принципу "виртуальной машины". В таких системах обеспечивается взаимная изоляция пользователей, за исключением только некоторого количества общей информации. Система из числа доступных ей ресурсов выделяет некоторые в полное распоряжение пользователя, который может считать, что имеет в своем распоряжении собственную ЭВМ. Здесь разграничение доступа реализовано путем полного изолирования пользователей друг от друга. Данная схема в чистом виде делает затруднительным взаимодействие пользователей, поэтому иногда здесь приходится вводить помимо изолирования элементы разграничения доступа, например парольный доступ к некоторым ресурсам совместного использования. К числу подобных систем относятся, VM/370 для IBM, СВМ для ЕС ЭВМ и некоторые другие.

3. Системы с единой схемой контроля доступа. Для обеспечения прямого контроля доступа к отдельным ресурсам в системе необходимы более сложные схемы, чем до сих пор рассматривались. В таких системах с каждым информационным элементом может быть связан "список авторизованных пользователей", причем владелец элемента может различным пользователям предписать различные режимы его использования - для чтения, для записи или для выполнения. Среди функционально полных систем такого рода можно отметить систему ADEPT-50.

4. Системы с программируемыми схемами разграничения доступа. Часто необходимость разграничения доступа может определяться смысловым содержанием информационного элемента или контекстом, в котором этот элемент используется. Сложность в прямой реализации подобных механизмов разграничения приводит к механизму разграничения, основанному на понятии "доверенной" программной среды. При этом выделяются защищенные объекты и защищенные подсистемы. Защищенная подсистема представляет собой совокупность программ и данных, обладающих тем свойством, что правом доступа к данным (т.е. защищенным объектам) наделены только входящие в подсистему программы. В итоге программы подсистемы полностью контролируют доступ к данным и могут реализовать любой необходимый алгоритм их обработки и разграничения доступа. Пользователь же имеет возможность получения только опосредованного доступа к данным, только через программы защищенной подсистемы, доступ к которым может быть предоставлен уже традиционными способами. Здесь из общеизвестных можно привести системы Multics и UNIX.

5. Системы динамического распределения прав. Большинство из представленных выше схем разграничения основаны на статической модели разграничения доступа, когда каждый из имеющихся объектов уже внесен в

матрицу разграничения доступа перед началом обработки. Проблемы возникают в момент порождения новых объектов: где, на каких носителях их можно размещать, какие права давать пользователям на доступ к этим объектам и т.д. В вычислительных системах реализация подобных схем носит фрагментарный характер вследствие своей сложности. Например, в системе ADEPT-50 прослеживается уровень секретности всех документов, помещаемых в файл, и при выдаче содержимого из файла автоматически присваивается максимальный уровень секретности из числа использованных.

Дата добавления: 2018-10-25; просмотров: 493; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая45678910111213Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.078)