Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа

Подождите немного. Документ загружается.

Глава 22. Метод контроля вскрытия аппаратуры

2.2.1. Размыкатель 3.5 устанавливается в компьютере таким образом, что

при снятии крышки компьютера он размыкается. Об этом через блок

2.1.2

уведомляется устройство управления 2.4, которое посредством блока

2.1.1

размыкает информационный канал, отключая опасный компьютер от сети.

Одновременно устройство управления 2.4 через блок 2.3 передает инфор-

мацию администратору безопасности 5 об отключении компьютера от

сети. Подключение компьютера заново возможно при замыкании конту-

ра блоком 3.5 (крышка корпуса установлена) по команде от админист-

ратора 5. Сигнал подключения информационного канала — возвращение

в исходное состояние — формируется устройством управления 2.4).

При объектовой защите (двери, дверцы сейфов и т.д.) отсутствует инфор-

мационный канал и размыкание (а также замыкание) контура блоком 4

через блок 2.2.1 фиксируется блоком 2.4, о чем уведомляется админист-

ратор безопасности 5.

Таким образом, с использованием рассмотренного механизма защиты обес-

печивается возможность не только контроля вскрытия аппаратуры защи-

щаемых объектов, но и автоматической реакции на факт данной угрозы -

опасный объект (объект, на котором зарегистрирован факт вскрытия ап-

паратуры) автоматически отключается от сети, благодаря чему с него не

может быть осуществлен удаленный доступ к сетевым ресурсам ЛВС.

Кроме того, реализация данного метода в системе защиты предотвраща-

ет возможность несанкционированного подключения к сетевому ресурсу

(hub) незащищенного компьютера (например, подключение к каналу hub

вместо санкционированного защищенного компьютера переносного ком-

пьютера с целью осуществления атаки на сетевые ресурсы).

22.3. Принципы комплексирования

средств защиты информации

22.3.1. Комплексирование механизмов защиты

информации от НСД

При использовании рассмотренных в данной главе методов защиты может

быть построена комплексная система защиты, в которой обеспечивается ре-

ализация информационной безопасности защищаемых объектов на всех фун-

кциональных уровнях защиты. Это проиллюстрировано на рис. 22.5. Естествен-

но, некоторые уровни могут не реализовываться — при этом взамен их должны

выполняться соответствующей организационные мероприятия.

Каждая компонента рассчитана на защиту определенного набора возмож-

ных каналов НСД. Таким образом, программная, аппаратная компоненты

361

Часть VI. Применение средств аппаратной защиты

Программная

компонента

защиты

Аппаратная

компонента,

ко

нтрол

ру

щая

программную

компоненту

Система контроля

вскрытия

аппаратуры,

ко

нтрол

ру

ющая

аппаратную

компоненту

Рис. 22.5. Принципы

комплексирования

механизмов защиты

защиты и система контроля вскрытия аппаратуры в совокупности (при со-

вместном использовании в системе защиты) представляют собой замкнутую

многоуровневую систему защиты, схематично изображенную на рис 22.5.

В комплексной системе защиты информации реализуется иерархия мо-

ниторинга (контроля) корректности функционирования механизмов за-

щиты, представленная на рис. 22.6.

Механизмы защиты, обеспечивающие реализацию разграничительной

политики доступа к ресурсам

Программный мониторинг корректности функционирования механизмов

защиты (контроль выполнения механизмами своих функций)

Аппаратный мониторинг активности программной компоненты системы защиты

(контроль возможности выполнения механизмами защиты своих функций)

Аппаратный сетевой (СКВА) мониторинг

активности

локальной

аппаратной компоненты системы защиты (контроль возможности

локальной аппаратной компоненты осуществлять функции мониторинга)

Рис. 22.6. Иерархия мониторинга (контроля) корректности

функционирования механизмов защиты в комплексной системе защиты

362

Глава 22. Метод контроля вскрытия аппаратуры

22.3.2. Комплексирование в одной системе

механизмов технической и объектовой защиты

информации с единым сервером безопасности

При рассмотрении СКВА отмечалось, что контролируемыми объектами

могут служить не только замкнутость корпусов защищаемых объектов, но

и другие компоненты объектовой защиты — двери в помещение, сейфы

и т.д. Таким образом, появляется возможность комплексирования в еди-

ной системе защиты (с единым выделенным сервером безопасности, со-

ответственно с возможностью комплексирования регистрационной инфор-

мации в едином интерфейсном модуле) средств технической и объектовой

защиты. Причем принципиальным отличием описываемого подхода яв-

ляется то, что комплексирование осуществляется на технических сред-

ствах существующей ЛВС. При этом не требуется установка дополнитель-

ного коммуникационного оборудования. Как следствие, можно избежать

принципиального увеличения кабельного хозяйства предприятия.

Общий анализ проблемы автоматизации систем управления доступом

показывает, что для контроля над состоянием дверей может быть исполь-

зована система контроля вскрытия аппаратуры. Для этого вместо

того,

чтобы устанавливать конечное оборудования с переключателем на сис-

темный блок, такое же оборудование можно установить на дверь. В этом

случае открытие и закрытие двери будет регистрироваться сервером бе-

зопасности, что проиллюстрировано

рис.

"22Л.

Если в качестве конечного оборудования использовать не датчики (пере-

ключатели), имеющие только два положения «открыто/закрыто», а более

интеллектуальное оборудование, например, электронные идентификаторы,

Датчик положения двери

К СКВА

Рис.

22.7.

Установка датчиков вскрытия дверей при построении

автоматизированной системы контроля доступа

363

Часть VI. Применение средств аппаратной защиты

то с помощью системы контроля вскрытия аппаратуры можно построить

систему контроля доступа в помещение, как показано на рис. 22.8.

В рамках показанной на рис. 22.8, схемы всем сотрудникам

компании,

которой установлена система контроля доступа, выдаются специальные

электронные пропуска, например, «Touch Memory», представляющие

собой электронный идентификатор в виде «таблетки», который содержит

персональные коды доступа.

Устройство сбора

сигналов

с датчиков

Электромеханический

замок со считывателями

электронных

идентификаторов с

датчиком положения

двери

Сервер

администратора

безопасности

Рис. 22.8. Применение

СКВА

для построения

системы контроля доступа в помещения

Считыватели, устанавливаемые у входа в контролируемое помещение,

распознают код идентификаторов. Информация поступает в систему кон-

троля доступа (сервер администратора безопасности) через устройство

сбора сигналов с датчиков, такое же, как в системе контроля вскрытия

аппаратуры.

364

Глава 22. Метод контроля вскрытия аппаратуры

Сервер администратора безопасности на основании анализа данных о вла-

дельце идентификатора, принимает решение о допуске или запрете про-

хода сотрудника на охраняемую территорию. В случае разрешения досту-

па, система приводит в действие исполнительные устройства, такие как

электрозамки, шлагбаумы, электроприводы ворот и т.п. В противном слу-

чае двери блокируются, включается сигнализация и оповещается охрана.

Дополнительно, с помощью СКВА [14, 15] можно реализовать такие тех-

нические решения, как:

* система охраны;

оснащение проходной;

система учета посетителей;

» система защиты от краж оборудования;

» система пожарной безопасности.

Таким образом, можем сделать вывод, что рассмотренный подход позво-

ляет комплексировать различные (имеющие различное функциональное

назначение) системы объектовой защиты с системой технической безо-

пасности, реализующей защиту компьютеров и ЛВС от НСД. Причем все

это в одной технической системе, на одном коммуникационном обору-

довании, с единым сервером безопасности.

365

Дополнительные

вопросы защиты от НСД

Часть VII

Антивирусная защита

Межсетевое экранирование

Вместо заключения.

Политика информационной

безопасности предприятия. Общий

подход к выбору технического

средства защиты компьютерной

информации предприятия

глава 23

Антивирусная защита

Сразу оговоримся, что задача антивирусной защиты — это весьма само-

стоятельная задача в области защиты информации. Поэтому в данной книге

мы не будем проводить сколько-нибудь серьезного исследования пробле-

мы. Вместе с тем, кратко покажем, какие существенные возможности ан-

тивирусного противодействия предоставляют рассмотренные нами расши-

ренные возможности механизмов управления доступом к ресурсам.

23.1.

Общепринятый подход

к антивирусной защите и его недостатки

Отметим, что доминирующим на сегодняшний день подходом к антиви-

русной защите является создание средств выявления вирусов по опреде-

ленным признакам с последующим их удалением из системы. Такому

подходу присущи два принципиальных недостатка:

» Чтобы выявить вирус в системе, необходимо однозначно определить его

классификационные признаки, в частности определить сигнатуру. Други-

ми словами, выявление вируса и, соответственно, осуществление антиви-

русного противодействие возможно только после его «опубликования»,

т.е. уже после осуществления вирусной атаки. С учетом необходимого

времени на определение формализованных признаков вируса, а также на

обновление вирусных баз, противодействие вирусу в общем случае осуще-

ствляется уже после нанесения ущерба вирусной атакой. При этом заме-

тим, что эти базы, как правило, обновляются синхронно, т.е. их обновле-

ние по умолчанию задается временным интервалом.

» Так как интенсивность появления новых вирусов сегодня весьма вы-

сока, с большой скоростью возрастают и базы данных формальных

признаков вирусов. Это, в свою очередь, естественно, приводит к

возрастанию нагрузки антивирусных средств защиты на вычислитель-

ный ресурс защищаемого компьютера.

367

Часть VII. Специальные вопросы защиты от НСД

Таким образом, можем сделать вывод относительно

того,

что широко

используемый на сегодняшний день подход к антивирусной защите трудно

признать сколько-нибудь оправданным. При этом основными проблемами

его применения является невозможность противодействия неизвестной

вирусной атаке и значительное влияние системы защиты на загрузку вы-

числительного ресурса.

IH'Jili'ii'iiNiliJul

Сколько-нибудь серьезного исследования влияния данных механизмов на

производительность вычислительной системы автором не проводилось. Од-

нако из практического опыта использования антивирусных средств

можно

заключить,

что данное влияние заметно даже «на глаз», т.е. речь идет не об

единицах процентов.

23.2. Использование расширенных

возможностей механизмов управления

доступом к ресурсам в решении задач

антивирусного противодействия

Общие положения. Анализ современных ОС

на предмет противостояния вирусным атакам

Чтобы рассмотреть возможность использования в системах антивирусной

защиты рассмотренных выше методов защиты информации от НСД, преж-

де всего, попытаемся сформулировать основную цель вирусной атаки (не

способ, их может быть множество). Естественно, что основной целью

является удаленное -- без непосредственного контакта с защищаемым

компьютером -- совершение какого-либо действия. Но действие, кото-

рое можно осуществить на компьютере, напрямую связано с запуском

какой-либо программы (процесса). Таким

образом,

в основу антивирус-

ного противодействия может быть положен механизм обеспечения замк-

нутости программной среды, призванный противодействовать несанкци-

онированным действиям (запуску несанкционированных программ).

Как отмечалось, попытка несанкционированно осуществить действие

(запустить программу) может быть как явной, так и скрытой.

Под явной мы понимаем внедрение на компьютер и запуск какой-либо

программы, которая может быть идентифицирована. Таким образом, если

добавочной защитой определен круг программ, которые разрешено за-

пускать на компьютере, то вирусная атака, включающая все троянские и

иные программы, будет полностью ликвидирована. При этом на компь-

ютер данные программы смогут попадать, но не смогут быть там запу-

щены. Заметим, что данный вывод делаем в предположении корректной

реализации соответствующей модели управления доступом. В рамках этой

368

Глава 23. Антивирусная защита

модели должны быть реализованы: защита доступа к системному диску,

возможность задания разграничений для системных процессов и процес-

сов, запускаемых с правами «root» и т.д., т.е. при управлении доступом к

ресурсам должна быть реализована возможность разграничить права до-

ступа для субъекта процесс.

Скрытые угрозы связаны с желанием разработчиков (прежде всего это

относится к Microsoft) добиться максимальной универсальности и откры-

тости технологий. Это приводит к реализации приложений с собствен-

ным встроенным в приложение интерпретатором команд, т.е. приложе-

ний, имеющих свои собственные средства программирования.

Усложнение задачи обеспечения замкнутости программной среды здесь

состоит в том, что в качестве контролируемого процесса идентифициру-

ется собственно приложение (интерпретатор команд). При этом скрыто

все то, что непосредственно запрограммировано и выполняется при за-

пуске интерпретатора. Самый распространенный пример — макросы в

офисных приложениях.

Откажись разработчики приложений от возможности создания макросов,

или обеспечь возможность идентификации макроса, по крайней мере,

выдели интерпретатор команд как отдельный процесс, и проблема анти-

вирусной защиты была бы практически полностью решена механизмом

обеспечения замкнутости программной среды. На сегодняшний момент

можно лишь локализовать воздействия вирусов. И то это можно сделать

лишь средсвами добавочной защиты.

Кроме офисных приложений для ОС Windows, это относится также к вир-

туальным машинам JVM, также являющимся интерпретаторами команд,

например, виртуальная машина JAVA. He пользуйтесь виртуальными ма-

шинами и офисными приложениями Microsoft, и при реализации механизма

обеспечения замкнутости программной среды вы практически забудете о

вирусах. Не случайно, что статистика вирусных атак на ОС семейства UNIX

на порядки меньше, чем на ОС семейства Windows.

Уместным будет здесь будет высказать удивление по поводу того, что,

создавая защищенные приложения (системы электронного документоо-

борота, защищенную «почтовую» связь и т.д.), отечественные разработ-

чики иногда используют офисные приложения Microsoft, хотя известны

аналогичные приложения, не позволяющие создавать макросы, т.е. ре-

шая одну проблему защиты информации, привносят тем самым другую

проблему — проблему противодействия вирусным атакам.

Вирусные атаки

Вообще говоря, на взгляд автора, куда менее затратным было бы создать

офисные приложения, не подверженные вирусным атакам, чем «всем

миром» бороться с макросами.

369

Часть VII. Специальные вопросы защиты от НСД

Однако будем рассматривать проблему антивирусного противодействия

в общем случае -- при наличии виртуальных машин и встроенных ин-

терпретаторов команд офисных приложений. В общем случае можно

выделить два класса атак, реализуемых на основе их свойств:

* это атаки, целью которых является совершение каких-либо действий

(в общем случае нам неизвестных),

* атаки, реализуемые с целью распространения вируса, как внутри за-

щищаемого компьютера, так и вне его — по сети.

Рассмотрим первый класс атак, которые более критичны с точки зрения НСД

к информации. Успешно противодействовать данным атакам можно сред-

ствами разграничения прав доступа для субъекта «процесс». При этом про-

цессу, содержащему встроенные возможности программирования, например,

процессу winword.exe следует разрешить доступ только к каталогам (фай-

лам) данных пользователя. Тогда любая скрытая атака сможет быть прове-

дена только на каталоги и файлы с данными, т.е. непосредственно компь-

ютер (с системной точки зрения, а не с точки зрения данных пользователей)

с использованием рассмотренных подходов может быть надежно защищен.

Таким образом производится локализация области действия вируса. Атака

здесь представляет собою программу, выполненную в виде макроса и со-

держащуюся в документе. Эта программа запускается при чтении данного

документа интерпретатором команд, в данном случае процессом winword.exe.

Защита же непосредственно данных пользователя напрямую связана с

противодействием распространению вируса на защищаемом компьюте-

ре. В простейшем случае, здесь можно использовать рассмотренные ме-

ханизмы управления доступом. Так, если установить права доступа к

пользовательским данным одновременно пользователю и процессу, то

данные одного пользователя не смогут «заразить» данные другого пользо-

вателя (т.е. локализация распространения вирусов осуществляется на

уровне пользователей).

Динамическое управление доступом пользователей к ресурсам

Для усиления

.локализации

возможности распространения вируса может

применяться модель динамического управления доступом пользователей

к ресурсам из приложения. Суть этой модели состоит в следующем.

Рассмотрим работу пользователя с приложением, предназначенным для

обработки данных, например с текстовым редактором, и проиллюстри-

руем идею динамического управления доступом из приложения соответ-

ствующим алгоритмом.

1. В исходном состоянии пользователю должен быть разрешен доступ

«на чтение» ко всем своим данным (нет основания задать какие-

либо иные разграничения). Данные разграничения остаются неиз-

370