Барабанова М.И., Кияев В.И. Информационные технологии: открытые системы, сети, безопасность в системах и сетях

Подождите немного. Документ загружается.

212

обработку информации разной степени секретности различными пользо-

вателями или группами пользователей без нарушения прав доступа, цело-

стности и конфиденциальности данных и информации, и поддерживаю-

щая свою работоспособность в условиях воздействия на неё совокупности

внешних и внутренних угроз» [6-1] .

Это качественное определение содержит необходимое и достаточное

условие безопасности. При этом не обуславливается, какие механизмы и

каким образом реализуют безопасность – практическая реализация зави-

сит от многих факторов: вида и размера бизнеса, предметной области дея-

тельности компании, типа информационной системы, степени её распре-

делённости и сложности, топологии сетей, используемого программного

обеспечения и т.д.

Концепция «Защищенные информационные системы» включает ряд

законодательных инициатив, научных, технических и технологических

решений, готовность государственных организаций и компаний использо-

вать их для того, чтобы люди, используя устройства на базе компьютеров

и программного обеспечения, чувствовали себя так же комфортно и безо-

пасно. В общем случае можно говорить о степени доверия, или надежно-

сти систем, оцениваемых по двум основным критериям: наличие и полно-

та политики безопасности и гарантированность безопасности.

Наличие и полнота политики безопасности – набор внешних и кор-

поративных стандартов, правил и норм поведения, отвечающих законода-

тельным актам страны и определяющих, как организация собирает, обра-

батывает, распространяет и защищает информацию. В частности, стандар-

ты и правила определяют, в каких случаях и каким образом пользователь

имеет право оперировать с определенными наборами данных. В политике

безопасности сформулированы права и ответственности пользователей и

персонала. В зависимости от сформулированной политики можно выби-

рать конкретные механизмы, обеспечивающие безопасность системы. Чем

больше информационная система и чем больше она имеет «входов» и

«выходов» (распределённая система), тем «строже», детализированнее и

многообразнее должна быть политика безопасности.

Гарантированность безопасности – мера доверия, которая может

быть оказана архитектуре, инфраструктуре, программно-аппаратной реа-

лизации системы и методам управления её конфигурацией и целостно-

стью. Гарантированность может проистекать как из тестирования и вери-

фикации, так и из проверки (системной или эксплуатационной) общего

замысла и исполнения системы в целом и ее компонентов. Гарантирован-

ность показывает, насколько корректны механизмы, отвечающие за про-

ведение в жизнь политики безопасности. Гарантированность является пас-

сивным, но очень важным компонентом защиты, реализованным качест-

213

вом разработки, внедрения, эксплуатации и сопровождения информаци-

онной системы и заложенных принципов безопасности.

Концепция гарантированности является центральной при оценке сте-

пени, с которой информационную систему можно считать надежной. На-

дежность определяется всей совокупностью защитных механизмов систе-

мы в целом и надежностью вычислительной базы (ядра системы), отве-

чающих за проведение в жизнь политики безопасности. Надежность вы-

числительной базы определяется ее реализацией и корректностью исход-

ных данных, вводимых административным и операционным персоналом.

Оценка уровня защищенности ИТ/ИС обычно производится по трём базо-

вым группам критериев (табл. 6.1).

Таблица 6.1

Трёхуровневая модель параметров оценки защищенности ИС

Система целей Средства Исполнение

Общая цель

Защищенные ин-

формационные

системы

Цели

• Безопасность

• Безотказность

• Надежность

• Деловое взаи-

модействие

Обеспечение

• Защищенность

• Конфиденциаль-

ность

• Целостность

• Готовность к работе

• Точность

• Управляемость

• Безотказность

• Прозрачность

• Удобство пользова-

ния

Подтверждение доверия

• Внутренняя оценка

• Аккредитация

• Внешний аудит

Установки

• Законы, нормы

• Характер ведения бизнеса

• Контракты, обязательства

• Внутренние принципы

• Международные, отрас-

левые и внутренние

стандарты

Реализация

• Методы взаимодействия

с внешней и внутренней

средой

• Методы работ

• Анализ рисков

• Методы разработки, вне-

дрения, эксплуатации и

сопровождения

• Обучение персонала

Основное назначение надежной вычислительной базы – выполнять

функции монитора обращений и действий, то есть контролировать допус-

тимость выполнения пользователями определенных операций над объек-

тами. Монитор проверяет каждое обращение к программам или данным на

предмет их согласованности со списком допустимых действий. Таким об-

разом, важным средством обеспечения безопасности является механизм

214

подотчетности или протоколирования. Надежная система должна фикси-

ровать все события, касающиеся безопасности, а ведение протоколов до-

полняется аудитом – анализом регистрационной информации.

Эти общие положения являются основой для проектирования и реали-

зации безопасности открытых информационных систем [6-5].

6.2. Методология анализа защищенности информационной системы

При разработке архитектуры и создании инфраструктуры корпора-

тивной ИС неизбежно встает вопрос о её защищенности от угроз. Реше-

ние вопроса состоит в подробном анализе таких взаимно пересекающихся

видов работ, как реализация ИС и её аттестация, аудит и обследование

безопасности ИС [6-4].

Основой формального описания систем защиты традиционно считается

модель системы защиты с полным перекрытием (рис. 6.1), в которой рас-

сматривается взаимодействие «области угроз», «защищаемой области» и

«системы защиты». Таким образом, имеем три множества: T = {t

} – мно-

жество угроз безопасности, O = {o

} – множество объектов (ресурсов) за-

щищенной системы, M = {m

} – множество механизмов безопасности АС.

Рис. 6.1. Модель системы защиты с полным перекрытием

Элементы этих множеств находятся между собой в определенных от-

ношениях, собственно и описывающих систему защиты. Для описания

системы защиты обычно используется графовая модель. Множество от-

ношений угроза-объект образует двухдольный граф {T, O}. Цель защиты

состоит в том, чтобы перекрыть все возможные ребра в графе. Это дости-

215

гается введением третьего набора M; в результате получается трехдоль-

ный граф {T, M, O}.

Развитие модели предполагает введение еще двух элементов (рис.

6.2). Здесь V – набор уязвимых мест, определяемый подмножеством де-

картова произведения {T*O}: v

= <t

, o

>. Под уязвимостью системы за-

щиты понимают возможность осуществления угрозы T в отношении объ-

екта O. (На практике под уязвимостью системы защиты обычно понима-

ют, те свойства системы, которые либо способствуют успешному осуще-

ствлению угрозы, либо могут быть использованы злоумышленником для

её осуществления.)

Определим B как набор барьеров, определяемый декартовым произ-

ведением {V*M}: b

= <t

, o

, m

>, представляющих собой пути осуществ-

ления угроз безопасности, перекрытые средствами защиты. В результате

получаем систему, состоящую из пяти элементов: <T, O, M, V, B>, описы-

вающую систему защиты с учетом наличия уязвимостей.

Рис. 6.2. Модель системы защиты, содержащей уязвимости

Для системы с полным перекрытием для любой уязвимости имеется

устраняющий ее барьер. Иными словами, в подобной системе защиты для

всех возможных угроз безопасности существуют механизмы защиты, пре-

пятствующие осуществлению этих угроз. Данное условие является пер-

вым фактором, определяющим защищенность ИС, второй фактор –

«прочность» и надёжность механизмов защиты.

В идеале каждый механизм защиты должен исключать соответст-

вующий путь реализации угрозы. В действительности же механизмы за-

щиты обеспечивают лишь определённую степень сопротивляемости угро-

зам безопасности. Поэтому в качестве характеристик элемента набора

барьеров b

= <t

, o

, m

> может рассматриваться набор <P

, L

, R

>, где P

–

216

вероятность появления угрозы, L

– величина ущерба при удачном осуще-

ствлении угрозы в отношении защищаемых объектов (уровень серьезно-

сти угрозы), а R

– степень сопротивляемости механизма защиты m

, ха-

рактеризующаяся вероятностью его преодоления.

Надёжность барьера b

= <t

, o

, m

> характеризуется величиной оста-

точного риска Risk

, связанного с возможностью осуществления угрозы t

в отношении объекта информационной системы o

при использовании ме-

ханизма защиты m

. Эта величина определяется по формуле: Risk

*(1– R

). Для нахождения примерной величины защищенности S

можно использовать следующую простую формулу: S= 1/Risk

, где Risk

является суммой всех остаточных рисков, (0<[P

]<1), ( 0≤R

<1 ).

Суммарная величина остаточных рисков характеризует приблизи-

тельную совокупную уязвимость системы защиты, а защищенность опре-

деляется как величина, обратная уязвимости. При отсутствии в системе

барьеров b

, «перекрывающих» выявленные уязвимости, степень сопро-

тивляемости механизма защиты R

принимается равной нулю.

На практике получение точных значений приведенных характеристик

барьеров затруднено, поскольку понятия угрозы, ущерба и сопротивляе-

мости механизма защиты трудно формализовать. Так, оценку ущерба в ре-

зультате несанкционированного доступа к информации политического и

военного характера точно определить вообще невозможно, а определение

вероятности осуществления угрозы не может базироваться на статистиче-

ском анализе. Построение моделей системы защиты и анализ их свойств

составляют предмет «теории безопасных систем», еще только оформляю-

щейся в качестве самостоятельного направления.

Вместе с тем для защиты информации экономического характера, до-

пускающей оценку ущерба, разработаны стоимостные методы оценки эф-

фективности средств защиты. Для этих методов набор характеристик

барьера дополняет величина C

затраты на построение средства защиты

барьера b

. В этом случае выбор оптимального набора средств защиты свя-

зан с минимизацией суммарных затрат W={w

}, состоящих из затрат

C={c

} на создание средств защиты и возможных затрат в результате ус-

пешного осуществления угроз N={n

Формальные подходы к решению задачи оценки защищенности из-за

трудностей, связанных с формализацией, широкого практического рас-

пространения не получили. Значительно более действенным является ис-

пользование неформальных классификационных подходов. Для этого

применяют категорирование: нарушителей (по целям, квалификации и

доступным вычислительным ресурсам); информации (по уровням критич-

ности и конфиденциальности); средств защиты (по функциональности и

гарантированности реализуемых возможностей), эффективности и рента-

бельности средств защиты и т.п.

217

6.2. Требования к архитектуре информационных систем

для обеспечения безопасности ее функционирования

Идеология открытых систем (главы 1 и 2) существенно отразилась

на методологических аспектах и направлении развития сложных распре-

деленных ИС. Она базируется на строгом соблюдении совокупности про-

филей, протоколов и стандартов де-факто и де-юре. Программные и аппа-

ратные компоненты по этой идеологии должны отвечать важнейшим тре-

бованиям переносимости и возможности согласованной, совместной рабо-

ты с другими удаленными компонентами. Это позволяет обеспечить со-

вместимость компонентов различных информационных систем, а также

средств передачи данных. Задача сводится к максимально возможному

повторному использованию разработанных и апробированных программ-

ных и информационных компонентов при изменении вычислительных ап-

паратных платформ, ОС и процессов взаимодействия [31-6].

При создании сложных, распределенных информационных систем,

проектировании их архитектуры, инфраструктуры, выборе компонентов и

связей между ними следует учитывать, помимо общих (открытость, мас-

штабируемость, переносимость, мобильность, защита инвестиций и т.п.),

ряд специфических концептуальных требований, направленных на обес-

печение безопасности функционирования самой системы и данных:

• архитектура системы должна быть достаточно гибкой, т.е. должна

допускать относительно простое, без коренных структурных изме-

нений, развитие инфраструктуры и изменение конфигурации ис-

пользуемых средств, наращивание функций и ресурсов ИС в соот-

ветствии с расширением сфер и задач ее применения;

• должны быть обеспечены безопасность функционирования систе-

мы при различных видах угроз и надежная защита данных от оши-

бок проектирования, разрушения или потери информации, а также

авторизация пользователей, управление рабочей загрузкой, резер-

вированием данных и вычислительных ресурсов, максимально бы-

стрым восстановлением функционирования ИС;

• следует обеспечить комфортный, максимально упрощенный доступ

пользователей к сервисам и результатам функционирования ИС на

основе современных графических средств, мнемосхем и наглядных

пользовательских интерфейсов;

• систему должна сопровождать актуализированная, комплектная

документация, обеспечивающая квалифицированную эксплуата-

цию и возможность развития ИС.

Подчеркнем, что технические системы безопасности, какими бы

мощными они ни были, сами по себе не могут гарантировать надежность

программно-технического уровня защиты. Только сфокусированная на

218

безопасность архитектура ИС способна сделать эффективным объедине-

ние сервисов, обеспечить управляемость информационной системы, ее

способность развиваться и противостоять новым угрозам при сохранении

таких свойств, как высокая производительность, простота и удобство ис-

пользования. Для того чтобы выполнить эти требования, архитектура ИС

должна строиться на следующих принципах.

Проектирование ИС на принципах открытых систем, следование

признанным стандартам, использование апробированных решений, ие-

рархическая организация ИС с небольшим числом сущностей на каждом

уровне – все это способствует прозрачности и хорошей управляемо-

сти ИС.

Непрерывность защиты в пространстве и времени, невозможность

преодолеть защитные средства, исключение спонтанного или вызванного

перехода в небезопасное состояние – при любых обстоятельствах, в том

числе нештатных, защитное средство либо полностью выполняет свои

функции, либо полностью блокирует доступ в систему или ее часть.

Усиление самого слабого звена, минимизация привилегий доступа,

разделение функций обслуживающих сервисов и обязанностей персонала.

Предполагается такое распределение ролей и ответственности, чтобы

один человек не мог нарушить критически важный для организации про-

цесс или создать брешь в защите по неведению или заказу злоумышлен-

ников.

Применительно к программно-техническому уровню принцип мини-

мизации привилегий предписывает выделять пользователям и админист-

раторам только те права доступа, которые необходимы им для выполне-

ния служебных обязанностей. Это позволяет уменьшить ущерб от случай-

ных или умышленных некорректных действий пользователей и админист-

раторов.

Эшелонирование обороны, разнообразие защитных средств, простота

и управляемость информационной системы и системы ее безопасности.

Принцип эшелонирования обороны предписывает не полагаться на один

защитный рубеж, каким бы надежным он ни казался. За средствами физи-

ческой защиты должны следовать программно-технические средства, за

идентификацией и аутентификацией – управление доступом, протоколи-

рование и аудит.

Эшелонированная оборона способна не только не пропустить зло-

умышленника, но и в некоторых случаях идентифицировать его благодаря

протоколированию и аудиту. Разнообразие защитных средств предполага-

ет создание различных по своему характеру оборонительных рубежей,

чтобы от потенциального злоумышленника требовалось овладение разно-

образными и, по возможности, несовместимыми между собой навыками.

219

Простота и управляемость ИС в целом и защитных средств в осо-

бенности. Только в простой и управляемой системе можно проверить со-

гласованность конфигурации различных компонентов и осуществлять

централизованное администрирование. В этой связи важно отметить ин-

тегрирующую роль Web-сервиса, скрывающего разнообразие обслужи-

ваемых объектов и предоставляющего единый, наглядный интерфейс. Со-

ответственно если объекты некоторого вида (например, таблицы базы

данных) доступны через Internet, необходимо заблокировать прямой дос-

туп к ним, поскольку в противном случае система будет уязвимой, слож-

ной и плохо управляемой.

Продуманная и упорядоченная структура программных средств и баз

данных. Топология внутренних и внешних сетей непосредственно отража-

ется на достигаемом качестве и безопасности ИС, а также на трудоемко-

сти их разработки. При строгом соблюдении правил структурного по-

строения значительно облегчается достижение высоких показателей каче-

ства и безопасности, так как сокращается число возможных ошибок в реа-

лизующих программах, отказов и сбоев оборудования, упрощается их ди-

агностика и локализация.

В хорошо структурированной системе с четко выделенными компо-

нентами (клиент, сервер приложений, ресурсный сервер) контрольные

точки выделяются достаточно четко, что решает задачу доказательства

достаточности применяемых средств защиты и обеспечения невозможно-

сти обхода этих средств потенциальным нарушителем.

Высокие требования, предъявляемые к формированию архитектуры и

инфраструктуры на стадии проектирования ИС, определяются тем, что

именно на этой стадии можно в значительной степени минимизировать

число уязвимостей, связанных с непредумышленными дестабилизирую-

щими факторами, которые влияют на безопасность программных средств,

баз данных и систем коммуникации.

Анализ безопасности ИС при отсутствии злоумышленных факторов

базируется на модели взаимодействия основных компонентов ИС

(рис. 6.3, [6-7]). В качестве объектов уязвимости рассматриваются:

• динамический вычислительный процесс обработки данных, авто-

матизированной подготовки решений и выработки управляющих

воздействий;

• объектный код программ, исполняемых вычислительными средст-

вами в процессе функционирования ИС;

• данные и информация, накопленная в базах данных;

• информация, выдаваемая потребителям и на исполнительные ме-

ханизмы.

220

Полное устранение перечисленных угроз принципиально невозможно.

Задача состоит в выявлении факторов, от которых они зависят, в создании

методов и средств уменьшения их влияния на безопасность ИС, а также в

эффективном распределении ресурсов для обеспечения защиты, равно-

прочной по отношению ко всем негативным воздействиям.

Рис. 6.3. Модель анализа безопасности информационных систем

при отсутствии злоумышленных угроз

221

6.3. Стандартизация подходов

к обеспечению информационной безопасности

Специалистам в области ИБ сегодня практически невозможно обой-

тись без знаний соответствующих профилей защиты, стандартов и специ-

фикаций. Формальная причина состоит в том, что необходимость следо-

вания некоторым стандартам (например, криптографическим и «Руково-

дящим документам» Гостехкомиссии РФ) закреплена законодательно.

Убедительны и содержательные причины: стандарты и спецификации –

одна из форм накопления и реализации знаний, прежде всего о процедур-

ном и программно-техническом уровнях ИБ и ИС, в них зафиксированы

апробированные, высококачественные решения и методологии, разрабо-

танные наиболее квалифицированными компаниями в области разработки

ПО и безопасности программных средств.

На верхнем уровне можно выделить две существенно отличающиеся

друг от друга группы стандартов и спецификаций:

1) оценочные стандарты, предназначенные для оценки и классифика-

ции ИС и средств защиты по требованиям безопасности;

2) спецификации, регламентирующие различные аспекты реализа-

ции и использования средств и методов защиты.

Эти группы дополняют друг друга. Оценочные стандарты описывают

важнейшие с точки зрения ИБ понятия и аспекты ИС, играя роль органи-

зационных и архитектурных спецификаций. Специализированные стан-

дарты и спецификации определяют, как именно строить ИС предписанной

архитектуры и выполнять организационные требования.

Из числа оценочных необходимо выделить стандарт «Критерии оцен-

ки доверенных компьютерных систем» и его интерпретацию для сетевых

конфигураций (Министерство обороны США) «Гармонизированные кри-

терии eвропейских стран», международный стандарт «Критерии оценки

безопасности информационных технологий» и, конечно, Руководящие до-

кументы Гостехкомиссии России. К этой же группе относится и Феде-

ральный стандарт США «Требования безопасности для криптографиче-

ских модулей», регламентирующий конкретный, но очень важный и

сложный аспект информационной безопасности.

Технические спецификации, применимые к современным распреде-

ленным ИС, создаются главным образом «Тематической группой по тех-

нологии Интернет» (Internet Engineering Task Force – IETF) и ее подразде-

лением – рабочей группой по безопасности. Ядром технических специфи-

каций служат документы по безопасности на IP-уровне (IPSec). Кроме

этого, анализируется защита на транспортном уровне (Transport Layer