7.1 Понятие разрушающего программного воздействия

7.2 Модели взаимодействия прикладной программы и РПВ

7.3 Защита от РПВ. Изолированная программная среда

8. Защита информации в компьютерных сетях

8.1 Основные угрозы и причины уязвимости сети INTERNET

8.2 Классификация типовых удаленных атак на интрасети

В 1992 году Федеральной службой по техническому экспорту и контролю (ФСТЭК) были разработаны и опубликованы пять руководящих документов, посвященных вопросам защиты информации в системах ее обработки.

1. Защита от несанкционированного доступа к информации. Термины и определения.

2. Концепция защиты средств вычислительной техники и автоматизированных систем (АС) от несанкционированных действий (НСД) к информации.

3. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

4. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации.

5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.

1.3 Санкционированный и несанкционированный доступ

1.5 Основные принципы обеспечения информационной безопасности

Основными принципами обеспечения информационной безопасности в АСОИ являются [4-5]:

1. Системность.

2. Комплексность.

3. Непрерывность защиты.

4. Разумная достаточность.

5. Гибкость управления и применения.

6. Открытость алгоритмов и механизмов защиты.

7. Простота применения защитных мер и средств.

Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.

Принцип комплексности предполагает согласование работы разнородных систем защиты информации (СЗИ) при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.

Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.

Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности автоматизированной системы (АС). При определенных условиях функционирования АС СЗИ, обеспечивающая ее защищенность может обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.

Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.

Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.

1.6 Ценность информации

Информационные системы требуют защиты именно потому, что обрабатываемая информация бывает ценной не зависимо от происхождения. В денежном выражении затраты на защиту не должны превышать возможные потери.

Под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженное в стоимостном, временном либо ином эквиваленте.

Среди подходов к построению моделей защиты ИC, основанных на понятии ценности информации, наиболее известными являются: оценка, анализ и управление рисками ИБ, порядковые шкалы ценностей, модели решетки ценностей [4,6].

Далеко не всегда возможно и нужно давать денежную оценку ценности информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. В этом случае предпочтительнее использовать подход, связанный со сравнением ценности отдельных информационных элементов между собой и введением порядковой шкалы ценностей.

Пример. При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности. Сами грифы секретности образуют порядковую шкалу, например:

· НЕСЕКРЕТНО

· КОНФИДЕНЦИАЛЬНО

· СЕКРЕТНО

· СОВЕРШЕННО СЕКРЕТНО

· ОСОБОЙ ВАЖНОСТИ.

Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие.

1.7 Меры обеспечения безопасности компьютерных систем

аутентификация -- процесс распознавания пользователя;

авторизация - проверка ращрешения пользователю на получение информации определенного рода;

аудит -- отслеживание действий аутентифицированных пользователей, при которых затрагивается безопасность.

Основная цель создания ПБ информационной системы - определение условий, которым должно подчиняться поведение подсистемы безопасности.

Компьютерная система должна содержать аппаратные и/или программные механизмы, которые могут определять обеспечивается ли достаточная уверенность в том, что система защиты выполняет необходимые требования. Существуют следующие гарантии безопасности.

Операционная гарантия -- уверенность в том, что реализация спроектированной системы обеспечивает осуществление принятой стратегии защиты системы. Сюда относятся системная архитектура, целостность системы, анализ скрытых каналов, безопасное управление возможностями и безопасное восстановление.

Гарантия жизненного цикла -- уверенность в том, что система разработана и поддерживается в соответствии с формализованными и жестко контролируемыми критериями функционирования. Сюда относятся тестирование безопасности, задание на проектирование и его проверка, управление настройками и соответствие параметров системы заявленным. Гарантии непрерывной защиты -- надёжные механизмы, обеспечивающие непрерывную защиту основных средств от преступных и/или несанкционированных действий.

Критерии определения безопасности КС делятся на 4 раздела: D, C, B и A, из которых наивысшей безопасностью обладает раздел A. Каждый раздел представляет собой значительные отличия в доверии индивидуальным пользователям или организациям. Разделы C, B и A иерархически разбиты на серии подразделов, называющиеся классами: C1, C2, B1, B2, B3 и A1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе. Не останавливаясь подробно на организации доступа внутри классов, отметим основные моменты:

Раздел D характеризуется организацией минимальной защиты.

Раздел C характеризуется организацией дискреционной защиты.

Раздел В характеризуется организацией мандатной защиты.

Раздел A характеризуется проверенной защитой.

2.2 Дискреционные политики безопасности

Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.

Исходная политика избирательного разграничения доступа к информации (дискреционная модель) формируется путем задания администратором набора троек следующего вида:

,

где - субъект доступа, - объект доступа, - множество прав доступа, которыми наделен субъект к объекту (например, чтение, запись, исполнение и т.д.) [7].

При формировании дискреционной политики безопасности обычно формируют дискреционную матрицу доступов , строки которой соответствуют субъектам системы, столбцы - объектам, а в ячейках матрицы хранят множество типов доступов. Пример данной матрицы представлен в таблице 2.1.

Табл. 2.1. Дискреционная матрица доступа

Для матрицы доступа, представленной в таблице 2.1, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать эти права другому пользователю он не может, но может передавать права на чтение файла 1, имеет полные права при работе в файлом 3 и не имеет доступа к диску CD-RW.

2.3 Мандатные политики безопасности

Мандатное управление доступом -- разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Мандатная модель управления доступом, помимо дискреционной, является основой реализации разграничительной политики доступа к ресурсам при защите секретной информации. При этом данная модель доступа практически не используется "в чистом виде", обычно на практике она дополняется элементами дискреционной модели доступа.

Исходная мандатная политика безопасности строится на базе следующей совокупности аксиом, определяющих правило разграничения доступа субъектов к обрабатываемой информации:

1. Вводится множество атрибутов (уровней) безопасности A, элементы которого упорядочены с помощью установленного отношения доминирования. Например, для России характерно использование следующего множества уровней безопасности A={открыто (О), конфиденциально (К), секретно (С), совершенно секретно (СС), особая важность (ОВ)}.

2. Каждому объекту КС ставится в соответствие атрибут безопасности , который соответствует ценности объекта и называется его уровнем (грифом) конфиденциальности.

3. Каждому субъекту КС ставится в соответствие атрибут безопасности , который называется уровнем допуска субъекта и равен максимальному из уровней конфиденциальности объектов, к которому субъект будет иметь допуск.

4. Если субъект имеет уровень допуска , а объект имеет уровень конфиденциальности , то будет иметь допуск к тогда и только тогда, когда .

Основным недостатком исходной мандатной политики безопасности является то, что в ней не различаются типы доступа вида «чтение» и «запись». Это создает потенциальную возможность утечки информации сверху вниз, например, путем запуска в КС программной закладки с максимальным уровнем допуска, способной записывать информацию из объектов с верхних уровней конфиденциальности в объекты с более низкими уровнями, откуда она может быть прочитана субъектами с низким уровнем допуска.

Пример 2.1

Пусть для компьютерной системы задано 4 субъекта доступа S={Administrator, User1, User2, Guest} и 5 объектов O={File1.dat, File2.txt, File3.txt, CD-ROM, FDD}. Множество атрибутов безопасности определено как A={NONCONFIDENTIAL, CONFIDENTIAL, SECRET, TOP SECRET}.

Пусть уровни допуска cубъектов определены следующим образом:

Пусть уровни конфиденциальности объектов определены следующим образом:

Тогда, согласно правилам исходной мандатной модели:

· субъект Administrator будет иметь допуск ко всем объектам;

· субъект User1 будет иметь допуск к объектам FDD, CD-ROM, File1.dat, File2.txt;

· субъект User2 будет иметь допуск к объектам FDD, CD-ROM;

· субъект Guest будет иметь допуск только к объекту FDD (flash).

Поставим вопрос, сможет ли субъект Guest в качестве злоумышленника получить доступ к объекту File1.dat ? Путь для этого может быть такой. Завербовав пользователя User1, он сможет получить доступ к информации из объекта File1.dat следующим путем. User1 записывает из объекта File1.dat информацию в объект FDD, что будет ему разрешено, а субъект Guest после этого может этой информацией пользоваться в обход мандатной политики безопасности за счет приема социальной инженерии.

Как можно устранить подобные действия злоумышленника? Для этого в мандатную политику вносят реализацию принципа политики безопасности Белла-Ла Падулы (БЛП), который устраняет данный недостаток исходной мандатной политики безопасности и осуществляет контроль доступа субъектов к объектам компьютерной системы в зависимости от уровня допуска субъекта и уровня конфиденциальности объекта на основании двух следующих правил:

1. Правило NRU (нет чтения вверх). Согласно данному правилу субъект с уровнем допуска может читать информацию из объекта с уровнем безопасности тогда и только тогда, когда . Формально данное правило можно записать как (рис. 2.1)

2. Правило NWD (нет записи вниз). Согласно данному правилу субъект с уровнем допуска может записывать информацию в объект с уровнем безопасности тогда и только тогда, когда . Формально данное правило можно записать как

Введение свойства NWD разрешает проблему программных закладок, так как угроза записи информации на более низкий уровень, типичная для них, запрещена.

Пример 2.2. Рассмотрим пример компьютерной системы, введенной в примере 2.1. При ее реализации в рамках политики БЛП возможно выполнение следующих операций:

1. Cубъект Administrator будет иметь допуск по чтению из всех объектов, и допуск по записи в объект File3.txt;

2. Cубъект User1 будет иметь допуск по чтению из объектов FDD, CD-

ROM, File1.dat, File2.dat и допуск по записи в объекты File1.dat, File2.txt, File3.txt;

3. Cубъект User2 будет иметь допуск по чтению из объектов CD-ROM,

FDD и допуск по записи в объекты File1.dat, File2.txt, File3.txt, CD-ROM;

4. Субъект Guest будет иметь допуск по чтению из объекта FDD и

допуск по записи во все объекты.

2.4 Контроль доступа, базирующийся на ролях

Ролевую политику безопасности (контроль доступа, базирующийся на ролях - RBAC) нельзя отнести ни к дискреционным, ни к мандатным политикам, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов [1].

В ролевой модели классическое понятие «субъект» замещается понятиями пользователь и роль. Под пользователем понимается человек, работающий с системой и выполняющий определенные служебные обязанности. Под ролью понимается активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимых для осуществления определенной деятельности.

Ролевая политика безопасности очень близка к реальной жизни, так как работающие в КС пользователи зачастую действуют не от своего личного имени, а исполняют определенные служебные обязанности, то есть выполняют некоторые роли, которые никак не связаны с их личностью. Использование ролевой политики безопасности позволяет учесть разделение обязанностей и полномочий между участниками прикладного информационного процесса, так как с точки зрения данной политики имеет значение не личность пользователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.

При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам, и, во-вторых, каждому пользователю назначается список доступных ему ролей. Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей работы набором полномочий.

Формализация ролевой модели осуществляется в рамках следующих множеств:

U - множество пользователей КС.

R - множество ролей.

P - множество полномочий на доступ к объектам, представленное,

например, в виде матрицы прав доступа.

S - множество сеансов работы пользователей с КС.

Для этих множеств определяются следующие бинарные отношения (рис. 2.2):

- отображение множества полномочий на множество ролей путем установления для каждой роли набора присвоенных ей полномочий.

- отображение множества пользователей на множество ролей путем определения для каждого пользователя набора доступных ему ролей.

Основными функциями в ролевой политике безопасности являются следующие:

- для каждого сеанса S данная функция определяет пользователя, который осуществляет этот сеанс работы с компьютерной системой.

- для каждого сеанса S данная функция определяет набор ролей из множества R, которые могут быть одновременно доступны пользователю в этом сеансе.

- для каждого сеанса S эта функция задает набор доступных в нем полномочий, который определяется как совокупность полномочий всех ролей, задействованных в этом сеансе.

Критерий безопасности ролевой модели: компьютерная система считается безопасной, если любой пользователь системы, работающий в сеансе S, может осуществлять действия, требующие полномочия p только в том случае, если , т.е. разрешены данным сеансом.

В стандарте NIST 359 «Role Based Access Control» [1] представлены полные требования к функциональным возможностям ролевых политик безопасности.

Рис. 2.2. Контроль доступа, базирующийся на ролях

2.5 Политика безопасности сети

Полная защита целостности сети зависит от реализации всех выше перечисленных компонентов защиты. Использование многоуровневой защиты - это наиболее эффективный метод предотвращения НСД. Самым важным для функционирования защищенной сети является ее политика безопасности, которая определяет, что защищать и на каком уровне. Все остальные уровни защиты логически следуют после принятия для сети политики ее безопасности.

Проведение выбранной при создании сети организации ПБ предусматривает регулярный пересмотр этой политики и реализующих ее мер защиты, что подразумевает:

· обновление политики и мер защиты безопасности, если это необходимо;

· проверку совместимости политики и мер защиты с существующей сетевой средой;

· разработку новых и удаление старых правил политики и мер защиты по мере необходимости.

ПБ можно разделить на две категории: административные политики и технические политики. В зависимости от этого ПБ базируется на правилах двух видов.

Первая группа связана с заданием правил разграничения доступа ко всем ресурсам системы, а вторая группа основана на правилах анализа сетевого трафика как внутри локальной сети, так и при его выходе из системы или входе в нее. В основе этих правил лежит принцип доверия. Определяя ПБ, нужно выяснить, насколько можно доверять людям и ресурсам.

Для первой группы правил главный вопрос заключается в том, кому и в какой степени в локальной сети можно доверять, имея в виду больше человеческий фактор, но, не забывая при этом и о запущенных в локальной сети процессах и приложениях.

Начальный этап задания этих правил состоит в определении тех, кто получает доступ. Предварительные установки систем, обеспечивающих защиту информации в локальной сети, могут соответствовать принципу наименьшего доступа для всех.

Далее для каждой группы пользователей и входящих в нее представителей определяются степени доверия. Компромиссное решение в данном случае и будет самым подходящим.

В данном контексте вопрос для второй группы правил можно поставить так: «Каким пакетам в локальной сети доверять, а каким нет, ибо они могут циркулировать в локальной сети по инициативе злоумышленника». Именно эти правила и являются главенствующими при установке и настройке основных систем анализа трафика локальной сети и пакетных фильтров.

Для локальной сетей можно выделить три основные модели доверия:

· либеральная - доверять всем в течение всего времени работы;

· запретительная - не доверять никому и никогда;

· разумная или компромиссная - доверять иногда некоторым людям.

Обычно ПБ включает в себя следующие части:

1. Предмет ПБ. Перед описанием самой ПБ в данной области, нужно сначала определить саму область с помощью ограничений и условий в понятных всем терминах. Часто полезно ясно указать цель или причины разработки политики.

2. Описание позиции организации. Как только описан предмет ПБ, даны определения основных понятий и рассмотрены условия ее применения, в явной форме описывается позиция организации по данному вопросу.

3. Применимость. Это означает, что надо уточнить где, как, когда, кем и к чему будет применяться данная ПБ.

4. Роли и обязанности. Нужно указать ответственных лиц и их обязанности в отношении разработки и внедрения различных аспектов ПБ, а также в случае нарушения ПБ.

5. Меры защиты. Перечисляются конкретные меры, реализующие ПБ в организации, дается обоснование выбора именно такого перечня мер защиты и указывается, какие угрозы безопасности локальной сети наиболее эффективно предотвращаются такими мерами защиты.

6. Соблюдение политики. Для ПБ может оказаться уместным описание с некоторой степенью детальности нарушений, которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания, применяемые к нарушителям ПБ.

7. Ответственные или консультанты, по вопросам безопасности и справочная информация.

3. Идентификация и аутентификация субъектов

3.1 Классификация подсистем идентификации и аутентификации субъектов

Реализация никакой из политик безопасности не будет возможна в случае, если КС не сможет распознать (идентифицировать) субъекта, пытающегося получить доступ к объекту компьютерной системы. Поэтому защищенная КС обязательно должна включать в себя подсистему идентификации, позволяющую идентифицировать инициирующего доступ субъекта.

Под идентификацией понимают присвоение пользователю некоторого уникального идентификатора, который он должен предъявить системе защиты информации (СЗИ) при осуществлении доступа к объекту, то есть назвать себя. Используя предъявленный пользователем идентификатор, СЗИ проверяет наличие данного пользователя в списке зарегистрированных, и авторизует его (то есть наделяет полномочиями) для выполнения определенных задач.

В качестве идентификаторов могут использоваться, например, имя пользователя (логин), аппаратные устройства типа Touch Memory, бесконтактные радиочастотные карты proximity, отдельные виды пластиковых карт и др.