Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа

Подождите немного. Документ загружается.

Предисловие

Целью книги является не только рассмотрение перспективных технологий

и методов защиты информации от НСД, в том числе добавочной, но и обо-

снование требований к системе защиты. Эти требования позволят потреби-

телю ориентироваться на рынке средств информационной защиты при вы-

боре оптимального решения. Кроме того, немалое внимание уделено

иллюстрации тех задач, которые должны решаться администратором безо-

пасности, эксплуатирующим средства защиты. При этом следует понимать,

что хорошая система защиты — это своего рода «конструктор», в

котором

заложены механизмы противодействия как явным, так и скрытым угрозам

информационной безопасности. Чтобы достигнуть необходимого уровня

безопасности защищаемых объектов, администратор должен не только знать

и понимать возможности механизмов защиты, но и умело их настраивать,

применительно к непрерывно изменяющейся статистике угроз.

Очевидно, что попытка задания типовых настроек механизмов защиты

разработчиком с целью снижения требований к квалификации админист-

ратора безопасности — это не только бессмысленный, но и чрезвычайно

вредный подход, приводящий к урезанию возможностей средств защиты

и к появлению ложной уверенности потребителя в достижении им поло-

жительного эффекта. Единственно правильным подходом является повы-

шение квалификации сотрудников, эксплуатирующих средства защиты. При

этом необходимо понимать, что процесс защиты информации непреры-

вен, равно как непрерывен процесс изменения статистики угроз.

Таким образом, важнейшим условием защищенности компьютерной инфор-

мации является квалификация администраторов безопасности и сотрудни-

ков эксплуатирующих служб, которая, по крайней мере, не должна усту-

пать квалификации злоумышленников. В противном случае не помогут

никакие средства защиты (то же, кстати говоря, относится и к разработ-

чикам средств защиты и защищенных информационных систем).

Автор надеется, что книга будет полезна научным и инженерно-техни-

ческим работникам, занимающимся исследованиями в области защиты

информации и разрабатывающим, как собственно средства защиты ин-

формации (в том числе добавочные), так и информационные системы в

защищенном исполнении. Кроме того, определенный интерес книга пред-

ставляет для сотрудников предприятий, призванных решать задачи обес-

печения информационной безопасности.

Материалы книги могут оказаться полезными для изучения аспиранта-

ми и студентами ВУЗов, ориентированных на подготовку специалистов

в области различных приложений информационных технологий, в пер-

вую очередь, в области защиты информации.

Автор с благодарностью воспримет отзывы, пожелания и предложения.

По возможности ответит на все вопросы, которые могут направляться по

адресу: info@npp-itb.spb.ru.

Компьютерная

безопасность:

современные

требования,

подходы, статистика угроз

Часть I

Требования к защите

компьютерной информации

Анализ защищенности современных

операционных систем

Подходы к проектированию

системы защиты

а в а 1

Требования к защите

компьютерной информации

1.1.

Общие положения

Вопросы защиты от НСД и методика их рассмотрения в книге

Естественным ходом развития информационных технологий явился прин-

ципиальный переход от открытости к защищенности при построении

информационных систем. На сегодняшний день большинство программ-

ных продуктов, применяющихся для построения информационных сис-

тем, обладают встроенными средствами защиты. Это касается не только

ОС, но СУБД и других приложений. Например, взамен протокола IP v4.0,

изначально созданного для реализации единого открытого сетевого про-

странства, предлагается

версия

протокола

IPSec,

содержащая развитые

возможности обеспечения информационной безопасности. Таким обра-

зом, наблюдается общая тенденция усиления роли механизмов защиты в

современных информационных и сетевых технологиях.

Данную тенденцию наглядно иллюстрирует развитие ОС MS Windows.

Можно четко проследить развитие встроенных в ОС механизмов защиты

от Windows 3.1 (где механизмы защиты практически отсутствовали), к

Windows NT (где механизмы защиты интегрированы в ядро ОС) и к

Windows 2000 (где интеграция захватывает и внешние по отношению к

разработчикам технологии защиты, такие как Kerberos,

1Р-тунелирование

и т.д.). То же самое можно сказать и о других семействах ОС. Например,

в ОС FreeBSD в каждой из новых версий появляются новые механизмы

защиты (firewall, nat). Такое же развитие средств защиты касается и при-

кладного программного обеспечения (ПО). В СУБД (Oracle) развитие за-

щитных механизмов выражается в шифровании трафика, усложнении ав-

торизации, добавлении разграничения доступа к элементам таблиц и т.п.

С учетом сказанного возникает ряд вопросов:

1. Достаточно ли встроенных в современные ОС и приложения меха-

низмов защиты для обеспечения гарантированной защиты инфор-

мации от НСД?

Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз

2. В предположении, что встроенных механизмов защиты недостаточ-

но (а с учетом существующей статистики угроз это именно так), то

чем это вызвано? Почему защищенность компьютерной информа-

ции

остается недостаточной, несмотря на устойчивую тенденцию к

усилению встроенных в современные универсальные ОС и прило-

жения механизмов защиты? Каким образом следует усиливать встро-

енные механизмы добавочными средствами защиты?

3. Какие функции должны обеспечивать и какими характеристиками

должны обладать системы встроенной и добавочной защиты, чтобы

обеспечить надежное противодействие попыткам НСД?

4. В предположении, что добавочные механизмы защиты необходи-

мы, каким образом комплексировать (взаимосвязывать) в защища-

емой вычислительной системе встроенные и добавочные механиз-

мы защиты?

Используемые в настоящее время на практике (а, естественно, именно

это нас и будет интересовать) подходы к защите компьютерной инфор-

мации определяются следующим характеристиками:

* формализованными требованиями к набору и параметрам механизмов

защиты, регламентирующими современные требования к обеспече-

нию компьютерной безопасности (требованиями, определяющими что

должно быть);

» реальными механизмами защиты, реализуемыми при защите компью-

терной информации. К таковым относятся прежде всего средства

защиты ОС, т.к. большинство приложений используют встроенные в

ОС механизмы защиты (определяющими, что есть);

« существующей статистикой угроз компьютерной безопасности -- суще-

ствующими успешными атаками на информационные компьютерные

ресурсы (определяющими, насколько эффективно то, что есть и даю-

щими оценку достаточности требований к тому, что должно быть).

С учетом сказанного построим свое изложение и анализ существующих

подходов к защите компьютерной информации

следующим

образом. Для

начала рассмотрим формализованные требования, то есть требования со-

ответствующих нормативных документов, регламентирующих требования

к защите компьютерной информации от несанкционированного досту-

па. Далее рассмотрим механизмы защиты, реализованные в современных

ОС и проанализируем, в какой мере ими выполняются требования соот-

ветствующих нормативных документов.

Такой анализ необходим, чтобы определиться с причиной низкой защи-

щенности компьютерной информации. Если встроенные в современные

ОС механизмы защиты в полной мере соответствуют формализованным

требованиям к ним, то, следовательно, эти требования необходимо уси-

ливать. В противном случае необходимо усиливать механизмы защиты с

целью выполнения соответствующих требований.

Глава

Требования к защите компьютерной информации

Следующим шагом будет рассмотрение и анализ существующей статис-

тики угроз компьютерной информации и определение причины уязви-

мости современных ОС. На основе этого, а также на основе норматив-

ных документов мы определим дополнительные требования к защите

компьютерной информации, которые не выполняются встроенными в ОС

механизмами защиты.

Затем рассмотрим непосредственно методы и механизмы, которые дол-

жны быть реализованы средствами добавочной защиты в дополнение к

встроенным в ОС защитным механизмам. Особое внимание уделим ме-

тодам и механизмам добавочной защиты, позволяющим функционально

расширять встроенные механизмы защиты в предположении возможно-

сти потенциальных (еще не известных из опубликованной статистики)

угроз. Также отдельно будут рассмотрены архитектурные и технические

решения по реализации добавочной защиты.

Классификация требований к системам защиты

В общем случае следует говорить о необходимости учета двух (дополня-

ющих друг друга) групп требований к системе защиты.

Первая группа требований (необходимые требования) заключается в необ-

ходимости реализации системой защиты формализованных мер безопас-

ности (то есть мер, заданных соответствующими нормативными докумен-

тами в области защиты информации).

Формализованные требования к необходимым механизмам защиты ин-

формационных систем, в части их защиты от НСД, сформулированы в

руководящих документах ГОСТЕХКОМИССИИ РОССИИ (для нашей

страны). Для других стран эти требования сформулированы в докумен-

тах соответствующих организаций, например:

* «Оранжевая

книга»

КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМ-

ПЬЮТЕРНЫХ СИСТЕМ Министерства обороны США.

» Согласованные критерии оценки безопасности информационных тех-

нологий, Information Technology Security Evaluation Criteria,

ITSEC,

Европейские страны.

При этом отметим, что данные документы носят общий характер. В них

не в полной мере предусматривается классификация объектов, для кото-

рых должна быть реализована защита. Да наверное, это и невозможно в

рамках одного документа. В частности, эти документы предъявляют еди-

ные требования для всех семейств ОС. И это несмотря на то, что ОС

различных семейств имеют принципиально отличные принципы постро-

ения, а значит, для них различаются и способы НСД.

В указанных руководящих документах не дается рекомендаций по спо-

собам построения и администрирования защищенных систем, то есть не

сказано, как их строить. В этих документах лишь сформулированы тре-

Часть I.

Компьютерная

безопасность: современные требования, подходы, статистика угроз

бования

(что должно быть реализовано) к механизмам защиты инфор-

мации и, отчасти, требования к их количественным характеристикам.

Данный подход к заданию формализованных требований, наверное, в

целом оправдан, т.к. невозможно учесть в нормативных документах все

тонкости построения и проектирования средств

защитьгсложных

инфор-

мационных систем, особенно при существующей динамике их развития.

Далее в работе по понятным причинам будут рассматриваться формализо-

ванные требования, принятые в нашей стране на момент написания книги.

•

1|-.1ЯДМ!*.1!1ИД

Формализованные требования носят основополагающий характер — в том

смысле, что в них формализованы требования к основополагающим меха-

низмам защиты информации. Поэтому их возможное со временем измене-

ние не может быть сколько-нибудь существенным без появления новых науч-

но обоснованных технологий защиты информации. Само же изменение

неизбежно и естественно ввиду меняющейся со временем статистики угроз

информационной безопасности.

Вторая группа требований (дополнительные требования) заключается в

необходимости учета существующей (текущей) статистики угроз для кон-

кретного типа защищаемого объекта, а также потенциально возможных

угроз (на данный момент отсутствующих в опубликованных угрозах, но

гипотетически возможных). Необходимость этой группы требований обус-

ловлена тем, что формализованные требования не могут учитывать все

возможные угрозы объектам всех типов, требующих защиты. Также

формализованные требования не могут соперничать по скорости обнов-

ления со скоростью изменения статистики угроз.

С учетом сказанного может быть сделан вывод о целесообразности рас-

смотрения условий необходимости и достаточности требований к защи-

те информации. Необходимыми являются формализованные требования,

определяемые соответствующими нормативными документами в области

защиты информации. Достаточной является совокупность формализован-

ных и дополнительных требований, формулируемых на основе анализа

текущей статистики угроз защищаемому объекту, а также потенциально

возможных угроз (на данный момент отсутствующих в опубликованных

угрозах, но гипотетически возможных).

Глава

Требования к защите компьютерной информации

1.2. Формализованные требования

к защите информации от НСД.

Общие подходы к построению систем

защиты компьютерной информации

1.2.1. Формализованные требования

к защите и их классификация

Как было сказано ранее, общие подходы в системах защиты целесооб-

разно рассматривать относительно соответствия их принятым формали-

зованным требованиям. Эти требования предъявляются к механизмам

защиты, которые в той или иной мере реализуются современными ОС,

приложениями и добавочными средствами защиты.

Защиту информации от НСД в нашей стране на сегодняшний день регла-

ментируют нормативные документы [1, 2] ГОСТЕХКОМИССИИ РОССИИ:

• Требования к защите средств вычислительной техники (СВТ)

[1],

фор-

мализуют условия защищенности отдельно взятого средства — ОС,

СУБД, приложения.

* Требования к защите автоматизированных систем (АС)

[2],

формализу-

ют условия защищенности объекта с учетом:

• совокупности механизмов защиты, реализуемых установленны-

ми на защищаемом объекте средствами, включая ОС, СУБД

(если есть), приложениями, добавочными механизмами защиты

(если есть);

• дополнительных организационных мер, принимаемых для безо-

пасного функционирования АС.

При этом отметим, что, как правило, приложения используют механизмы

защиты ОС. Что касается СУБД, то механизмы защиты СУБД дополняют

защитные механизмы ОС, так как возникает необходимость защиты до-

полнительных объектов доступа — «таблиц». И действительно, для ОС

защищаемыми файловыми объектами являются: логические диски (тома),

каталоги, файлы. При работе с базами данных сложность обусловлена тем,

что таблицы различных пользователей, к которым должен разграничиваться

доступ, могут находиться в одном файле. Таким образом, получается, что

в общем случае невозможно управлять доступом к базам данных только

механизмами защиты ОС. Однако это относится только к СУБД. Осталь-

ные приложения обычно довольствуются защитными механизмами ОС. То

есть, можно сказать, что, как правило, все механизмы защиты автоматизи-

рованных систем (АС) по умолчанию реализуются собственно ОС.

В общем случае формализованные требования к обеспечению защиты

компьютерной информации от НСД (т.е. к средствам защиты ОС)

зада-

Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз

ются формализованными требованиями к защите средств вычислитель-

ной техники (СВТ) [1J. Однако, в связи с вышесказанным, будем для

оценки эффективности защитных механизмов ОС также использовать

формализованные требования из документа [2], применяемые к автома-

тизированным системам (АС). Это следует делать, потому что именно

защитные механизмы ОС призваны обеспечивать необходимый уровень

защиты автоматизированной системы (АС) в целом.

ЦЦШИШВНИ

Противоречия здесь нет, т.к. требования к СВТ (к которым относится ОС) и

АС формально зависимы по соответствующим классам защиты. Однако тре-

бования к АС несколько расширены по сравнению с требованиями к СВТ.

Требования же к СВТ в большей части детализированы.

Аналогичные рассуждения могут быть проведены и относительно сред-

ства добавочной защиты. При этом, во-первых, оно может рассматривать-

ся как отдельное СВТ, выполняющее формализованные требования до-

кумента [1]. В этом случае встроенные в ОС механизмы защиты не

должны рассматриваться. А во-вторых, оно может рассматриваться как

средство в составе АС (наряду с механизмами ОС, дополняя их). В этом

случае встроенные в ОС и добавочные механизмы защиты должны в со-

вокупности выполнять формализованные требования документа [2]. Кроме

того, для определенных классов защиты встроенные механизмы защиты

должны быть сертифицированы.

Рассмотрим формализованные требования к защите компьютерной ин-

формации АС в соответствии с документом [2]. При этом будем рассмат-

ривать первую группу АС (в соответствии с используемой в [2] класси-

фикацией), как включающую в себя наиболее распространенные

многопользовательские АС, в которых одновременно обрабатывается и/или

хранится информация разных уровней конфиденциальности. Причем не

все пользователи имеют право доступа ко всей информации АС.

Первая группа АС содержит пять классов — 1Д,

1Г,

1В, 1Б и

1А.

Деление

АС на соответствующие классы по условиям их функционирования с точки

зрения защиты информации необходимо в целях разработки и применения

обоснованных мер по достижению требуемого уровня защиты. Дифферен-

циация подхода к выбору методов и средств защиты определяется важнос-

тью обрабатываемой информации, а также различием АС по своему соста-

ву, структуре, способам обработки информации, количественному и

качественному составу пользователей и обслуживающего персонала [2].

Требования к АС первой группы сведены в табл. 1.1. При этом исполь-

зуются следующие обозначения:

—

нет требований к данному классу;

есть требования к данному классу.

Глава

Требования к защите компьютерной информации

формализованные требования к защите информации от НСД

Таблица 1.1

Подсистемы и требования

Подсистема управления доступом

1.1.

Идентификация, проверка подлинности и контроль

доступа субъектов:

• в систему

• к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи,

внешним устройствам ЭВМ

• к программам

• к томам, каталогам, файлам, записям, полям записей

1.2. Управление потоками информации

2. Подсистема регистрации и учета

2.1.

Регистрация и учет:

• входа (выхода) субъектов доступа в (из) систему (узел сети)

« выдачи печатных (графических) выходных документов

• запуска (завершения) программ и процессов (заданий, задач)

• доступа программ субъектов

доступа*

защищаемым файлам,

включая их создание, удаление, передачу по линиям и

каналам связи

• доступа программ субъектов доступа к терминалам, ЭВМ ,

узлам сети ЭВМ, программам, томам, каталогам, файлам,

записям,

полям

записей

• изменения полномочий субъектов доступа

• создаваемых защищаемых объектов доступа

2.2. Учет носителей информации

2.3. Очистка (обнуление, обезличивание) освобождаемых

областей оперативной памяти ЭВМ и внешних накопителей

2.4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации

3.2. Шифрование информации,

прингдоежащей

различным

субъектам доступа (группам субъектов) на разных ключах

3.3. Использование аттестованных (сертифицированных)

криптографических средств

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств

и обрабатываемой информации

4.2. Физическая охрана средств вычислительной техники

и носителей информации

4.3. Наличие администратора (службы) защиты информации в АС

4.4. Периодическое тестирование СЗИ НСД

4.5. Наличие средств

восстановления

СЗИ НСД

4.6. Использование сертифицированных средств защиты

Классы

1Д

- ;

1Г

1В

;

1Б

1А

Как видим, рассматриваемыми требованиями выделяются следующие ос-

новные группы механизмов защиты:

» механизмы управления доступом;

механизмы регистрации и учета;

* механизмы криптографической защиты;

* механизмы контроля целостности.

Отметим, что первая группа «Подсистема управления доступом» являет-

ся основополагающей для реализации защиты от НСД, т.к. именно ме-

ханизмы защиты данной группы призваны непосредственно противодей-

ствовать несанкционированному доступу к компьютерной информации.

Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз

Остальные же группы механизмов реализуются в предположении,

что

механизмы защиты первой группы могут быть преодолены злоумышлен-

ником. В частности они могут использоваться:

* для контроля действий пользователя — группа «Подсистема регистра-

ции

и учета»;

« для противодействия возможности прочтения похищенной информа-

ции (например, значений паролей и данных) — группа «Криптогра-

фическая подсистема»;

* для контроля осуществленных злоумышленником изменений защи-

щаемых объектов (исполняемых файлов и файлов данных) при осу-

ществлении к ним НСД и для восстановления защищаемой информа-

ции из резервных копий • • группа «Подсистема обеспечения

целостности».

Кроме того, эти группы механизмов могут использоваться для проведе-

ния расследования по факту НСД.

Рассмотрим более подробно требования различных групп (согласно

[2]),

а также соответсвующие им основные подходы к защите компьютерной

информации, реализуемые на сегодняшний день на практике. При этом

имеет смысл остановиться лишь на двух классах:

* 1Г, задающим необходимые (минимальные) требования для обработ-

ки конфиденциальной информации;

1В, задающим необходимые (минимальные) требования для обработ-

ки информации, являющейся собственностью государства и отнесен-

ной к категории секретной.

1.2.2. Требования к защите

конфиденциальной информации

Подсистема управления доступом должна удовлетворять следующим тре-

бованиям:

Идентифицировать и проверять подлинность субъектов доступа при

входе в систему. Причем это должно осуществляться по идентифи-

катору (коду) и паролю условно-постоянного действия

длиной

не

менее шести буквенно-цифровых символов.

2. Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, ка-

налы связи, внешние устройства ЭВМ по их логическим адресам

(номерам).

3. По именам идентифицировать программы, тома, каталоги, файлы,

записи и поля записей.

4. Осуществлять контроль доступа субъектов к защищаемым ресурсам

в соответствии с матрицей доступа.