1.5. информационная безопасность экономических систем
1.5. информационная безопасность экономических систем
Опыт эксплуатации существующих компьютерных систем обработки информации показывает, что проблема обеспечения безопасности еще далека от своего решения, а предлагаемые производителями различных систем средства защиты сильно различаются как по решаемым задачам и используемым методам, так и по достигнутым результатам. Это определяет актуальность проблемы построения защищенных систем обработки информации, решение которой следует начать с анализа причин сложившейся ситуации.
Проблема защиты машинной информации на современном уровне развития информатизации общества столь важна и многогранна, что заслуживает более подробного рассмотрения, чем другие аспекты автоматизации профессиональной деятельности. Данный пункт содержит материал по нескольким направлениям, представляющим, по мнению авторов, наибольший интерес. Более подробные сведения заинтересованный читатель может найти в других источниках (например, [14, 19, 20, 31, 33]).
1.5.1. Сравнительный анализ стандартов информационной безопасности
Для того чтобы объединить усилия всех специалистов в направлении конструктивной работы над созданием защищенных систем, необходимо определить, что является целью исследований, что мы хотим получить в результате и чего в состоянии достичь. Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают разрабатываться стандарты информационной безопасности. Это документы, регламентирующие .основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС. В соответствии с этими документами защищенная система обработки информации представляет собой систему, отвечающую тому или иному стандарту информационной безопасности. Этот факт позволяет сопоставлять степени защищенности различных систем относительно установленного стандарта.
Основные понятия и определения
Политика безопасности — совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз.
Модель безопасности — формальное представление политики безопасности.
Дискреционное, или произвольное, управление доступом — управление доступом, основанное на совокупности правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от грифа секретности информации и уровня допуска пользователя.
Ядро безопасности (ТСВ) — совокупность аппаратных, программных и специальных компонент ВС, реализующих функции защиты и обеспечения безопасности.
Идентификация — процесс распознавания сущностей путем присвоения им уникальных меток (идентификаторов).
Аутентификация — проверка подлинности идентификаторов сущностей с помощью различных (преимущественно криптографических) методов.
Адекватность — показатель реально обеспечиваемого уровня безопасности, отражающий степень эффективности и надежности реализованных средств защиты и их соответствия поставленным задачам (в большинстве случаев это задача реализации политики безопасности).
Квалификационный анализ, квалификация уровня безопасности — анализ ВС с целью определения уровня ее защищенности и соответствия требованиям безопасности на основе критериев стандарта безопасности.
Таксономия — наука о систематизации и классификации сложноорганизованных объектов и явлений, имеющих иерархическое строение. Таксономия основана на декомпозиции явлений и поэтапном уточнении свойств объектов (иерархия строится сверху вниз).
Прямое взаимодействие — принцип организации информационного взаимодействия (как правило, между пользователем и системой), гарантирующий, что передаваемая информация не подвергается перехвату или искажению.
Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность (доступность, конфиденциальность и целостность) обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз.
Под защищенной системой обработки информации предлагается понимать систему, которая обладает следующими свойствами:
осуществляет автоматизацию некоторого процесса обработки конфиденциальной информации, включая все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации;
успешно противостоит угрозам безопасности, действующим в определенной среде;
соответствует требованиям и критериям стандартов информационной безопасности.
Отсюда вытекают следующие задачи, которые необходимо и достаточно решить, для того чтобы создать защищенную систему обработки информации, а именно:
в ходе автоматизации процесса обработки конфиденциальной информации реализовать все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации;
обеспечить противодействие угрозам безопасности, действующим в среде эксплуатации защищенной системы;
реализовать необходимые требования соответствующих стандартов информационной безопасности.
Угрозы безопасности компьютерных систем
Под угрозой безопасности вычислительной системы понимаются воздействия на систему, которые прямо или косвенно могут нанести ущерб ее безопасности.
Приведем наиболее общую классификацию возможных угроз безопасности. Все угрозы можно разделить по их источнику и характеру проявления на следующие классы (см. рис. 1.5.1).
Источник угрозы
Природные
Созданные людьми
Случайные угрозы возникают независимо от воли и желания людей. Данный тип угроз связан прежде всего с прямым физическим воздействием на элементы компьютерной системы (чаще всего, природного характера) и ведет к нарушению работы этой системы и/или физическому уничтожению носителей информации, средств обработки и передачи данных, физических линий связи.
Причиной возникновения технических угроз случайного характера могут быть как сбои вследствие ошибок персонала (порожденные людьми), так и случайные нарушения в работе оборудования системы (например, вследствие поломки какого-либо узла или устройства, сбоя в работе программного обеспечения или элементарное "короткое замыкание"). Последствиями подобных событий могут быть отказы и сбои аппаратуры, искажение или уничтожение информации, нарушение линий связи, ошибки и физический вред персоналу.
Примером реализации случайной угрозы, созданной людьми, может быть физическое нарушение проводных линий связи из-за проведения строительных работ. Другими словами, угрозы данного типа возникают вследствие каких-либо действий людей, целью которых не является нанесение физического вреда и нарушение функционирования работы компьютерной системы и/или отдельных ее сегментов и ресурсов, однако побочный эффект данных действий приводит к нарушениям и сбоям в работе системы.
Преднамеренные угрозы, в отличие от случайных, могут быть созданы только людьми и направлены именно на дезорганизацию компьютерной системы. Примером реализации такой угрозы может быть как физическое уничтожение аппаратуры и сетевых коммуникаций системы, так и нарушение ее целостности и доступности, а также конфиденциальности обрабатываемой и хранимой ею информации с применением средств и ресурсов самой системы, а также с использованием дополнительного оборудования.
 |
Относительно природных угроз добавить к сказанному ранее практически нечего.
Угрозы техногенного характера связаны с надежностью работы аппаратно-программных средств компьютерной системы. При этом угрозы подгруппы 2.1 связаны с внезапным временным прекращением работы системы и ведут к потерям информации и управления объектами системы. Угрозы подгруппы 2.2 связаны с надежностью работы аппаратно-программных средств и ведут к искажению и потерям информации, нарушениям в управлении объектами. Угрозы подгруппы 2.3 связаны с наличием электромагнитных излучений, за счет которых может происходить несанкционированный перенос информации за пределы защищаемой системы. Угрозы подгруппы 2.4 связаны с утечкой информации через легальные каналы связи за счет использования специального оборудования.
Угрозы следующей группы связаны с людьми, непосредственно работающими с компьютерной системой. Непреднамеренные угрозы связаны со случайными действиями пользователей, ошибками операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности и ведут к искажению или уничтожению информации, нарушению функционирования, управления и безопасности системы, а также к ошибкам и сбоям в работе программно-аппаратных средств.
Угрозы, "носителями" которых являются хакерские атаки, связаны с преднамеренными действиями людей, направленными на нанесение ущерба системе с использованием средств и возможностей штатного оборудования системы и любых других возможностей, которые могут быть получены с применением всех имеющихся на данный момент времени информационных технологий. Данная группа угроз является наиболее многочисленной.
Необходимо особо отметить такой вид угроз, как внедрение компьютерных "вирусов", программ-"троянских коней", логических бомб и т. д. Данный вид угроз может относиться как к группе 3.1, так и к группе 3.2 в связи с тем, что программы такого типа могут быть специально разработанными "боевыми вирусами" или специально внедренными программными закладками для выведения из строя объектов системы, однако схожими по возможным последствиям могут быть и результаты проявления так называемых недокументированных возможностей вполне "мирного" программного обеспечения (например, сетевой операционной системы), являющиеся следствием непреднамеренных ошибок, допущенных создателями программно-аппаратных средств. Самым ярким примером проявления недокументированных возможностей является инцидент с "червем" Морриса, первым сетевым компьютерным вирусом. Изначально данная программа предназначалась для удаленного тестирования UNIX-машин, однако после запуска 2 ноября 1988 г. программа вышла из-под контроля автора и начала быстро перемещаться по сети Интернет, загружая операционные системы хостов сети своими копиями и вызывая отказы в обслуживании. Формально данное программное средство не наносило ущерба информации на "зараженных" им хостах, однако вызывало необходимость проведения комплекса профилактических работ по восстановлению работоспособности данных хостов. Общие потери от описанного выше инцидента составили почти 100 млн. долл. США.
Таким образом, перед защитой систем обработки информации стоит довольно сложная задача — противодействие бурно развивающимся угрозам безопасности. Следовательно, безопасная или защищенная система — это система, обладающая средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности. Таким образом, перед стандартами информационной безопасности стоит непростая задача — примирить взгляды этих сторон и создать эффективный механизм взаимодействия между ними.
Критерии безопасности компьютерных систем Министерства обороны США (Оранжевая книга)
"Критерии безопасности компьютерных систем" (Оранжевая книга) были разработаны Министерством обороны США в 1983 г. с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.
Согласно Оранжевой книге безопасная компьютерная система — это система, поддерживающая управление доступом к обрабатываемой в ней информации так, что только соответствующим образом авторизованные пользователи или процессы, действующее от их имени, получают возможность читать, писать, создавать и удалять информацию.
В Оранжевой книге предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности.
Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности.
Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа.
Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы.
Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе.
Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты.
Требование 6. Непрерывность защиты. Все средства защиты (в том числе и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом.
Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности.
Оранжевая книга предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.
Группа D. Минимальная защита.
Класс D. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов.
Группа С. Дискреционная защита.
Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользователей и информации и включают средства контроля и управления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей.
Класс С 2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С1, с помощью применения средств индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов.
Группа В. Мандатная защита.
Класс В1. Защита с применением меток безопасности.
Класс В2. Структурированная защита. Телевизионная система видеоконтроля (ТСВ) должна поддерживать формально определенную и четко документированную модель безопасности, предусматривающую произвольное нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты.
Класс ВЗ. Домены безопасности. ТСВ должна поддерживать монитор взаимодействий, контролирующий все типы доступа субъектов к объектам, который невозможно обойти. Кроме того, ТСВ должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и быть достаточно компактной для эффективного тестирования и анализа.
Группа А. Верифицированная защита.
Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса ВЗ, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса ВЗ в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты.
Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты.
Для того чтобы исключить возникшую в связи с изменением аппаратной платформы некорректность некоторых положений Оранжевой книги, адаптировать их к современным условиям и сделать адекватными нуждам разработчиков и пользователей программного обеспечения, и была проделана огромная работа по интерпретации и развитию положений этого стандарта. В результате возник целый ряд сопутствующих Оранжевой книге документов, многие из которых стали ее неотъемлемой частью. К наиболее часто упоминаемым относятся:
Руководство по произвольному управлению доступом в безопасных системах.
Руководство по управлению паролями.
Руководство по применению критериев безопасности компьютерных систем в специфических средах.
В 1995 г. Национальным центром компьютерной безопасности США был опубликован документ под названием "Интерпретация критериев безопасности компьютерных систем", объединяющий все дополнения и разъяснения.
Европейские критерии безопасности информационных технологий
Для того чтобы удовлетворить требованиям конфиденциальности, целостности и работоспособности, в Европейских критериях впервые вводится понятие адекватности средств защиты.
Адекватность включает в себя:
эффективность, отражающую соответствие средств безопасности решаемым задачам;
корректность, характеризующую процесс их разработки и функционирования.
Общая оценка уровня безопасности системы складывается из функциональной мощности средств защиты и уровня адекватности их реализации.
Набор функций безопасности может специфицироваться с использованием ссылок на заранее определенные классы-шаблоны. В Европейских критериях таких классов десять. Пять из них (F-Cl, F-C2, F-Bl, F-B2, F-B3) соответствуют классам безопасности Оранжевой книги с аналогичными обозначениями. Рассмотрим другие пять классов, так как их требования отражают точку зрения разработчиков стандарта на проблему безопасности.
Класс F-IN предназначен для систем с высокими потребностями в обеспечении целостности, что типично для систем управления базами данных.
Класс F-AV характеризуется повышенными требованиями к обеспечению работоспособности.
Класс F-DI ориентирован на распределенные системы обработки информации.
Класс F-DC уделяет особое внимание требованиям к конфиденциальности передаваемой информации.
Класс F-DX предъявляет повышенные требования и к целостности, и к конфиденциальности информации.
Европейские критерии определяют семь уровней адекватности — от ЕО до Е6 (в порядке возрастания). Уровень ЕО обозначает минимальную адекватность (аналог уровня D Оранжевой книги). При проверке адекватности анализируется весь жизненный цикл системы — от начальной фазы проектирования до эксплуатации и сопровождения. Уровни адекватности от Е1 до Е6 выстроены по нарастанию требований тщательности контроля. Так, на уровне Е1 анализируется общая архитектура системы, а адекватность средств защиты подтверждается функциональным тестированием. На уровне ЕЗ — к анализу привлекаются исходные тексты программ и схемы аппаратного обеспечения. На уровне Е6 требуется формальное описание функций безопасности, общей архитектуры, а также политики безопасности.
Руководящие документы Гостехкомиссии России
В 1992 г. Гостехкомиссия (ГТК) при Президенте РФ опубликовала пять руководящих документов, посвященных вопросам защиты от несанкционированного доступа (НСД) к информации. Рассмотрим важнейшие из них:
"Концепция защиты средств вычислительной техники от НСД к информации".
"Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации".
"Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации".
Идейной основой этих документов является "Концепция защиты средств вычислительной техники от НСД к информации", содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем.
Основная, и едва ли не единственная, задача средств безопасности в этих документах — это обеспечение защиты от НСД к информации. Если средствам контроля и обеспечения целостности еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации вообще не упоминается. Все это объясняется тем, что эти документы были разработаны в расчете на применение в информационных системах Министерства обороны и спецслужб РФ, а также недостаточно высоким уровнем информационных технологий этих систем по сравнению с современным.
Руководящие документы ГТК предлагают две группы критериев безопасности:
показатели защищенности средств вычислительной техники (СВТ) от НСД;
критерии защищенности автоматизированных систем (АС) обработки данных.
Данный руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности, описывающих их требования.
Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам. Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований.
Установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.
В отличие от остальных стандартов отсутствует раздел, содержащий требования по обеспечению работоспособности системы, зато присутствует раздел, посвященный криптографическим средствам.
Требования к средствам защиты АС от НСД включают следующие подсистемы:
Подсистема управления доступом.
Подсистема регистрации и учета.
Криптографическая подсистема.
Подсистема обеспечения целостности.
Документы ГТК устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:
Наличие в АС информации различного уровня конфиденциальности.
Уровень полномочий пользователей АС на доступ к конфиденциальной информации.
Режим обработки данных в АС (коллективный или индивидуальный).
Федеральные критерии безопасности информационных технологий
Федеральные критерии безопасности информационных технологий — первый стандарт информационной безопасности, в котором определяются три независимые группы требований: функциональные требования к средствам защиты, требования к технологии разработки и к процессу квалификационного анализа. Авторами этого стандарта впервые предложена концепция Профиля защиты — документа, содержащего описание всех требований безопасности как к самому продукту информационных технологий (ИТ-продукту), так и к процессу его проектирования, разработки, тестирования и квалификационного анализа.
Функциональные требования безопасности хорошо структурированы и описывают все аспекты функционирования ТСВ. Требования к технологии разработки, впервые появившиеся в этом документе, побуждают производителей использовать современные технологии программирования как основу для подтверждения безопасности своего продукта.
Разработчики федеральных критериев отказались от используемого в Оранжевой книге подхода к оценке уровня безопасности ИТ-продукта на основании обобщенной универсальной шкалы классов безопасности. Вместо этого предлагается независимое ранжирование требований каждой группы, т. е. вместо единой шкалы используется множество частных шкал критериев, характеризующих обеспечиваемый уровень безопасности. Данный подход позволяет разработчикам и пользователям ИТ-продукта выбрать наиболее приемлемое решение и точно определить необходимый и достаточный набор требований для каждого конкретного ИТ-продукта и среды его эксплуатации.
Этот стандарт рассматривает устранение недостатков существующих средств безопасности как одну из задач защиты наряду с противодействием угрозам безопасности и реализацией модели безопасности.
Единые критерии безопасности информационных технологий
Единые критерии безопасности информационных технологий представляют собой результат обобщения всех достижений последних лет в области информационной безопасности. Впервые документ такого уровня содержит разделы, адресованные потребителям, производителям и экспертам по квалификации ИТ-продуктов.
Предложенные Едиными критериями механизмы Профиля защиты и Проекта защиты позволяют потребителям и производителям в полной мере выразить свой взгляд на требования безопасности и задачи защиты, а с другой стороны, дают возможность экспертам по квалификации проанализировать взаимное соответствие между требованиями, нуждами потребителей, задачами защиты и средствами защиты ИТ-продукта.
В отличие от Профиля защиты Федеральных критериев, который ориентирован исключительно на среду применения ИТ-продукта, Профиль защиты Единых критериев предназначен непосредственно для удовлетворения запросов потребителей.
Разработчики Единых критериев отказались (как и разработчики Федеральных критериев) от единой шкалы безопасности и усилили гибкость предложенных в них решений путем введения частично упорядоченных шкал, благодаря чему потребители и производители получили дополнительные возможности по выбору требований и их адаптации к своим прикладным задачам.
Особое внимание этот стандарт уделяет адекватности реализации функциональных требований, которая обеспечивается как независимым тестированием и анализом ИТ-продукта, так и применением соответствующих технологий на всех этапах его проектирования и реализации.
Таким образом, требования Единых критериев охватывают практически все аспекты безопасности ИТ-продуктов и технологии их создания, а также содержат все исходные материалы, необходимые потребителям и разработчикам для формирования Профилей и Проектов защиты.
Кроме того, требования Единых критериев являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника безопасности информационных технологий.
Анализ стандартов информационной безопасности
Главная задача стандартов информационной безопасности — согласовать позиции и цели производителей, потребителей и аналитиков-классификаторов в процессе создания и эксплуатации продуктов информационных технологий. Каждая из перечисленных категорий специалистов оценивает стандарты и содержащиеся в них требования и критерии по своим собственным параметрам.
В качестве обобщенных показателей, характеризующих стандарты информационной безопасности и имеющих значение для всех трех сторон, предлагается использовать универсальность, гибкость, гарантированность, реализуемость и актуальность.
Универсальность.
Оранжевая книга: предназначалась для систем военного времени, ее адаптация для распределенных систем и баз данных потребовала разработки дополнительных документов.
Европейские критерии: в этот стандарт вошли распределенные системы, сети, системы телекоммуникаций и СУБД, но в нем по-прежнему явным образом оговаривается архитектура и назначение систем, к которым он может быть применен, и никак не регламентируется среда их эксплуатации.
Документы Гостехкомиссии: имеют довольно ограниченную сферу применения — это персональные и многопользовательские системы, причем ориентация системы на обслуживание конечных пользователей является обязательным условием.
Федеральные критерии: подняли область применения стандартов на новый уровень, начав рассматривать в качестве объекта их применения любые продукты информационных технологий, независимо от их назначения, проводя различие только между характеристиками среды их эксплуатации.
Канадские критерии: рассматривают в качестве области своего применения все типы компьютерных систем.
Единые критерии: предложили такую технологию создания ИТ-продуктов, при которой использование данного стандарта является неотъемлемым компонентом.
Гибкость.
Оранжевая книга: требования этого стандарта оказались слишком абстрактными для непосредственного применения во многих случаях, что потребовало их дополнения.
Европейские критерии: предусмотрели специальные уровни и требования, рассчитанные на типовые системы (СУБД, телекоммуникации и т. д.).
Документы Гостехкомиссии: подробно регламентирует реализацию функций защиты (например, это единственный стандарт, который в ультимативной форме требует применения криптографии), что значительно снижает удобство их использования — в конкретных ситуациях многие требования часто оказываются избыточными и ненужными.
Федеральные критерии: впервые предложили механизм Профилей защиты, с помощью которых можно создавать специальные наборы требований, соответствующие запросам потребителей конкретного продукта и угрозам среды его эксплуатации.
Канадские критерии: не рассматривают Профиль защиты в качестве обязательного элемента безопасности информационных технологий, а также обладают определенной спецификой в своем подходе к основным понятиям безопасности, поэтому их гибкость можно оценить только как достаточную.
Единые критерии: обладают практически совершенной гибкостью, так как позволяют потребителям выразить свои требования с помощью механизма Профилей защиты, в форме инвариантной к механизмам реализации, а производителям — продемонстрировать с помощью Проекта защиты, как эти требования преобразуются в задачи и реализуются на практике.
Гарантированностъ.
Оранжевая книга: предусматривала обязательное применение формальных методов верификации только при создании систем высшего класса защищенности (класс А).
Европейские критерии: появляется специальный раздел требований — требования адекватности, которые регламентируют технологию и инструментарий разработки, а также контроль за процессами проектирования и разработки.
Документы Гостехкомиссии: практически полностью проигнорировали этот ключевой аспект безопасности информационных технологий, и обходят данный вопрос молчанием.
Федеральные критерии: содержат два специальных раздела требований, посвященных этому аспекту безопасности, содержащие требования к технологии разработки и к процессу квалификационного анализа.
Канадские критерии: включают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функциональных требований.
Единые критерии: рассматривают гарантированность реализации защиты как самый важный компонент информационной безопасности и предусматривают многоэтапный контроль на каждой стадии разработки ИТ-продукта, позволяющий подтвердить соответствие полученных результатов поставленным целям путем доказательства адекватности задач защиты требованиям потребителей, адекватности Проекта защиты Единым критериям и адекватности ИТ-продукта Проекту защиты.
Реализуемость.
Плохие показатели реализуемости говорят о практической бесполезности стандарта, поэтому все документы отвечают этому показателю в достаточной или высокой степени.
Единые критерии и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет потрясающей степени подробности функциональных требований (135 требований), практически служащих исчерпывающим руководством по разработке защищенных систем.
Отметим, что это единственный показатель, по которому документы ГТК не отстают от остальных стандартов информационной безопасности.
Актуальность.
Оранжевая книга: содержит требования, в основном направленные на противодействие угрозам конфиденциальности, что объясняется ее ориентированностью на системы военного назначения.
Европейские критерии: находятся примерно на том же уровне, хотя и уделяют угрозам целостности гораздо больше внимания.
Документы Гостехкомиссии: с точки зрения этого показателя выглядят наиболее отсталыми — уже в самом их названии определена единственная рассматриваемая в них угроза — НСД.
Федеральные критерии: рассматривают все виды угроз достаточно подробно и предлагают механизм Профилей защиты для описания угроз безопасности, присущих среде эксплуатации конкретного ИТ-продукта, что позволяет учитывать специфичные виды угроз.
Канадские критерии: ограничиваются типовым набором угроз безопасности, достаточным для большинства применений.
Единые критерии: ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы (Профиль и Проект защиты), что дает возможность выстроить на их основе динамичную и постоянно адаптирующуюся к новым задачам технологию создания безопасных информационных систем.
1.5.2. Исследование причин нарушений безопасности
Проведение анализа успешно реализовавшихся угроз безопасности (атак) позволяет при разработке и создании защищенных систем сконцентрировать основные усилия именно на устранении этих причин путем исправления в механизмах защиты выявленных недостатков, что позволяет эффективно противостоять угрозам безопасности.
Наибольший интерес представляет одно из новейших направлений исследований в данной области, предложенное в работе "Таксономия нарушений безопасности программного обеспечения, с примерами". Данный пункт опирается на результаты этого исследования.
Уязвимость защиты (УЗ) — совокупность причин, условий и обстоятельств, наличие которых в конечном итоге может привести к нарушению нормального функционирования вычислительных систем и нарушению безопасности (НСД, ознакомление, уничтожение или искажение данных).
В 70-х гг. XX в. были предприняты попытки формального описания и систематизации информации о УЗ. Исследования проводились по проектам RISOS (Исследование безопасности защищенных операционных систем) и РА (Анализ защиты).
Предлагаемые методики поиска ошибок безопасности в операционных системах достаточно ограничены в практическом применении. Это можно объяснить предпринятой попыткой обеспечить универсальность методик, что отрицательно сказалось на возможности их развития и адаптации для новых ОС. С другой стороны, усилия исследователей слишком рано были перенаправлены от изучения УЗ в сторону разработки универсальной технологии создания защищенных операционных систем, свободных от подобных ошибок.
С точки зрения технологии создания защищенных систем наибольшее значение имеют следующие вопросы, на которые должна дать ответ таксономия УЗ:
Каким образом ошибки, приводящие к появлению УЗ, вносятся в систему защиты?
Когда, на каком этапе они вносятся?
Где, в каких компонентах системы защиты (или ВС в целом) они возникают и проявляются?
Ошибки в системах защиты, служащие источником появления УЗ, могут быть следующие. I. Преднамеренные:
с наличием деструктивных функций (активные):
а) разрушающие программные средства (РПС):
несамовоспроизводящиеся РПС ("троянские кони");
самовоспроизводящиеся РПС (вирусы);
б) черные ходы, люки, скрытые возможности проникновения в систему;
без деструктивных функций (пассивные): а) скрытые каналы утечки информации:
с использованием памяти. Для кодирования передаваемой информации в этом случае используется либо область памяти, не имеющая важного значения (например, установление характеристик признаков в имени и атрибутах файла), либо вообще неиспользуемая область (например, зарезервированные поля в заголовке сетевого пакета);
с использованием времени. В этом случае информация кодируется определенной последовательностью и длительностью событий, происходящих в системе (например, с помощью модуляции интервалов обращения к устройствам, введения задержек между приемом и посылкой сетевых пакетов и т. д.);
б) другие. К их появлению обычно приводят расхождения между требованиями безопасности и требованиями к функциональным возможностям ВС.
П. Непреднамеренные:
ошибки контроля допустимых значений параметров;
ошибки определения областей (доменов);
ошибки последовательностей действий и использования нескольких имен для одного объекта (в том числе TOCTTOU);
ошибки идентификации/аутентификации;
ошибки проверки границ объектов;
другие ошибки в логике санкционирования.
Этап внедрения ошибки и возникновения УЗ может происходить:
на стадии разработки (ошибки при проектировании, при написании программ);
на стадии настройки систем;
на стадии сопровождения;
на стадии эксплуатации.
Классификация УЗ по размещению в системе. I. Программное обеспечение: 1) операционная система:
инициализация (загрузка);
управление выделением памяти;
управление процессами;
управление устройствами;
управление файловой системой;
средства идентификации и аутентификации;
другие;
сервисные программы и утилиты:
привилегированные утилиты;
непривилегированные утилиты;
прикладные программы. II. Аппаратное размещение.
Таксономия причин возникновения УЗ должна дать ответ на имеющий ключевое значение с практической точки зрения вопрос: что явилось причиной успешного осуществления нарушения безопасности в том или ином случае?
Для ответа на этот вопрос необходимо выявить те свойства и особенности архитектуры ВС, которые привели к возможности успешного осуществления соответствующих атак. Только знание природы этих причин позволит оценить способность системы противостоять атакам на ее безопасность, а также понять природу недостатков, присущих существующим средствам обеспечения безопасности, которые привели к соответствующим нарушениям, и построить защищенную систему, лишенную этих недостатков.
К причинам нарушения безопасности ВС относятся:
причины, предопределенные на стадии разработки требований выбора модели безопасности, не соответствующей назначению или архитектуре ВС;
причины, обусловленные принципами организации системы обеспечения безопасности:
неправильное внедрение модели безопасности;
отсутствие идентификации и/или аутентификации субъектов и объектов;
отсутствие контроля целостности средств обеспечения безопасности;
причины, обусловленные реализацией:
ошибок, допущенных в ходе программной реализации средств обеспечения безопасности;
наличием средств отладки и тестирования в конечных продуктах;
4) ошибки администрирования.
Предложенный подход к классификации причин нарушения безопасности, в отличие от существующих подходов, позволяет определить полное множество независимых первопричин нарушений безопасности, не сводимых одна к другой и образующих ортогональное пространство факторов, определяющих реальную степень безопасности системы.
Сопоставление таксономии причин нарушений безопасности и классификации источников появления УЗ демонстрирует тот факт, что источником появления наибольшего количества категорий УЗ является неправильное внедрение модели безопасности и ошибки в ходе программной реализации. Это означает, что эти причины являются более значимыми и должны быть устранены в первую очередь.
А сопоставление между причинами нарушений безопасности и классификацией УЗ по этапу внесения показывает, что появление основных причин нарушения безопасности закладывается на этапе разработки, причем в основном на стадии задания спецификаций. Это вполне ожидаемый результат, так как именно этап составления спецификаций является одним из самых трудоемких, а последствия ошибок в спецификациях сказываются на всех последующих этапах разработки и распространяются на все взаимосвязанные компоненты системы.
Перекрестный анализ таксономии причин нарушений безопасности и классификации УЗ по источнику появления и этапу внесения показывает, что наиболее значимые причины (неправильное внедрение модели безопасности и ошибки программной реализации) действуют в ходе процесса разработки и реализации. Следовательно, именно на этих этапах должны быть сосредоточены основные усилия при создании защищенных систем.
1.5.3. Способы и средства защиты информации
Необходимость обеспечения скрытности (секретности) отдельных замыслов, действий, сообщений и т. п. возникла в глубокой древности, практически вместе с началом осмысленной человеческой деятельности. Иными словами, организация защиты части информации от нежелательного (несанкционированного) доступа к ней — проблема столь же древняя, как и само понятие информации.
На современном этапе предпосылками сложившейся кризисной ситуации с обеспечением безопасности информационных систем являются следующие:
Современные компьютеры за последние годы приобрели большую вычислительную мощность, но одновременно с этим (что на первый взгляд парадоксально) стали гораздо проще в эксплуатации.
Прогресс в области аппаратных средств сочетается с еще более бурным развитием программного обеспечения.
Развитие гибких и мобильных технологий обработки информации привело к тому, что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счет появления и широкого распространения виртуальных машин и интерпретаторов.
Несоответствие бурного развития средств обработки информации и медленной проработки теории информационной безопасности привело к появлению существенного разрыва между теоретическими моделями безопасности, оперирующими абстрактными понятиями типа объект, субъект и т. д., и реальными категориями современных информационных технологий.
Необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нем процессов потребовала разработки международных стандартов, следование которым может обеспечить необходимый уровень гарантии обеспечения защиты.
Вследствие совокупного действия всех перечисленных факторов перед разработчиками современных информационных систем, предназначенных для обработки конфиденциальной информации, стоят следующие задачи, требующие немедленного и эффективного решения:
Обеспечение безопасности новых типов информационных ресурсов.
Организация доверенного взаимодействия сторон (взаимной идентификации/аутентификации) в информационном пространстве.
Защита от автоматических средств нападения.
Интеграция защиты информации в процессе автоматизации ее обработки в качестве обязательного элемента.
В настоящее время с ростом объемов обработки информации в компьютерных сетях, расширением круга ее потребителей, распространением многопрограммных режимов работы ЭВМ, внедрением перспективных информационных технологий данная проблема приобрела новый аспект в связи с возрастанием роли программно-технического посредника между человеком-пользователем и информационными объектами, что, в свою очередь, вызвало создание дополнительных способов закрытия информации.
Понятно, что проблема защиты информации приобретает особое значение в экономической области, характеризующейся повышенными требованиями одновременно к скрытности и оперативности обработки информации.
Учитывая наибольшую сложность обеспечения защиты информации, обрабатываемой и передаваемой в компьютерных сетях различных типов, в дальнейшем рассмотрим прежде всего эту часть общей проблемы (если иное не будет оговорено специально).
Анализ уязвимости машинной информации позволяет выделить две группы возможных причин ее искажения или уничтожения:
непреднамеренные действия (сбой технических средств, ошибки обслуживающего персонала и пользователей, аварии и т. п.);
♦ несанкционированные действия, к которым относятся непланируемый (несанкционированный) доступ и ознакомление субъектов с информацией; прямое хищение информации в электронном виде непосредственно на носителях; снятие слепков с носителей информации или копирование информации на другие носители; запрещенная передача информации в линии связи или на терминалы; перехват электромагнитных излучений и информации по различным каналам связи и т. п. Понятно, что такое большое число причин искажения (уничтожения) информации определяет необходимость использования и значительного числа способов и средств ее защиты, причем эти способы и средства только тогда эффективны, когда они применяются комплексно. Названные обстоятельства обуславливают содержание понятия "защита электронной информации".
Под защитой информации в компьютерных системах принято понимать создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде [54].
Наряду с определением понятия "защита информации" важным вопросом является классификация имеющихся способов и средств защиты, которые позволяют воспрепятствовать запрещенному (незаконному) ее использованию. На рис. 1.5.2 приведены наиболее часто используемые способы защиты информации в компьютерных сетях и средства, которыми они могут быть реализованы (на рисунке эти возможности изображены стрелками от способа к средствам).
Рассмотрим краткое содержание каждого из способов. Препятствия предусматривают создание преград, физически не допускающих к информации. Управление доступом — способ защиты информации за счет регулирования использования всех ресурсов системы (технических, программных, временных и др.). Маскировка информации, как правило, осуществляется путем ее криптографического закрытия. Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации. Принуждение заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности. Наконец, побуждение основано на использовании действенности морально-этических категорий (например, авторитета или коллективной ответственности).
 |
Препятствия
Управление доступом
Принуждение
Побуждение
Морально-этические
Социально-правовые
Рис. 1.5.2. Способы и средства защиты информации
Средства защиты информации, хранимой и обрабатываемой в электронном виде, разделяют на три самостоятельные группы: технические, программные и социально-правовые. В свою очередь, среди технических средств защиты выделяют физические и аппаратные.
К физическим средствам защиты относятся:
механические преграды, турникеты (заграждения);
специальное остекление;
сейфы, шкафы;
механические и электромеханические замки, в том числе с дистанционным управлением;
замки с кодовым набором;
датчики различного типа;
телеи фотосистемы наблюдения и регистрации;
СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и т. п. системы;
устройства маркировки;
устройства с идентификационными картами;
устройства идентификации по физическим признакам;
устройства пространственного заземления;
системы физического контроля доступа;
системы охранного телевидения и охранной сигнализации;
системы пожаротушения и оповещения о пожаре и др.
Под аппаратными средствами защиты понимают технические устройства, встраиваемые непосредственно в системы (аппаратуру) обработки информации. Наиболее часто используют:
регистры хранения реквизитов защиты (паролей, грифов секретности и т. п.);
устройства для измерения индивидуальных характеристик человека (например, цвета и строения радужной оболочки глаз, овала лица и т. п.);
схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (областям) памяти и отдельным программам;
схемы прерывания передачи информации в линии связи с целью периодического контроля адресов выдачи данных;
экранирование ЭВМ;
установка генераторов помех и др.
Программные средства защиты данных в настоящее время получили значительное развитие. По целевому назначению их можно разделить на несколько больших классов (групп):
программы идентификации пользователей;
программы определения прав (полномочий) пользователей (технических устройств);
программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала);
программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;
криптографические программы (программы шифрования данных).
Программные средства защиты информации часто подразделяются на средства, реализуемые в стандартных операционных системах и средства защиты в специализированных информационных системах. К первым следует отнести:
динамическое распределение ресурсов и запрещение задачам пользователей работать с "чужими" ресурсами;
разграничение доступа пользователей к ресурсам по паролям;
разграничение доступа к информации по ключам защиты;
защита таблицы паролей с помощью главного пароля и ДРСредства защиты в экономических информационных системах, в том числе банковских системах, позволяют реализовать следующие функции защиты данных:
опознавание по идентифицирующей информации пользователей и элементов информационной системы, разрешение на этой основе работы с информацией на определенном уровне;
ведение многоразмерных таблиц профилей доступа пользователей к данным;
управление доступом по профилям полномочий;
уничтожение временно фиксируемых областей информации при завершении ее обработки;
формирование протоколов обращений к защищаемым данным с идентификацией данных о пользователе и временных характеристик;
программная поддержка работы терминала лица, отвечающего за безопасность информации;
подача сигналов при нарушении правил работы с системой или правил обработки информации;
физическая или программная блокировка возможности работы пользователя при нарушении им определенной последовательности правил или совершении определенных действий;
подготовка отчетов о работе с различными данными — ведение подробных протоколов работы и др.
Криптографические программы основаны на использовании методов шифрования (кодирования) информации. Данные методы остаются достаточно надежными средствами ее защиты и более подробно будут рассмотрены ниже.
В перспективе можно ожидать развития программных средств защиты по двум основным направлениям:
создание централизованного ядра безопасности, управляющего всеми средствами защиты информации в ЭВМ (на первом этапе — в составе ОС, затем — вне ее);
децентрализация защиты информации вплоть до создания отдельных средств, управляемых непосредственно только пользователем. В рамках этого направления находят широкое применение методы "эстафетной палочки" и "паспорта", основанные на предварительном расчете специальных контрольных кодов (по участкам контролируемых программ) и их сравнении с кодами, получаемыми в ходе решения задачи.
Социально-правовые средства защиты информации можно подразделить на две группы.
Организационные и законодательные средства защиты информации предусматривают создание системы нормативно-правовых документов, регламентирующих порядок разработки, внедрения и эксплуатации информации, а также ответственность должностных и юридических лиц за нарушение установленных правил, законов, приказов, стандартов и т. п.
Морально-этические средства защиты информации основаны на использовании моральных и этических норм, господствующих в обществе, и требуют от руководителей всех рангов особой заботы о создании в коллективах здоровой нравственной атмосферы.
1.5.4. Формальные модели безопасности
Наибольшее развитие получили два подхода, каждый из которых основан на своем видении проблемы безопасности и нацелен на решение определенных задач — это формальное моделирование политики безопасности и криптография. Причем эти различные по происхождению и решаемым задачам подходы дополняют друг друга: криптография может предложить конкретные методы защиты информации в виде алгоритмов идентификации, аутентификации, шифрования и контроля целостности, а формальные модели безопасности предоставляют разработчикам защищенных систем основополагающие принципы, которые лежат в основе архитектуры защищенной системы и определяют концепцию ее построения.
Модель политики безопасности — формальное выражение политики безопасности.
Формальные модели используются достаточно широко, потому что только с их помощью можно доказать безопасность системы, опираясь при этом на объективные и неопровержимые постулаты математической теории.
Основная цель создания политики безопасности информационной системы и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователя получат доступ к информации, и смогут осуществлять с ней только санкционированные действия.
Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и мандатные (нормативные). В данном разделе в качестве примера изложены основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам.
Дискреционная модель Харрисона-Руззо-Ульмана
Модель безопасности Харрисона-Руззо-Ульмана, являющаяся классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.
В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей — субъектов (множество S), которые осуществляют доступ к информации, пассивных сущностей — объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R={r1,...,rn}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).
Причем для того, чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами. Поведение системы моделируется с помощью понятия состояния. Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав — OxSxR. Текущее состояние системы Q в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы М прав доступа, описывающей текущие права доступа субъектов к объектам: Q = (S, О, М). Строки матрицы соответствуют субъектам, а столбцы — объектам. Поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любая ячейка матрицы M[s,o] содержит набор прав субъекта s к объекту о, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу М с помощью команд следующего вида: Command a(x1...xm)
If rx in M[xSi, x0i] and (условия выполнения
команды)
r2 in M[xS2, Xq2] and
rm in M[xSm, x0J then
°Pi> °P2-°Pm (операции, составляющие команду), где а — имя команды;
Xj — параметры команды, являющиеся идентификаторами субъектов и объектов;
Sj — индексы субъектов;
О; — индексы объектов;
opj — элементарные операции.
Элементарные операции, составляющие команду, выполняются только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы М, являются истинными. В классической модели допустимы только следующие элементарные операции:
enter г into M[s,o] (добавление субъекту s права г для
объекта о);
delete г from M[s,o] (удаление у субъекта s права г для
объекта о);
create subject s (создание нового субъекта s);
create object о (создание нового объекта о);
destroy subject s (удаление существующего субъекта s); destroy object о (удаление существующего объекта о).
Критерий безопасности модели Харрисона-Руззо-Ульма-на формулируется следующим образом.
Для заданной системы начальное состояние Q0 = (S0, Q0) М0) является безопасным относительно права г0, если не существует применимой к Q0 последовательности команд, в результате которой право г0 будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянии Q0.
Нужно отметить, что все дискреционные модели уязвимы по отношению к атаке с помощью "троянского коня", поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Поэтому, когда "троянская" программа, которую нарушитель подсунул некоторому пользователю, переносит информацию из доступного этому объекта в объект, доступный нарушителю, то формально никакое правило дискреционной политики безопасности не нарушается, но утечка информации происходит.
Таким образом, дискреционная модель Харрисона-Руз-зо-Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля за распределением прав во всех современных системах.
Типизованная матрица доступа
Другая дискреционная модель
Обсуждение Информационные системы в экономике
Комментарии, рецензии и отзывы