Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности
Подождите немного. Документ загружается.
61
– контроль доступа к сетевому трафику;
– установление эффективных средств идентификации и аутентификации для
каждого участника, будь то физическое лицо или логический объект, а также
для каждого компонента сети;
– контроль доступа к сетевым ресурсам (включая центры регистрации и уче-
та, коммуникационные контроллеры, входные устройства и различные серве-
ры), физический и логический, как из центральных доменов, жестко связан-
ных или напрямую подключенных устройств, так из удаленных пунктов, по
телефону или через межсетевые соединения;
– контроль распространения информации с целью предотвращения ее не-
санкционированного распределения или утечки к неавторизованным сетевым
станциям или пользователям.
К защищенным системам относятся такие аппаратные и программные
средства, которые разработаны с учетом требований безопасности обработки
информации, содержащихся в соответствующих государственных документах
и обладают проверенными в ходе сертификационных испытаний ФСТЭК
России защитными свойствами. Установлено девять классов защищенности
автоматизированных систем от НСД, распределенных по трем группам.
В табл. 3 показаны возможные случаи риска, а также элементы безо-
пасности, применяющиеся по отношению к каждому случаю. Другие вопро-
сы безопасности отражены в таблицах 6-8 в приложении Б.
В модели сетевой безопасности связь между различными элементами
безопасности выражается математически:
(
)
2121
CCAPPfS ⋅⋅⋅⋅= , (1)
где S – полная безопасность системы, P
1
– физическая безопасность, P
2
– пер-
сональная безопасность (доверие и сознательность), A – административный
контроль, C
1
– безопасность при передаче данных, C
2
– безопасность компь-
ютерной обработки данных. Каждый элемент может изменяться в интервале
от 0 (потеря безопасности) до 1 (полная безопасность). Использование фор-
мул «нечеткой логики» для вычисления эффективности каждого элемента в
производственной ситуации может обеспечить форму оценки риска для сети.
Очень хорошая защита находится в интервале от 0,8 до 0,9, в то время как
62
значение меньшее, чем 0,3, должно внушать тревогу. Такая оценка может
оказаться полезной в этом случае.
Таблица 3
Угрозы безопасности и меры, применяемые в каждом случае
Риск
Применяемые элементы безопасности
Физические Технические
Организаци-
онные
Неавторизованный доступ к
информации на сетевых
файлах
Защищенные
файл-серверы
Система контроля дос-
тупа; шифрование вхо-
да в сеть
Процесс
авторизации
Прослушивание с помощью:
1) физического подключе-
ния;
2) регистрации уровня излу-
чения
1)защищенные
файл-серверы
2)экранирование
терминальных
устройств
Шифрование
Работа с файлом:
1) неавторизованная;
2) авторизованная, но не-
достаточно
1) контроль доступа к
файлу;
2) гранулированность
контроля входа в сеть
Несанкционированное
распределение информа-
ции
Программные ограни-
чения, связанные с
метками конфиденци-
альности
Административ-
ный контроль за
использованием
списков рассыл-
ки
Несанкционированное ис-
пользование привилегиро-
ванного доступа
Защищенные
сетевые устрой-
ства
Гранулированность
контроля входа в сеть.
Ограничение
привилегий
Физическое нападение на
сетевые компоненты
Защищенные
сетевые устрой-
ства
5.3. Детали реализации
5.3.1. Контролируемый доступ к информационным системам
В соответствии с Федеральным законом от 27 июля 2006 года № 149-
ФЗ «Об информации, информационных технологиях и защите информации»
информационная система – совокупность содержащейся в базах данных ин-
63
формации и обеспечивающих ее обработку информационных технологий и
технических средств. Контроль доступа к информационным файлам является
центральной проблемой безопасности. Не следует всерьез надеяться, что все
нежелательные или неавторизованные лица будут находиться за пределами
инфраструктуры сети, хотя бы потому, что существует слишком много со-
единений с неконтролируемыми средами (такими как коммутаторы линий
связи, другие сети и телефонные линии). Существенной мерой безопасности
является детальный контроль пункта, где имеется информация. Контроль
доступа к файлам означает, что система безопасности способна аутентифи-
цировать пользователей, после чего определить, какие элементы информа-
ции каждый аутентифицированный пользователь авторизован получить. Та-
кая система предполагает, что обладатель информации принял решение от-
носительно ценности информации и способен указать, кто может видеть ин-
формацию или работать с ней. Здесь указано на то, что безопасность инфор-
мации является частью общего процесса, называемого управление информа-
ционными ресурсами.
Доступ к файлам обычно контролируется через профиль пользователя,
который описывает индивидуального пользователя в терминах прав, связан-
ных с его работой. Когда пользователь подтверждает контролирующей сис-
теме требуемую идентичность, используя опознавательный знак (например,
пароль или физический идентификатор, такой как отпечаток пальца или пла-
стиковую карту), система определяет права доступа пользователя к инфор-
мации, обращаясь к имеющейся таблице прав доступа. Вторым способом яв-
ляется обеспечение каждого пользователя паролем или другими средствами,
позволяющими получить доступ к его файлу. Этот подход имеет ряд недос-
татков и редко используется за пределами персональных вычислительных
систем, где отдельные лица могут иметь пароли для защиты личных файлов.
В настоящее время ряд аутентификационных систем, разработанных
для сетевого применения, обеспечивает защищенный интерфейс для универ-
сальных компьютеров. В них пользователь обычно имеет пластиковую карту
или генератор сигнала, который подтверждает сигнал от подключаемого
процессора на центральном узле. Такие системы позволяют координировать
профиль пользователя на центральном процессоре с процессом индивиду-
альной сетевой аутентификации.
64
Порядок действий:
1. Понимать процесс аутентификации пользователей, предлагаемый изгото-
вителем ЛВС, используемой на предприятии; большинство систем безопас-
ности позволяет иметь некоторую свободу применения. Выбрать метод, ко-
торый наилучшим образом подходит к деятельности предприятия и ценности
информации, но дает уверенность в наличии сетевого контроля.
2. Требовать от каждого пользователя наличия уникального персонального
идентификатора. Не позволять пользователям совместно использовать аутен-
тификационные знаки ни при каких обстоятельствах. Помните, это важно для
установления ответственности, если предприятие желает сохранять контроль
над сетевыми ресурсами (см. ниже: установление эффективной идентифика-
ции и аутентификации).
5.3.2. Контролируемая активность на файловом уровне
После подключения пользователь может быть ограничен в своей дея-
тельности. Эти ограничения связаны с той работой, которая разрешена поль-
зователю. Например, инспектор отдела кадров может иметь доступ к ведомо-
сти по зарплате в определенном узле сети, но не может изменять значений
выплат. Этот вид контроля основывается на правах, таких, как только чтение,
перемещение, изменение и так далее, обычно устанавливаемых как часть
файлового контроля и включаемых персональным идентификатором пользо-
вателя.
По сравнению с работой пользователя за одним компьютером, такие
ограничения деятельности в среде ЛВС приобретают критическое значение,
так как существует большая потенциальная возможность того, что неавтори-
зованная сторона окажется способной найти путь к файлу.
Порядок действий:
1. Убедиться, что владелец данных для каждого файла установил права дея-
тельности каждого пользователя или класса пользователей, имеющих автори-
зованный доступ. Это особенно важно, если информация имеет большую
ценность.
2. Убедиться, что привилегии авторизованной деятельности соответствуют
текущим производственным потребностям. Одним из способов является пе-
65
риодическое получение от владельца данных сигнала об окончании привиле-
гий. Это следует делать, по меньшей мере, один раз в год для каждого файл-
сервера ЛВС.
5.3.3. Контролируемая активность на уровне записей
Внутри файла, записанного на диске файл-сервера ЛВС, можно найти
различные наборы записей. Запись – совокупность данных. Обычно записи
хранятся как базы или документы. Базовая запись – документ, который свя-
зан с бумажным документом. Она может иметь одну или несколько страниц
данных, размещаемых как текст, таблицы, графика или их комбинация. Один
или большее количество документов могут быть сохранены в файле базы
данных.
Для минимальных целей защиты следует ограничить доступ к секциям
файла, подобно тому, как это делается в физическом процессе работы над
письменным документом. Желательно, с учетом компьютерной мощности,
чтобы можно было также определять разрешение при обращении к вложен-
ным разделам и записям. Таким образом, логический носитель файлов мог
бы быть открытым для общего доступа, но, устанавливая ограничения, ос-
нованные на аутентификации пользователя, можно было бы отвергать доступ
к отдельным записям или документам. Во многих случаях это весьма жела-
тельно. Рассмотрим случай юридической фирмы или отдела кадров, где
предполагается, что только специальные люди видят конкретные докумен-
ты. Способность ограничивать доступ на уровне, более низком, чем файл –
дополнительная защита.
5.3.4. Контролируемый доступ к сетевому трафику
Для очень важной или секретной информации, необходимо, чтобы слу-
чайные наблюдатели или подключающиеся нарушители не были бы способ-
ны наблюдать сетевой трафик. В некоторых случаях, информационная сек-
ретность может быть нарушена с помощью анализа сетевого трафика. Харак-
тер потока сообщений в сети может открыть объем производственных опера-
ций между отдельными пользователями, часы пиковой нагрузки, переводы
66
платежей и т.д. без фактического знания содержания сообщений. Когда ин-
формация с высоким значением передается по сети, наблюдатель может по-
лучать важные данные, только контролируя трафик передачи.
В случаях, когда сетевой трафик должен быть защищен, шифрование
является единственным эффективным средством защиты. Шифрованная ин-
формация – поток данных, который кодируется посредством прохождения
через сложный алгоритм, производящий неповторяющийся шифр. Шифрова-
ние обычно выполняется автоматически компьютерными аппаратными про-
цессами. В некоторых случаях, шифрование может вызываться как постав-
ляемая сервисная программа.
Сегодня ряд систем шифрования основан на алгоритме шифрования
данных AES (Rijndael). Более перспективная методика для сетевых приложе-
ний - система шифрования с открытыми ключами. Криптосистема с откры-
тым ключом использует свойства больших простых чисел, чтобы позволить
каждому пользователю ввести ключ, затем расшифровать или декодировать
входящие сообщения, используя второй, секретный ключ. Среди преиму-
ществ такой системы – способность подписать сообщение (т.е. доказать
идентичность автора или подлинность текста) и устранение обременительных
требований по распределению ключей.
Порядок действий:
1. Понимать процесс шифрования, доступный на вашей локальной вычис-
лительной сети, или установить программное обеспечение или оборудование
для шифрования.
2. Определить важные/рискованные операции сетей предприятия. Экономно
применять шифрование в нужном случае. Случайное важное производствен-
ное сообщение может считаться в безопасности, если оно смешано с другим
трафиком, но если важные сообщения часто встречаются в данном звене се-
ти, то шифруют это звено.
5.3.5. Установление эффективной идентификации и аутентификации
67
Эффективное управление информацией требует, чтобы можно было бы
идентифицировать каждый сетевой объект, к которому можно обращаться
или на котором можно обрабатывать информацию. Объекты могут быть
людьми или сетевыми средствами, такими как файл-серверы, принтеры и
центральные процессоры. Идентификация состоит из уникального имени или
кода для каждого объекта. Для людей это могло бы быть реальным именем,
псевдонимом, табельным номером сотрудника или любой другой уникальной
формой. Для других объектов, идентификатор может быть назначенным име-
нем или кодом. Важное требование, чтобы каждый идентификатор был уни-
кальным. Это создает проблемы в большом производстве с сотнями соеди-
ненных рабочих станций и десятками серверов баз данных. Многие реальные
или назначенные имена или коды оказываются слишком избыточными.
Должен быть другой способ.
Решение заключается в использовании идентификаторов, в которых
применяется иерархический подход, и которые связаны с конкретным под-
разделением. Рассмотрим сетевое имя, которое состоит из трех частей: объ-
ект, подразделение (или другой организационный уровень) и страна. Имя
пользователя могло бы быть следующим "Иван Кузне-
цов/Производство/Россия". Конечно, части можно сократить: ИКузне-
цов/Произв/Ро, при отсутствии дублирования сокращения для другого под-
разделения или страны. Следует обратить внимание, что данная проблема
является более сложной, чем традиционный идентификатор, используемый
для доступа к одиночному, автономному компьютеру. С потенциалом для
10000 имен и 1000 положений, и с возможным наличием нескольких И. Куз-
нецовых, гарантия уникальных идентификаторов требует планирования. Тот
же самый подход может использоваться для других объектов – например, при
использовании той же самой организации и страны: "Принт-
сервер_2/Производство/Россия" или, ПС2/Произв/Ро. Этот тип идентифика-
тора напоминает схему адресации в сети и позволяет провести быстрый, эф-
фективный поиск и идентификацию.
Аутентификация относится к доказательству требуемого тождества.
Хотя пароль – наиболее типичный опознавательный знак, он имеет много
слабостей. Более достоверная аутентификация включает использование фи-
зических характеристик или биометрических данных, таких как отпечатки
68
пальцев, голос, сканирование сетчатки – которые не могут быть изменены и,
с достоверностью, уникальны. Лучшими являются также системы «запрос-
ответ», которые основаны на знании пользователем процедуры доступа, и
физические опознавательные знаки, такие как карманные генераторы кода,
которые скоординированы с центром безопасности сети.
Использование знаков аутентификации (токенов), отличных от паролей
или в добавление к ним, вовлекает дополнительные компоненты системы,
обычно сочетающие программное обеспечение и аппаратные средства, чтобы
обеспечить взаимодействие опознавательного средства и системы. Генератор
паролей отвечает на сигнал от терминального устройства, генерируемый цен-
тральным процессором, и обеспечивает доступ к клавиатуре. Очевидно, что
система должна использовать команды или дополнительные схемы для обес-
печения необходимого сервиса. Из-за стоимости (и потому что производите-
ли до сих пор не обеспечивают встроенную безопасность) большинство сете-
вых систем продолжают использовать парольную аутентификацию.
При использовании паролей, следует убедить пользователей хорошо
соблюдать дисциплину. Сегодня почти все неавторизованные проникновения
в сетевые компьютерные системы происходят от небрежности в проектиро-
вании или реализации системы, включая ошибки пользователей или пренеб-
режение парольной дисциплиной. Для разумной эффективности, пароли
должны состоять не менее чем из шести символов, не быть легко угадывае-
мыми, но относящимися к пользователю, и изменяться не реже, чем каждые
90 дней. Чем длиннее пароль, тем больше сложностей предполагаемый зло-
умышленник имеет при его получении с помощью угадывания или вычисле-
ния.
Конструкция пароля оказывает прямое воздействие на безопасное вре-
мя, или время, в течение которого пользователь может ощущать безопасность
от перехватчика, который пытается угадать (или вычислить пароль). В каче-
стве примера можно утверждать, что увеличение длины пароля только на
один символ заметно увеличивает безопасное время: если ожидаемое безо-
пасное время для трехсимвольного пароля составляет около трех месяцев,
безопасное время для пароля из четырех символов составляет семьдесят во-
семь месяцев.
69
Так же важна форма пароля. Пользователь должен быть в состоянии с
определенностью его помнить (и не испытывать неудобств, вынуждающих
его записывать), но он также должен быть очень сложным для угадывания
другими. Телефонный номер школьной подруги или название улицы – при-
меры правильных форм.
5.3.6. Контролируемый доступ к сетевой инфраструктуре
До сих пор обсуждался логический или электронный доступ к системе,
но следует также заботиться о безопасности со стороны физического доступа
к инфраструктуре сети. Она включает центры связи, центры данных, сетевые
серверы и коммуникационные свитчи. Все ресурсы ЛВС должны считаться
привилегированными; т.е. как общее правило, случайные пользователи не
должны получать разрешение на доступ или манипуляцию серверами ЛВС.
Эффективный физический контроль доступа в офисе является минимальным
требованием. Комнаты, содержащие сетевые контрольные узлы, такие как
учетные, коммуникационные и файл-серверы, должны строго контролиро-
ваться и наблюдаться. Доступ должен ограничиваться лицами, формально
уполномоченными администратором сети.
Сетевым или системным администраторам необходим привилегиро-
ванный доступ с целью сопровождения системы. Эти привилегии должны
быть определены на уровне, который позволяет точно контролировать, кто и
что может делать. Например, системный администратор должен быть огра-
ничен привилегиями, необходимыми для выполнения предписанных задач и
не более этого. Системный администратор, ответственный за архивирование
файлов, например, не имеет необходимости в получении привилегированного
доступа к учетному серверу или коммуникационным службам ЛВС. Когда
очень ценные файлы находятся на файл-серверах, только специально автори-
зованные лица могут получить привилегированный доступ к этим файлам; к
тому же, такие привилегии должны быть определены таким образом, чтобы
лицо, получившее привилегии, могло выполнять только работу по сопровож-
дению, и не могло изменять данные.
Не являющиеся, строго говоря, частью сети, подключенные принтеры
также должны находиться в безопасности. Зашифрованное сообщение, кото-
70
рое печатается открытым текстом и допускается к помещению в выходной
приемник принтера, подвергается риску случайного наблюдения. Стоимость
и порядок логических частей системы сводятся на нет, если случайный посе-
титель может рассматривать секретную информацию, контролируемую в дру-
гих частях системы. Рекомендуется использование замкнутых приемников
или очередей на печать, контролируемых паролями.
На некоторых ЛВС опытные пользователи, имеющие физический дос-
туп к сетевым учетным серверам, могут изменить аутентификатор и, таким
образом, выдавая себя за подлинного пользователя, иметь доступ к защищен-
ным файлам этого пользователя. Логическим следствием этого является из-
менение ответственности сотрудников, имеющих сетевые привилегии по
безопасности, таких как системных администраторов. Следует внимательно
следить за отменой прав физического доступа и логической аутентификации
при переходе сотрудника на другую работу или увольнении с предприятия.
Необходимые меры физической защиты должны быть очевидны: сле-
дует не допускать тех, кто не авторизован к получению информации, к сете-
вой инфраструктуре и ее составным частям. В большинстве случаев это тре-
бует запирающихся комнат или другого контролируемого доступа в помеще-
ния, где располагаются сетевые машины.
Порядок действий:
1. Планировать средства поддержки сети с учетом требований безопасности
и сервисного обслуживания. ЛВС не может быть просто добавлена, подобно
клавиатуре или дисплею. Требуется серьезная структура поддержки, такая
как персонал и помещения с контролируемым доступом.
Важным является логический доступ к сетевым устройствам. Такой
доступ может быть из самой сети – авторизованными или неавторизованны-
ми пользователями – или через телефонные связи. Неправильное подключе-
ние к сетевым серверам или контроллерам пользовательских терминальных
устройств может нанести серьезный ущерб обслуживанию ЛВС и ее надеж-
ности. Для устранения такой угрозы следует изменить алгоритмы работы
учетных серверов или таблицы, используемые для маршрутизации почты.
Неавторизованный доступ к устройствам сети может позволить копировать
сетевой трафик, вставлять ошибочные данные или вносить помехи в сообще-
ния. Строгая сетевая конфигурационная политика необходима для контроля