Бабенко Л.К. Организация и технология защиты информации: Введение в специальность
Подождите немного. Документ загружается.
41
Рис. 3.6
В стандартном телефонном канале такое (стробирование) должно про-
исходить с частотой не менее 6800 Гц (во всём мире выбрано 8000 Гц), так как
верхняя частотная составляющая телефонного канала равна 3400 Гц
Рис.3.7. Дискретизация сигнала
Максимальное расстояние между точками t1, t2, … (показаны на рисун-
ке 3.7) на временной оси не должно превышать T=1/2fmax. В этом
случае не-
прерывная кривая полностью описывается последовательностью значений Аi и
временным интервалом Δt.
t
А1
А2
А3
А4
А5
А6
А7
t1 t2 t3 t4 t5 t6 t7
42
Если представить эти значения в виде чисел, то их можно зашифровать
уже известным способом (подстановки и др. ) и выдать в канал связи (схема
приведена на рисунке 3.8). Но при 2- х условиях:
1. быстрая выработка 8000 мгновенных значений в цифровой форме
(если динамический диапазон сигнала= 20 дБ. Это означает, что амплитуда его
max значения в
10 раз превышает min значение), то необходимо в секунду
иметь 8000×4 (знака)= 3200 бит/с . А при самых эффективных способах моду-
ляции и модемах по стандартному телефонному каналу удается добиться скоро-
сти не более 4,8 Кбит/с.
2. из первого получается второе условие: более широкая, чем у стан-
дартного телефонного канала полоса для передачи шифрованного
сигнала
двоичной шифропоследовательности. Можно различным путем смещать
полосу, но … узнать собеседника по голосу уже не удастся. Поэтому
желательно использовать канал с широкой полосой, но уже не стандартный.
Достаточно сложен ввод ключей (из- за высокой скорости) и шифро-
синхронизация: шифраторы на передающем и приемном пункте должна
работать синхронно и не расходиться
ни на один такт.
Рис.3.8
Существуют телефонные шифраторы, которые могут работать по раз-
личным линиям связи, при этом стойкость защиты остаётся высокой, а качество
речи тем выше, чем шире полоса пропускания.
Таким образом цифровое шифрование сложно и дорого и используется
когда секретность нужна длительное время.
4. Политика безопасности
АЦП ШИФР. Пере-
дат.
МО-
ДЕМ
ЦАП ПРИ-
ЕМ
МО-
ДЕМ
Де-
шиф.
ключ
микрофон
телефон
Цифровой шифрованный сигнал
Цифровой открытый сиг-
43
4.1. Сущность системно-концептуального подхода
С точки зрения методологии основу проектирования систем защиты
информации, относящихся к сложным проблемам, составляет так называемый
системно-концептуальный подход /2/.
Сущность системно-концептуального подхода к исследованию и реше-
нию сложных проблем заключается в трех почти очевидных, но трудно реали-
зуемых в теоретических исследованиях и практических разработках,
посылках:
1). Системное рассмотрение сущности исследуемой или разрабатывае-
мой проблемы.
2). Не простое исследование или разработка проблемы (т.е. не поиск ка-
кого-то решения, удовлетворяющего конкретной, частной постановке пробле-
мы), а разработка и обоснование полной и непротиворечивой концепции реше-
ния проблемы, в рамках которой решение проблемы в любой конкретной по-
становке
должно определяться в виде частного случая.
3). Системное использование методов моделирования исследуемых
(разрабатываемых) процессов и явлений.
Общее содержание сформулированных посылок привелено ниже на ри-
сунке 4.1.
4.2. Модели политики безопасности.
Политика безопасности (security policy) – набор законов, правил и прак-
тических рекомендаций, на основе которых строится управление, защита и рас-
пределение критичной информации в
системе. Она должна охватывать все осо-
бенности процесса обработки информации, определяя поведение системы в раз-
личных ситуациях /13,14/.
Политика безопасности представляет собой некоторый набор требова-
ний, прошедших соответствующую проверку, реализуемых при помощи орга-
низационных мер и программно-технических средств и определяющих архи-
тектуру системы защиты. Ее реализация для конкретной автоматизированной
системы обработки
информации осуществляется при помощи средств управле-
ния механизмами защиты.
Для конкретной организации политика безопасности должна быть ин-
дивидуальной, зависимой от конкретной технологии обработки информации,
используемых программных и технических средств, расположения организации
и т.д.
Под "системой" понимается некоторая совокупность субъектов и объ-
ектов и отношения между ними.
Субъект – активный компонент
системы, который может явиться при-
чиной потока информации от объекта к субъекту или изменения состояния сис-
темы.
44
Объект – пассивный компонент системы, хранящий, принимающий или
передающий информацию. Доступ к объекту подразумевает доступ к содер-
жащейся в нем информации.
Основу политики безопасности составляет способ управления досту-
пом, определяющий порядок доступа субъектов системы к объектам системы.
Название этого способа, как правило, определяет название политики безопасно-
сти.
Для изучения свойств способа
управления доступом создается его фор-
мальное описание – математическая модель. При этом модель должна отражать
состояния всей системы, ее переходы из одного состояния в другое, а также
учитывать, какие состояния и переходы можно считать безопасными в смысле
данного управления. Без этого говорить о каких-либо свойствах системы, и тем
более гарантировать их
, по меньшей мере, не корректно. Для разработки моде-
лей применяется широкий спектр математических методов (моделирования,
теории информации, графов, автоматов и другие).
В настоящее время лучше всего изучены два вида политики безопас-
ности: избирательная и полномочная, основанные, соответственно на избира-
тельном и полномочном способах управления доступом. Особенности каждой
из них, а
также их отличия друг от друга будут описаны ниже.
Кроме того, существует набор требований, усиливающий действие этих
политик и предназначенный для управления информационными потоками в
системе.
Следует отметить, что средства защиты, предназначенные для реали-
зации какого-либо из названных выше способов управления доступом, только
предоставляют возможности надежного управления доступом или информаци
-
онными потоками. Определение прав доступа субъектов к объектам и/или ин-
формационным потокам (полномочий субъектов и атрибутов объектов, при-
своение меток критичности и т.д.) входит в компетенцию администрации сите-
мы.
Избирательная политика безопасности.
Основой избирательной политики безопасности является избирательное
управление доступом (ИУД, Discretionary Access Control; DAC), которое подра-
зумевает, что:
- все субъекты и объекты системы должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на осно-
вании некоторого внешнего (по отношению к системе) правила (свойство изби-
рательности).
45
Для описания свойств избирательного управления доступом применя-
ется модель системы на основе матрицы доступа (МД, иногда ее называют мат-
рицей контроля доступа). Такая модель получила название матричной.
Матрица доступа представляет собой матрицу, в которой объекту системы
соответствует столбец, а субъекту – строка. На пересечении столбца и строки
матрицы указывается тип (типы)
разрешенного доступа субъекта к объекту. Об-
ычно выделяют такие типы доступа субъекта к объекту как "доступ на чтение",
"доступ на запись", "доступ на исполнение" и др. Множество объектов и типа
доступа к ним субъекта может изменяться в соответствии с некоторыми прави-
лами, существующими в данной системе. Определение и изменение этих
пра-
вил также является задачей ИУД. Например, доступ субъекта к конкретному
объекту может быть разрешен только в определенные дни (дата – зависимое
условие), часы (время – зависимое условие), в зависимости от других характе-
ристик субъекта (контекстно-зависимое условие) или в зависимости от характе-
ра предыдущей работы. Такие условия на доступ к объектам обычно
использу-
ются в СУБД. Кроме того, субъект с определенными полномочиями может пе-
редавать их другому субъекту (если это не противоречит правилам политики
безопасности).
Решение на доступ субъекта к объекту принимается в соответствии с
типом доступа, указанным в соответствующей ячейке матрицы доступа. Обыч-
но, избирательное управление доступом реализует принцип "что не
разрешено,
то запрещено", предполагающий явное разрешение доступа субъекта к объекту.
Матрица доступа – наиболее примитивный подход к моделированию
систем, который, однако, является основой для более сложных моделей, наибо-
лее полно описывающих различные стороны реальных автоматизированных
систем обработки информации.
Вследствие больших размеров и разреженности МД хранение полной
матрицы представляется нецелесообразным, поэтому во многих
средствах за-
щиты используют более экономные представления МД (профили и т.д.). Каж-
дый из этих способов представления МД имеет свои достоинства и свои недос-
татки, обуславливающие область их применения. Поэтому в каждом конкрет-
ном случае надо знать, во-первых, какое именно представление использует
средство защиты, и, во-вторых, какие
особенности и свойства имеет это пред-
ставление.
Избирательная политика безопасности наиболее широко применяется в
коммерческом секторе, так как ее реализация на практике отвечает требованиям
коммерческих организаций по разграничению доступа и подотчетности , а так-
же имеет приемлемую стоимость и небольшие накладные расходы.
Полномочная политика безопасности.
46
Основу полномочной политики безопасности составляет полномочное
управление доступом (Mandatory Access Control; MAC), которое подразумева-
ет, что:
- все субъекты и объекты системы должны быть однозначно иденти-
фицированны;
- каждому объекту системы присвоена метка критичности, опреде-
ляющая ценность содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности
(security clearance), определяющий максимальное значение метки критичности
объектов
, к которым субъект имеет доступ.
В том случае, когда совокупность меток имеет одинаковые значения,
говорят, что они принадлежат к одному уровню безопасности. Организация
меток имеет иерархическую структуру и, таким образом, в системе можно реа-
лизовать иерархически не нисходящий (по ценности) поток информации (на-
пример, от рядовых исполнителей к руководству). Чем
важнее объект или субъ-
ект, тем выше его метка критичности. Поэтому наиболее защищенными оказы-
ваются объекты с наиболее высокими значениями метки критичности.
47
Рис.4.1 Классификация принципов системно- концептуального подхода к реше-
нию сложных проблем
Принципы сис т емн о -концептуального подхода к решению проблемы
Системное использование методов
моделирования
Построение единой концепции
решения проблемы
С
истемное рассмотрение сущности
проблемы
Оптимизация выбора методов
моделирования
Системный анализ возможностей методов
моделирования
Системная классификация методов
моделирования
Системная классификация задач
моделирования
Обоснование форм и способов использования
средств решения проблемы
Разработка средств и методов
решения проблемы
Обоснование функций и задач, необходимых
для решения проблемы
Исследование объективных условий решения
проблема
Определение функциональных
зависимостей между факторами
Выявление полного множества
значащих факторов
Формирование архитектуры
исследуемой системы
Обоснование сущности
и места исследуемой проблемы
Исследование условий, способствующих
эффективному решению проблемы
48
Каждый субъект кроме уровня прозрачности имеет текущее значение
уровня безопасности, которое может изменяться от некоторого минимального
значения до значения его уровня прозрачности.
Для моделирования полномочного управления доступом используется
модель Белла-Лападула (Bell-LaPadulla model), включающая в себя понятие
безопасного (с точки зрения политики) состояния и перехода. Для принятия
решения на разрешение доступа производится
сравнение метки критичности
объекта с уровнем прозрачности и текущим уровнем безопасности субъекта.
Результат сравнения определяется двумя правилами: простым условием защиты
(simple security condition) и *-свойством (*-property). В упрощенном виде, они
определяют, что информация может передаваться только "наверх", то есть субъ-
ект может читать содержимое объекта, если его текущий уровень безопасности
не ниже метки
критичности объекта, и записывать в него, - если не выше
(*-свойство).
Простое условие защиты гласит, что любую операцию над объектом
субъект может выполнять только в том случае, если его уровень прозрачности
не ниже метки критичности объекта.
Основное назначение полномочной политики безопасности – регули-
рование доступа субъектов системы к объектам с различным уровнем
критич-
ности и предотвращение утечки информации с верхних уровней должностной
иерархии на нижние, а также блокирование возможных проникновений с ниж-
них уровней на верхние. При этом она функционирует на фоне избирательной
политики, придавая ее требованиям иерархически упорядоченный характер (в
соответствии с уровнями безопасности).
5.Сертификация программных продуктов
5.1.Стандарты и рекомендации в области информационной безопасности
В этом подразделе приводятся некоторые сведения о классических кри-
териях оценки информационной безопасности. Знание этих критериев способно
помочь при выборе и комплектовании аппаратно-программной конфигурации
средств защиты информации. Кроме того, в своей повседневной работе адми-
нистратор безопасности вынужден хотя
бы до некоторой степени повторять
действия сертифицирующих органов, поскольку обслуживаемая система время
от времени претерпевает изменения и нужно, во-первых, оценивать
целесообразность модификаций и их последствия, а во-вторых, соответствую-
щим образом корректировать повседневную практику пользования и админи-
стрирования. Если знать, на что обращают внимание при сертификации, можно
сконцентрироваться на
анализе критически важных аспектов, экономя время и
силы и повышая качество защиты /15,16/.
49
Одним из первых трудов в области сертификации средств защиты ин-
формации являются "Критерии оценки надежных компьютерных систем" на-
зываемые чаще всего по цвету обложки "Оранжевой книгой". Данный труд был
выполнен по заказу Министерства обороны США и опубликован в августе
1983 года. "Оранжевая книга" поясняет понятие безопасной системы, которая
"управляет посредством
соответствующих средств доступом к информации, так
что только должным образом авторизованные лица или процессы, действующие
от их имени, получают право читать, писать, создавать и удалять информацию".
Руководящие документы по защите от несанкционированного доступа
Гостехкомиссии при Президенте РФ
В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять
Руководящих документов, посвященных проблеме защиты от несанкциониро-
ванного доступа (НСД) к информации. Мы рассмотрим важнейшие из них.
1. Концепция защиты от несанкционированного доступа к информации.
Идейной основой набора Руководящих документов является "Концеп-
ция защиты СВТ и АС от НСД к информации
". Концепция "излагает систему
взглядов, основных принципов, которые закладываются в основу проблемы
защиты информации от несанкционированного доступа (НСД), являющейся
частью общей проблемы безопасности информации".
В Концепции различаются понятия средств вычислительной техники
(СВТ) и автоматизированной системы (АС), аналогично тому, как в Европей-
ских Критериях проводится деление на продукты и системы. Более точно
,
" Концепция предусматривает существование двух относительно самостоятель-
ных и, следовательно, имеющих отличие направлений в проблеме защиты ин-
формации от НСД. Это – направление, связанное с СВТ, и направление, связан-
ное с АС.
Отличие двух направлений порождено тем, что СВТ разрабатываются
и поставляются на рынок лишь как элементы, из которых в дальнейшем строят
-
ся функционально ориентированные АС, и поэтому, не решая прикладных за-
дач, СВТ не содержат пользовательской информации.
Помимо пользовательской информации, при создании АС появляются
такие отсутствующие при разработке СВТ характеристики АС, как полномочия
пользователей, модель нарушителя, технология обработки информации".
Существуют различные способы покушения на информационную
безопасность – радиотехнические, акустические, программные и т.
п. Среди них
НСД выделяется как "доступ к информации, нарушающий установленные пра-
вила разграничения доступа с использованием штатных средств, предоставля-
50
емых СВТ или АС. Под штатными средствами понимается совокупность прог-
раммного, микропрограммного и технического обеспечения СВТ или АС".
В Концепции формулируются следующие основные принципы защи-
ты от НСД к информации:
"3.2. Защита СВТ обеспечивается комплексом программно-технических
средств.
3.3. Защита АС обеспечивается комплексом программно-технических
средств и поддерживающих их организационных мер.
3.4. Защита АС должна обеспечиваться на всех технологических этапах
обработки информации и во всех режимах функционирования, в том числе при
проведении ремонтных и регламентных работ.
3.5. Программно-технические средства защиты не должны существенно
ухудшать основные функциональные характеристики АС (надежность, быстро-
действие, возможность изменения конфигурации АС).
3.6. Неотъемлемой частью работ по защите является
оценка эффектив-
ности средств защиты, осуществляемая по методике, учитывающей всю сово-
купность технических характеристик оцениваемого объекта, включая техниче-
ские решения и практическую реализацию средств защиты.
3.7. Защита АС должна предусматривать контроль эффективности
средств защиты от НСД. Этот контроль может быть либо периодическим, либо
инициироваться по мере необходимости пользователем АС или контролирую-
щими органами."
Концепция ориентируется на физически защищенную среду, проник-
новение в которую посторонних лиц считается невозможным, поэтому наруши-
тель определяется как "субъект, имеющий доступ к работе со штатными сред-
ствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предостав-
ляемых им штатными АС и СВТ. Выделяется четыре уровня
этих возможно-
стей.
Классификация является иерархической, т.е. каждый следующий уро-
вень включает в себя функциональные возможности предыдущего.
4.2. Первый уровень определяет самый низкий уровень возможностей
ведения диалога в АС – запуск задач (программ) из фиксированного набора,
реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собст
-
венных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функциониро-
ванием АС, т.е. воздействием на базовое программное обеспечение системы и
на состав и конфигурацию её оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осу-
ществляющих проектирование, реализацию и ремонт технических средств АС,