Арутюнов В.В. Основы информационной безопасности

Подождите немного. Документ загружается.

161

дотвращает:

– несанкционированное использование средств СВТ;

– доступ к монтажу аппаратуры;

– хищение носителей информации.

К организационноадминистративным защитным мероприятиям от-

носятся следующие:

– организация пропускного режима прохода на территорию объек тов

ЛВС;

– организация контроля вноса/выноса средств СВТ;

– организация контроля за проведением технического обслужива ния,

ремонта и т. п. носителей информации и средств ЭВТ;

– организация контроля за уничтожением отходов.

К техническим средствам защиты относятся следующие:

– механические преграды для предотвращения несанкциониро ванного

проникновения в помещения объектов ЛВС;

– система охранной сигнализации помещений объекта сдатчика ми раз-

личного типа и автономным питанием;

– механические либо электронные ключи для разблокировки кла-

виатуры;

– специальные программы блокировки диска или определенного ката-

лога без выключения компьютера на случай временного оставле ния рабо-

чего места;

– система сигнализации о вскрытии средств СВТ и включении/ выклю-

чении их питания;

– сейфы, шкафы для хранения бумажных и съемных магнитных носите-

лей информации, а также некоторых средств СВТ;

– специальные программы для защиты информационных ресур сов от

копирования;

– приспособления для крепления средств СВТ к столу или капи тальным

конструкциям объекта, металлические чехлы для предотв ращения кражи

внутренних узлов средств СВТ;

– специальные программы, обеспечивающие уничтожение фраг ментов

защищаемой информации в запоминающих устройствах средств СВТ (ОЗУ,

регистрах процессора, на жестком диске, в ЗУ принтера) по окончании об-

работки информации;

– устройства для уничтожения производственных отходов.

Разграничение доступа к информационным ресурсам ЛВС осу-

ществляется программно-аппаратными средствами разграничения до ступа,

которые реализуют правила разграничения доступа путем пре доставления

или блокировки доступа на основе таблицы прав и полномочий пользова-

телей (и их программных продуктов).

Большая роль в обнаружении ЗЛ отводится детальной регистра ции всех

фактов доступа к защищаемым информационным ресурсам с последующим

162

анализом материалов регистрации.

Как детально осуществлять регистрацию, в какой форме, какова мето-

дика анализа материалов регистрации, как реагировать на ре зультаты ана-

лиза и т. п. — ответы на все эти вопросы могут быть найдены только по

мере создания СЗИ. Определенное значение приобретают организационно-

технические и технические средства защиты, которые должны обеспечить

ЗИ в условиях неопределенно сти ряда событий в ЛВС.

Практика создания больших систем показывает, что построение СЗИ

должно происходить поэтапно. Первостепенное значение приоб ретают си-

стемные вопросы ЗИ, которые могут быть в полном объеме решены только

после опробования всех вариантов (режимов) функ ционирования ЛВС.

Пример системы защиты локальной вычислительной сети

Для иллюстрации приведем краткое описание системы защиты ЛВС на

основе ОС Novell NetWare, известной под названием «Secret NET»,

Назначение системы защиты. Система защиты «Secret NET» (далее по

тексту Система защиты) предназначена для обеспечения защиты хранимой

и обрабатываемой в локальной вычислительной сети (ЛВС) информации от

несанкционированного доступа (ознаком ления, искажения, разрушения) и

противодействия попыткам нару шения нормального функционирования

ЛВС и прикладных систем на ее основе.

В качестве защищаемого объекта выступает ЛВС персональных ЭВМ

типа IBM PC/AT и старше, работающих под управлением сете вой опера-

ционной системы Novell NetWare 3.1х (файловые серверы), объединенных

при помощи сетевого оборудования Ethernet. Arcnet или Token-Ring. Макси-

мальное количество защищенных станций — 256, защищенных файловых

серверов — 8, идентифицируемых пользо вателей — 255.

Системой защиты обеспечивается:

1) защита от лиц, недопущенных к работе с системой обработки инфор-

мации;

2) регламентация (разграничение) доступа законных пользовате лей и

программ к информационным, программным и аппаратным ре сурсам си-

стемы в строгом соответствии с принятой в организации политикой безо-

пасности;

3) защита ЭВМ сети от внедрения вредоносных программ (закла док), а

также инструментальных и технологических средств проник новения;

4) целостность критических ресурсов Системы защиты и среды испол-

нения прикладных программ;

5) регистрация, сбор, хранение и выдача сведений обо всех собы тиях,

происходящих в сети и имеющих отношение к ее безопасности;

6) централизованное управление средствами Системы защиты.

Для решения перечисленных задач Система защиты включает следую-

щие подсистемы (ПС):

163

1) идентификации и аутентификации пользователей;

2) разграничения доступа к ресурсам;

3) контроля целостности;

4) регистрации;

5) управления средствами защиты (администрирования).

Функциональное назначение названных подсистем видно из их назва-

ния.

Общее содержание функций подсистем заключается в следующем.

ПС идентификации и аутентификации. Подсистема выполня ет функ-

цию идентификации/аутентификации (проверки подлинности) пользова-

теля при каждом его входе в Систему защиты, а также после каждой прио-

становки его работы. Для идентификации в систе ме каждому пользователю

присваивается уникальное имя. Обеспе чивается работа с именами длиной

до 12 символов (символов латин ского алфавита и специальных символов).

Вводимое имя отображается на экране рабочей станции.

Проверка подлинности пользователя осуществляется после его иденти-

фикации для подтверждения того, что пользователь действи тельно явля-

ется тем, кем представился. Она осуществляется путем проверки правиль-

ности введенного пароля. Поддерживается работа с паролями длиной до 16

символов. Вводимый пароль не отобража ется на экране рабочей станции.

При неправильно введенном пароле на экран выдается сообще ние об

ошибке и подается звуковой сигнал. При трехкратном невер ном вводе паро-

ля блокируется клавиатура, выдается сообщение о попытке НСД на сервер

управления доступом и осуществляется оперативное оповещение админи-

стратора безопасности, регистриру ется попытка НСД в системном журнале

и выдается звуковой сигнал.

Пароли администратора и всех пользователей системы хранятся в за-

шифрованном виде и могут быть изменены как администратором безопас-

ности, так и конкретным пользователем (изменение только своего пароля)

при помощи специальных программных средств.

Для повышения защищенности идентификация/аутентификация поль-

зователя может проводиться до загрузки операционной системы. Это обе-

спечивается специальным техническим устройством (микро схемой ПЗУ

или платой Secret NET Card).

ПС разграничения доступа. ПС реализует концепцию диспетче ра до-

ступа, при которой ПС является посредником при всех обраще ниях субъек-

тов к объектам доступа (попытки обращения к объекту в обход ПС приво-

дят к отказу в доступе); может работать в одном из двух режимов функцио-

нирования: основном и технологическом.

Технологический режим предназначен для точного определения объ-

ектов, к которым должен иметь доступ пользователь, и прав до ступа к ним.

При работе в этом режиме Система защиты только регистрирует все попыт-

ки доступа к защищаемым ресурсам в сис темном журнале и выдает преду-

164

преждающие сообщения на экран.

В основном режиме Система защиты не только регистрирует по пытки

доступа к защищаемым ресурсам, но и блокирует их.

ПС обеспечивает контроль доступа субъектов к следующим объектам:

1) физическим и логическим устройствам (дискам, принтерам);

2) каталогам дисков;

3) файлам;

4) физическим и логическим секторам дисков.

В подсистеме реализована сквозная иерархическая схема дей ствия прав

доступа к локальным объектам рабочей станции, при которой объект ниж-

него уровня наследует права доступа объектов доступа верхних уровней

(диск-каталог-файл).

Любой объект на рабочей станции может обладать меткой безо пасности.

Метка безопасности указывает, какие операции может про извести субъект

над данным объектом, кто является его владельцем, а также признак, раз-

решающий программе (если данный объект — программа) работу с физи-

ческими секторами дисков. Метка безопас ности заполняется при создании

объекта и может корректироваться как пользователем-владельцем объек-

та, так и администратором. Права доступа пользователя к объектам систе-

мы могут принимать следую щие значения:

– запрет доступа — пользователь не имеет возможности выпол нять с

объектом какие-либо действия;

– наличие доступа — в этом случае уровень доступа может быть одним

из следующих: доступ на чтение, доступ на запись, доступ на исполнение

(субъект может только запустить объект на исполнение).

Управление доступом. Управление доступом к локальным логи ческим

или физическим дискам осуществляется при помощи инфор мации о досту-

пе, помещаемой в паспорт пользователя при его со здании администрато-

ром. Управление доступом к удаленным дискам, каталогам и файлам осу-

ществляется администратором системы при помощи утилит системы раз-

граничения доступа сетевой ОС Novell NetWare 3. Ix.

Пользователю предоставлена только возможность назначения прав до-

ступа других пользователей к принадлежащим ему (созданным им) объек-

там.

Для реализации избирательного управления доступом подсисте ма под-

держивает замкнутую среду доверенного программного обес печения (при

помощи индивидуальных для каждого пользователя списков программ,

разрешенных для запуска). Создание и ведение списков программ возложе-

но на администратора. Для этого в его распоряжении имеются специальные

программные средства.

Для совместного использования программ и данных Система за щиты

предусматривает возможность объединения пользователей в группы. Пра-

ва доступа группы наследуются всеми пользователями этой группы.

165

ПС контроля целостности. В системе контролируется целост ность

следующих объектов: операционных систем локальных рабочих станций,

программ Системы защиты, файлов паспортов пользователей и системных

областей локальных дисков рабочих станций, а также файлов пользовате-

лей (по их требованию). Контроль осуществляется методом контрольного

суммирования с использованием специального алгоритма и производится

периодически администратором. Для этого ему предоставлены соответ-

ствующие программные средства.

В случае обнаружения нарушения целостности контролируемых объек-

тов производится регистрация этого события в системном жур нале и опе-

ративное оповещение администратора. В случае наруше ния целостности

системных областей диска, кроме того, производит ся их восстановление с

использованием резервных копий.

ПС регистрации событий безопасности. ПС регистрации обес-

печивает:

1) ведение и анализ журналов регистрации событий безопасности (си-

стемных журналов), причем журнал регистрации ведется для каж дой рабо-

чей станции сети;

2) оперативное ознакомление администратора с системным жур налом

любой станции и с журналом событий об НСД;

3) получение твердой копии системного журнала;

4) преобразование содержимого системных журналов в формат DBF для

их дальнейшего анализа;

5) объединение системных журналов и их архивирование;

6) оперативное оповещение администратора о нарушениях безо-

пасности.

ПС управления средствами защиты. Подсистема позволяет админи-

страции безопасности осуществлять:

1) централизованное (с АРМ администратора) создание и удале ние

пользователей, изменение их полномочий и паролей;

2) установку атрибутов доступа пользователей к ресурсам;

3) централизованное создание, удаление и изменение состава групп

пользователей, а также их прав доступа;

4) централизованное управление группами компьютеров;

5) централизованное управление оперативным оповещением о НСД;

6) централизованное управление регистрацией событий и просмотр си-

стемных журналов.

Требования к условиям эксплуатации. Предполагается, что для эффек-

тивного применения Системы защиты и поддержания не обходимого уров-

ня защищенности ЛВС специальной службой (ад министрацией безопасно-

сти системы) осуществляется непрерывное управление и организационно-

административная поддержка ее функ ционирования по реализации приня-

той в организации политики безо пасности.

166

Пример обеспечения ИБ в крупном западном банке

Данный пример обеспечения ИБ в банке с разветвленной сетью филиа-

лов основан на следующих организационных и программно- технических

мероприятиях:

– имеется два замаскированных главных ВЦ в экранирован ных помеще-

ниях без окон (один — резервный и расположен в другом городе) с обеспе-

чением ежедневной синхронизации их данных по скоростной выделенной

линии связи; приняты меры по разграниче нию доступа персонала (магнит-

ные карты), и строго запрещается и контролируется внос и вынос каких-

либо записей и магнитных носителей;

– обслуживающие вычислительный центр программисты не име ют до-

ступа к реальным данным и работу проводят на специально генерируемых

фиктивных данных; за каждым из них ведется жесткий контроль и неглас-

ное наблюдение (по условиям трудового контракта);

– все программные продукты для данного центра покупаются только в

исходных текстах и компилируются на месте после тщатель ной проверки;

– журнал учета событий в системе ведется на отдельной ЭВМ и хранит-

ся на накопителях, размещенных в физически обособленных помещениях;

– возможности уничтожения данных журнала у персонала отсут ствуют

(журнал архивируется на оптические накопители с однократ ной записью);

помимо «стандартных» сведений о попытках НСД и подозрительных собы-

тиях в системе регистрируются также денеж ные операции некоторых ти-

пов и уровней.

В заключении можно подчеркнуть, что никакие аппаратные, про-

граммные и любые другие решения не смогут гарантировать абсо лютную

надежность и безопасность данных в компьютерных сетях. В то же время

свести риск потерь к минимуму возможно лишь при комплексном подходе

к вопросам безопасности. Адекватные меры защиты значительно затруд-

няют доступ к системе и снижают эффек тивность усилий злоумышленника

(отношение средних затрат на взлом защиты системы и ожидаемых резуль-

татов) так, что проникновение в систему становится нецелесообразным.

Ключевым элементом в си стеме безопасности является администратор си-

стемы. Какие бы сред ства организация ни приобретала, качество защиты

будет зависеть от способностей и усилий этого человека.

В качестве рекомендаций по обеспечению защиты данных в сетях мож-

но привести следующие мероприятия:

– разработка и внедрение твердой политики безопасности в сети;

– обеспечение сети надежными защищенными хост-компьютерами;

– показатель защищенности должен быть одним из критериев выбора

компьютерных систем организации;

– обеспечение контроля за соединениями;

– определение величины риска нарушения защиты; наблюдение за ме-

тодами хакеров.

167

6.4. Основные стадии работ

по созданию системы защиты информации

Анализ рассмотренных уровней обеспечения ИБ свидетельству ет, что

для разработки системы защиты информации в полном объе ме необходи-

мо выполнение следующих видов работ:

– на предпроектной стадии определить особенности хранимой ин-

формации, выявить виды угроз и утечки информации и оформить ТЗ на

создание системы;

– на стадии проектирования осуществить выбор концепции и принци-

пов построения системы защиты, разработать её функциональ ную структу-

ру;

– выбрать методы защиты, реализующие выбранные функции;

– разработать программное, информационное, технологическое и орга-

низационное обеспечение системы защиты;

– подготовить пакет технологической документации;

– провести отладку разработанной системы;

– осуществить внедрение системы;

– проводить комплекс работ по эксплуатации системы защиты.

Существенное значение при проектировании системы защиты ин-

формации придается предпроектному обследованию объекта. На этой

стадии выполняются следующие операции:

– устанавливается наличие секретной или конфиденциальной ин-

формации в разрабатываемой ЭИС, оцениваются уровень конфиден-

циальности и объемы этой информации

– определяются режимы обработки информации (диалоговый, те-

леобработки и режим реального времени), состав комплекса техни ческих

средств, общесистемные программные средства и т. д.;

– анализируется возможность использования имеющихся на рынке сер-

тифицированных средств защиты информации;

– определяются степень участия персонала, специалистов и вспо-

могательных работников объекта автоматизации в обработке инфор мации,

характер взаимодействия между собой и со службой безо пасности;

– определяется состав мероприятий по обеспечению режима сек-

ретности на стадии разработки.

На стадии проектирования выявляется все множество кана лов не-

санкционированного доступа путем анализа: технологии хране ния, переда-

чи и обработки информации, разработанной системы за щиты информации

и выбранной модели нарушителя.

Создание базовой системы защиты информации в целом и для инфор-

мационной базы, в частности, должно основываться на глав ных принципах,

сформулированных в работе:

– комплексный подход к построению системы защиты, означаю-

168

щий оптимальное сочетание программных, аппаратных средств и орга-

низационных мер защиты;

– разделение и минимизация полномочий по доступу к обрабаты ваемой

информации и процедурам обработки;

– полнота контроля и регистрации попыток НСД;

– обеспечение надежности системы защиты, т. е. невозможность сниже-

ния уровня надежности при возникновении в системе сбоев, отказов, пред-

намеренных действий нарушителя или непреднамерен ных ошибок пользо-

вателей и обслуживающего персонала;

– «прозрачность» системы защиты информации для общего, при-

кладного программного обеспечения и пользователей АС.

Установление видов угроз и средств их реализации позволяет проек-

тировщикам АС разработать структуру системы защиты хранимых,

обрабатываемых и передаваемых данных, основанную на применении раз-

нообразных мер и средств защиты. Важную часть этой системы составляет

организация подсистем: управления досту пом, регистрации и учета, обе-

спечения целостности. Для каждой под системы определяются основные

цели, функции, задачи и методы их решения.

Существует несколько подходов к реализации системы защиты. Ряд

специалистов из практики своей работы предлагают разделять систему

безопасности на две части: внутреннюю и внешнюю. Во внутренней части

осуществляется в основном контроль доступа пу тем идентификации и ау-

тентификации пользователей при допуске в сеть и доступе к работе с базой

данных. Помимо этого шифруются и идентифицируются данные во время

их передачи и хранения.

Безопасность во внешней части системы в основном достигается крип-

тографическими средствами. Аппаратные средства защиты реа лизуют

функции разграничения доступа, криптографии, контроля це лостности

программ и их защиты от копирования во внутренней ча сти, защищенной в

том числе на административном уровне.

В предлагаемой Гостехкомиссией России классификации АС по уровню

защищенности от несанкционированного доступа к информа ции устанав-

ливаются девять классов защищенности АС от НСД. Каж дый класс характе-

ризуется определенной минимальной совокупно стью требований по защи-

те. Классы подразделяются на три группы, отличающиеся особенностями

обработки информации в АС. В преде лах каждой группы соблюдается ие-

рархия требований по защите в зависимости от ценности (конфиденциаль-

ности) информации и, сле довательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользо-

ватель, допущенный ко всей информации АС, размещенной на носи телях

одного уровня конфиденциальности. Группа содержит два клас са — 35 и ЗА.

Вторая группа классифицирует АС, в которых пользователи име ют оди-

наковые права доступа (полномочия) ко всей информации АС, обрабатывае-

169

мой и/или хранимой на носителях различного уровня кон фиденциальности.

Группа содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в ко торых

одновременно обрабатывается и (или) хранится информация различных

уровней конфиденциальности и в которых не все пользо ватели имеют пра-

во доступа ко всей информации АС. Группа содер жит пять классов — 1Д, 1Г,

13, 1Б и 1А.

Ниже указаны основные требования к достаточно представитель ному

классу защищенности — 1В — по следующим подсистемам:

1. Подсистема управления доступом:

– идентификация и проверка подлинности субъектов доступа при вхо-

де в систему по идентификатору (коду) и паролю длиной не ме нее восьми

буквенно-цифровых символов;

– идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов свя зи,

внешних устройств ЭВМ по логическим именам и (или) адресам;

– идентификация программ, каталогов, файлов, записей, полей записей

по именам;

– контроль доступа субъектов к защищаемым ресурсам в соответствии

с матрицей доступа;

– управление потоками информации с помощью меток конфиденциаль-

ности (уровень конфиденциальности накопителей должен быть не ниже

уровня конфиденциальности записываемой на них информации).

2. Подсистема регистрации и учета:

– регистрация входа/выхода субъектов доступа в систему или из систе-

мы, регистрация загрузки и инициализации операционной системы и ее

программного останова;

– регистрация выдачи печатных (графических) документов на «твер-

дую» копию;

– регистрация запуска/завершения программ и процессов (заданий, за-

дач), предназначенных для обработки защищаемых файлов;

– регистрация попыток доступа программных средств к дополнитель-

ным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ,

линиям (каналам) связи, внешним устройствам ЭВМ, программам, катало-

гам, файлам, записям, полям записей;

– регистрация изменений полномочий субъектов доступа и статуса объ-

ектов доступа;

– автоматический учет создаваемых защищаемых файлов с помощью их

дополнительной маркировки, используемой в подсистеме управления до-

ступом (маркировка должна отражать уровень конфиденциальности объ-

екта);

– учет всех защищаемых носителей информации с помощью любой их

маркировки;

– очистка специальными программными средствами освобождаемых

170

областей оперативной памяти ЭВМ от внешних накопителей;

– сигнализация попыток нарушения защиты.

3. Подсистема обеспечения целостности:

– целостность программных средств системы защиты информации

(СЗИ) от НСД, а также неизменность программной среды (целостность СЗИ

от НСД проверяется при загрузке системы по контрольным суммам ком-

понентов СЗИ; целостность программной среды обеспечивается исполь-

зованием трансляторов с языков высокого уровня и отсутствием средств

модификации объектного кода программ при обработке и/или хранении

защищаемой информации);

– физическая охрана СВТ (устройств и носителей информации), пред-

усматривающая постоянное наличие охраны территории и здания, где

размещается ЭИС, с помощью технических средств охраны и специального

персонала, использование строгого пропускного режима, специальное обо-

рудование помещений ЭИС;

– назначение администратора (службы) защиты информации, отве-

ственного за ведение, нормальное функционирование и контроль работы

СЗИ от НСД с предоставлением терминала и необходимых средств опера-

тивного контроля и воздействия на безопасность ЭИС;

– периодическое тестирование всех функций СЗИ от НСД с помощью

специальных программных средств не реже одного раза в год;

– наличие средств восстановления СЗИ от НСД, предусматривающих ве-

дение не менее двух копий программных средств СЗИ от НСД, их периодиче-

ское обновление и контроль работоспособности;

– использование сертифицированных средств защиты.

Перечисленные требования составляют минимум, которому необходи-

мо следовать, чтобы обеспечить конфиденциальность защищаемой инфор-

мации.

Составление документации — необходимое условие повышения на-

дежности системы обеспечения информационной безопасности. В ком-

плект документации по обеспечению ИБ ЭИС должны входить следующие

основные компоненты:

– руководство пользователя по средствам безопасности;

– руководство администратора по средствам безопасности;

– тестовая документация, содержащая описания результатов тестиро-

вания систем защиты.