Глава 10. Проектирование процессов защиты данных в информационной базе

10.1. Основные понятия и методы защиты данных

Интерес к вопросам защиты информации в последнее время вырос, что связывают с возрастанием роли информационных ресурсов в конкурентной борьбе, расширением ис­пользования сетей, а, следовательно, и возможностей несанкционированного доступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных ком­пьютеров делают информацию гораздо более уязвимой. Информация, циркулирующая в них, может быть незаконно изменена, похищена или уничтожена. Основными факторами, способствующими повышению ее уязвимости, являются следующие:

увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

сосредоточение в единых базах данных информации различного назначения и принадлежности;

расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и информационной базы;

усложнение режимов работы технических средств вычислительных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени;

автоматизация межмашинного обмена информацией, в том числе на больших расстояниях.

Поэтому основной проблемой, которую должны решить проектировщики при соз­дании системы защиты данных в ИБ, является проблема обеспечения безопасности хра­нимых данных, предусматривающая разработку системы мер обеспечения безопасности, направленных на предотвращения несанкционированного получения информации, физи­ческого уничтожения или модификации защищаемой информации. Вопросы разработки способов и методов защиты данных в информационной базе являются только частью про­блемы проектирования системы защиты в ЭИС и в настоящее время получили большую актуальность. Этим вопросам посвящено много работ, но наиболее полно и системно они изложены в работах [ ].

Чтобы разработать систему защиты, необходимо, прежде всего, определить, что та­кое «угроза безопасности информации», выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным. В литературе предложены различные определения угрозы в зависимости от ее специфики, среды проявления, ре­зультата ее воздействия, приносимого ею ущерба и т. д. Так в работе [ ] под угрозой по­нимается целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой в системе информации и приводит к ее случайному или пре­думышленному изменению или уничтожению.

В работе [ ] предлагается под «угрозой безопасности информации» понимать «дей­ствие или событие, которое может привести к разрушению, искажению или несанкциони­рованному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и обрабатываемые средства».

Случайные угрозы включают в себя ошибки, пропуски и т. д., а также события, не зависящие от человека, например природные бедствия. Бедствия бывают природными или вызванными деятельностью. Меры защиты от них - в основном, организационные. К ошибкам аппаратных и программных средств относятся повреждения компьютеров и пе­риферийных устройств (дисков, лент и т.д.), ошибки в прикладных программах и др.

К ошибкам по невниманию, довольно часто возникающим во время технологиче­ского цикла обработки, передачи или хранения данных, относятся ошибки оператора или программиста, вмешательство во время выполнения тестовых программ, повреждение но­сителей информации и др.

Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т.д.), так и люди, внешние по отношению системе, так называемые «хакеры».

Авторы [ ] на примере практической деятельности коммерческих банков перечис­ляет основные виды угроз безопасности хранимой информации средства их реализации, к которым он относит:

копирование и кража программного обеспечения;

несанкционированный ввод данных;

изменение или уничтожение данных на магнитных носителях;

саботаж;

кража информации;

раскрытие конфиденциальной информации, используя несанкционированный доступ к базам данных, прослушивание каналов и т.п.;

компрометация информации посредством внесения несанкционированных изме­нений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений;

несанкционированное использование информационных ресурсов может нанести определенный ущерб, который может варьироваться от сокращения поступления финан­совых средств до полного выхода ЭИС из строя;

ошибочное использование информационных ресурсов может привести к разру­шению, раскрытию или компрометации информационных ресурсов, что является следст­вием ошибок, имеющихся в программном обеспечении ЭИС;

несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим послед­ствиям равносильно раскрытию содержания хранимой информации;

отказ в обслуживании представляет собой угрозу, источником которой может яв­ляться ЭИС, особенно опасен в ситуациях, когда задержка с предоставлением информа­ционных ресурсов, необходимых для принятия решения, может стать причиной нерацио­нальных действий руководства предприятия.

Под «несанкционированным доступом» понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднаме­ренных действий пользователей или других субъектов системы разграничения, являю­щейся составной частью системы защиты информации. Субъекты, совершившие несанк­ционированный доступ к информации, называются нарушителями. Нарушителем может быть любой человек из следующих категорий: штатные пользователи ЭИС; сотрудники- программисты, сопровождающие системное, общее и прикладное программное обеспе­чение системы; обслуживающий персонал (инженеры); другие сотрудники, имеющие санкционированный доступ к ЭИС.

С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспособности ЭИС.

Под «каналом несанкционированного доступа» к информации понимается по­следовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанкционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, приводящих к несанкционированному доступу. Действия нарушителя можно разделить на четыре основные категории:

Прерывание - прекращение нормальной обработки информации, например, вследствие разрушения вычислительных средств. Отметим, что прерывание может иметь серьезные последствия даже в том случае, когда сама информация никаким воздействиям не подвергается.

Кража, или раскрытие - чтение или копирование информации с целью получения данных, которые могут быть использованы либо злоумышленником, либо третьей стороной.

Видоизмение информации.

Разрушение - необратимое изменение информации, например стирание данных с

диска.

К основным способам несанкционированного получения информации, сформули­рованные по данным зарубежной печати относят:

применение подслушивающих устройств (закладок);

дистанционное фотографирование;

перехват электронных излучений;

принудительное электромагнитное облучение (подсветка) линий связи с целью осуществления паразитной модуляции несущей;

мистификация (маскировка под запросы системы);

перехват акустических излучений и восстановление текста принтера;

хищение носителей информации и производственных отходов;

считывание данных из массивов других пользователей;

чтение остаточной информации из памяти системы после выполнения санкцио­нированных запросов;

копирование носителей информации с преодолением мер защиты;

маскировка под зарегистрированного пользователя;

использование программных ловушек;

незаконное подключение к аппаратуре и линиям связи;

вывод из строя механизмов защиты.

Для обеспечения защиты хранимых данных используется несколько методов и ме­ханизмов их реализации. В литературе выделяют следующие способы защиты:

физические (препятствие);

законодательные;

управление доступом;

криптографическое закрытие.

Физические способы защиты основаны на создании физических препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на территорию и в помещения с аппаратурой или с носителями информации). Эти способы дают защиту только от «внешних» злоумышленников и не защищают ин­формацию от тех лиц, которые обладают правом входа в помещение.

Законодательные средства защиты составляют законодательные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавливают меры ответственности за нарушения этих правил.

Управление доступом представляет способ защиты информации путем регулиро­вания доступа ко всем ресурсам системы (техническим, программным, элементам баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдель­ным файлам в базах данных и т. д. Управление доступом предусматривает следующие функции защиты:

идентификацию пользователей, персонала и ресурсов системы (присвоение каж­дому объекту персонального идентификатора - имени, кода, пароля и т. п);

аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентификатору;

авторизацию - проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

разрешение и создание условий работы в пределах установленного регламента;

регистрацию (протоколирование) обращений к защищаемым ресурсам;

реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Самым распространенным методом установления подлинности является метод па­ролей. Пароль представляет собой строку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если введен­ный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной этим паролем. Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т. д. Ис­пользуют следующие виды паролей:

Простой пароль. Пользователь вводит такой пароль с клавиатуры после запроса, а компьютерная программа (или специальная микросхема) кодирует его и сравнивает с хранящимся в памяти эталоном. Преимущество простого пароля в том, что его не нужно записывать, а недостаток - в относительной легкости снятия защиты. Простой пароль ре­комендуется использовать для защиты данных небольшого значения и стоимости.

Пароль однократного использования. Пользователю выдается список из N паролей, которые хранятся в памяти компьютера в зашифрованном виде. После ис­пользования пароль стирается из памяти и вычеркивается из списка, так что перехват пароля теряет смысл. Такой пароль обеспечивает более высокую степень безопасности, но более сложен. Имеет он и другие недостатки. Во-первых, необходимо где-то хранить спи­сок паролей, так как запомнить его практически невозможно, а в случае ошибки в процессе передачи пользователь оказывается в затруднительном положении: он не знает, следует ли ему снова передать тот же самый пароль или послать следующий. Во-вторых, возникают чисто организационные трудности: список может занимать много места в памяти, его необходимо постоянно изменять и т. д.

Пароль на основе выборки символов. Пользователь вводит из пароля отдельные символы, позиции которых задаются с помощью преобразования случайных чисел или генератора псевдослучайных чисел. Очевидно, пароль следует менять достаточно часто, поскольку постороннее лицо может в конце концов составить пароль из отдельных сим­волов.

Метод «запрос-ответ». Пользователь должен дать правильные ответы на набор вопросов, хранящийся в памяти компьютера и управляемый операционной системой. Иногда пользователю задается много вопросов, и он может сам выбрать те из них, на ко­торые он хочет ответить. Достоинство этого метода состоит в том, что пользователь может выбрать вопросы, a это дает весьма высокую степень безопасности в процессе включения в работу.

Пароль на основе алгоритма. Пароль определяется на основе алгоритма, который хранится в памяти компьютера и известен пользователю. Система выводит на экран слу­чайное число, а пользователь, с одной стороны, и компьютер, с другой, на его основе вы­числяют по известному алгоритму пароль. Такой тип пароля обеспечивает более высокую степень безопасности, чем многие другие типы, но более сложен и требует дополнитель­ных затрат времени пользователя.

Пароль на основе персонального физического ключа. B памяти компьютера хра­нится таблица паролей, где они записаны как в зашифрованном, так и в открытом видах. Лицам, допущенным к работе в системе, выдается специальная магнитная карточка, на которую занесена информация, управляющая процессом шифрования. Пользователь дожен вставить карточку в считывающее устройство и ввести свой пароль в открытом виде. Вве­денный пароль кодируется с использованием информации, записанной на карточке, и ищется соответствующая точка входа в таблицу паролей. Если закодированный пароль соответствует хранящемуся эталону, подлинность пользователя считается установленной. Для такого типа пароля существует угроза того, что на основе анализа пары «шифрованный пароль - открытый пароль» злоумышленник сможет определить алгоритм кодирования. Поэтому рекомендуется применять стойкие схемы шифрования (ГОСТ 28147-89, DES).

Парольная защита широко применяется в системах защиты информации и характе­ризуется простотой и дешевизной реализации, малыми затратами машинного времени, не требует больших объемов памяти. Однако парольная защита часто не дает достаточного эффекта по следующим причинам:

Обычно задают слишком длинные пароли. Будучи не в состоянии запомнить па­роль, пользователь записывает его на клочке бумаги, в записной книжке и т. п., что сразу делает пароль уязвимым.

Пользователи склонны к выбору тривиальных паролей, которые можно подоб­рать после небольшого числа попыток.

Процесс ввода пароля в систему поддается наблюдению даже в том случае, когда вводимые символы не отображаются на экране.

Таблица паролей, которая входит обычно в состав программного обеспечения операционной системы, может быть изменена, что нередко и происходит. Поэтому табли­ца паролей должна быть закодирована, а ключ алгоритма декодирования должен нахо­диться только у лица, отвечающего за безопасность информации.

В систему может быть внесен «троянский конь», перехватывающий вводимые пароли и записывающий их в отдельный файл (такие случаи известны). Поэтому при работе с новыми программными продуктами необходима большая осторожность.

При работе с паролями рекомендуется применение следующих правил и мер предосторожности:

не печатать пароли и не выводить их на экран;

часто менять пароли - чем дольше используется один и тот же пароль, тем боль­ше вероятность его раскрытия;

каждый пользователь должен хранить свой пароль и не позволять посторонним узнать его;

всегда зашифровывать пароли и обеспечивать их защиту недорогими и эффектив­ными средствами;

правильно выбирать длину пароля - чем она больше, тем более высокую степень безопасности будет обеспечивать система, так как тем труднее будет отгадать пароль.

Основным методом защиты информации от несанкционированного доступа являет­ся также метод обеспечения разграничения функциональных полномочий и доступа к информации, направленный на предотвращение не только возможности потенциального нарушителя «читать» хранящуюся в ПЭВМ информацию, но и возможности нарушителя модифицировать ее штатными и нештатными средствами.

Требования по защите информации от несанкционированного доступа направлены на достижение (в определенном сочетании) трех основных свойств защищаемой инфор­мации:

конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);

целостность (информация, на основе которой принимаются важные решения, должна быть достоверной и точной и должна быть защищена от возможных непреднаме­ренных и злоумышленных искажений);

готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию всегда, когда в этом возникает необходимость).

Вторым методом, дополняющим первый, является разработка процедуры кон­троля доступа к данным, которая призвана для решения двух задач:

сделать невозможным обход системы разграничения доступа действиями, нахо­дящимися в рамках выбранной модели;

гарантировать идентификацию пользователя, осуществляющего доступ к данным.

Одним из основных методов увеличения безопасности ЭИС является регистрация пользователей и всех их действий, для чего необходимо разработать «Систему регистра­ции и учета», ответственную за ведение регистрационного журнала, которая позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утеч­ки информации. В «Регистрационном журнале» фиксируются все осуществленные и не­осуществленные попытки доступа к данным или программам и ведется список всех кон­тролируемых запросов, осуществляемых пользователями системы.

Одним из потенциальных каналов несанкционированного доступа к информации является несанкционированное изменение прикладных и специальных программ наруши­телем с целью получения конфиденциальной информации. Эти изменения могут пресле­довать цель изменения правил разграничения доступа или обхода их (при внедрении в прикладные программы системы защиты), либо организацию незаметного канала получе­ния конфиденциальной информации непосредственно из прикладных программ (при вне­дрении в прикладные программы). Например, в работе [ ], приводятся следующие виды вредительских программ:

Лазейки ^гарёооге). Лазейка представляет собой точку входа в программу, бла­годаря чему открывается непосредственный доступ к некоторым системным функциям. Лазейки обычно вставляют во время проектирования системы. Системные программисты организуют их при отладке программы, но по завершении ее разработки их надо устра­нить. Обнаружить лазейки можно путем анализа работы программ.

Логические бомбы (1о§ю ьошьб). Логическая бомба - это компьютерная про­грамма, которая приводит к повреждению файлов или компьютеров. Повреждение варьи­руется от искажения данных до полного стирания всех файлов и/или повреждения компь­ютера. Логическую бомбу, как правило, вставляют во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово).

Троянские кони (1хо]ап Ьогеев). Троянский конь - это программа, которая приво­дит к неожиданным (и обычно нежелательным) последствиям в системе. Особенностью троянского коня является то, что пользователь обращается к этой программе, считая ее полезной. Троянские кони способны раскрыть, изменить или уничтожить данные или файлы. Их встраивают в программы широкого пользования, например в программы об­служивания сети, электронной почты и др. Антивирусные средства не обнаруживают эти программы, но системы управления доступом в больших компьютерах обладают меха­низмами идентификации и ограничения их действия. B «Оранжевой книге» Национально­го центра защиты компьютеров США ведется постоянно обновляемый список известных программ этого рода.

Червяки ^огшб). Червяк - это программа, которая распространяется в системах и сетях по линиям связи. Такие программы подобны вирусам в том отношении, что они заражают другие программы, а отличаются от них тем, что они не способны самовоспро­изводиться. B отличие от троянского коня червяк входит в систему без ведома пользователя и копирует себя на рабочих станциях сети.

Бактерии (Ьайепа). Этот термин вошел в употребление недавно и обозначает программу, которая делает копии самой себя и становится паразитом, перегружая память и процессор.

Вирусы (у1гшев). Определения вируса весьма разнообразны, как и сами вирусы. Утвердилось определение д-ра Фредерика Коуэна ^геёепск СоЬеп): «Компьютерный ви­рус - это программа, которая способна заражать другие программы, модифицируя их так, чтобы они включали в себя копию вируса (или его разновидность)». Объектами вируса являются операционная система, системные файлы, секторы начальной загрузки дисков, командный файл, таблица размещения файлов (FAT), файлы типа COM или EXE, файл CONFIG.SYS и КМОП-память компьютеров на основе микропроцессоров 1П;е1 80286 и 80386. B зависимости от области распространения и воздействия вирусы делятся на раз­рушительные и неразрушительные, резидентные и нерезидентные, заражающие сектор начальной загрузки, заражающие системные файлы, прикладные программы и др.

К числу методов противодействия этому относится метод контроля целостности базового программного обеспечения специальными программами. Однако этот метод недостаточен, поскольку предполагает, что программы контроля целостности не могут быть подвергнуты модификации нарушителем.

Надежность защиты может быть обеспечена правильным подбором основных ме­ханизмов защиты, некоторые из которых рассмотрим ниже.

Механизм регламентации, основанный на использовании метода защиты инфор­мации, создает такие условия автоматизированной обработки, хранения и передачи защи­щаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Механизм аутентификации. Различают одностороннюю и взаимную аутентифи­кацию. В первом случае один из взаимодействующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.

Криптографические методы защиты информации. Эти методы защиты широко применяется за рубежом как при обработке, так и при хранении информации, в т.ч. на дискетах. Для реализации мер безопасности используются различные способы шифрова­ния (криптографии), суть которых заключается в том, что данные, отправляемые на хра­нение, или сообщения, готовые для передачи зашифровывается и тем самым преобразует­ся в шифрограмму или закрытый текст. Санкционированный пользователь получает данные или сообщение, дешифрует их или раскрывает посредством обратного преобразо­вания криптограммы, в результате чего получается исходный открытый текст. Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом, или битовой по­следовательностью, обычно называемым шифрующим ключом.

В современной криптографии существует два типа криптографических алгоритмов:

классические алгоритмы, основанные на использовании закрытых, секретных ключей (симметричные);

алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ (асимметричные). В настоящее время находят широкое практическое при­менение в средствах защиты электронной информации алгоритмы с секретным ключом.

Рассмотрим кратко особенности их построения и применения.

1. Симметричное шифрование, применяемое в классической криптографии, предполагает использование одной секретной единицы - ключа, который позволяет от­правителю зашифровать сообщение, а получателю расшифровать его. В случае шифрова­ния данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.

Секретные ключи представляют собой основу криптографических преобразований, для которых, следуя правилу Керкхофа, стойкость хорошей шифровальной системы опре­деляется лишь секретностью ключа [ ].

Все многообразие существующих криптографических методов специалисты сводят к следующим классам преобразований [ ]:

Моно и многоалфавитные подстановки - наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по бо­лее или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Перестановки - несложный метод криптографического преобразования, исполь­зуемый, как правило, в сочетании с другими методами.

Гаммирование - метод, который заключается в наложении на открытые данные некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Блочные шифры - представляют собой последовательность (с возможным повто­рением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем «чистые» преоб­разования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

Самым простым способом шифрования является способ, который заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определен­ном ключе и наложении полученной гаммы на открытые данные обратимым способом. Под гаммой шифра понимается псевдослучайная двоичная последовательность, выраба­тываемая по заданному алгоритму, для шифрования открытых данных и расшифровыва­ния зашифрованных данных [3].

Для генерации гаммы применяют программы для ЭВМ, которые хотя и называются генераторами случайных чисел. При этом требуется, чтобы, даже зная закон формирова­ния, но не зная ключа в виде начальных условий, никто не смог бы отличить числовой ряд от случайного.

В работе [ ] формулируются три основных требования к криптографически стойко­му генератору псевдослучайной последовательности или гаммы:

Период гаммы должен быть достаточно большим для шифрования сообщений различной длины.

Гамма должна быть трудно предсказуемой. Это значит, что если известны тип генератора и кусок гаммы, то невозможно предсказать следующий за этим куском бит гаммы с вероятностью выше х. Если криптоаналитику станет известна какая-то часть гам­мы, он все же не сможет определить биты, предшествующие ей или следующие за ней.

Генерирование гаммы не должно быть связано с большими техническими и ор­ганизационными трудностями.

Таким образом - стойкость шифрования с помощью генератора псевдослучайных чисел зависит как от характеристик генератора, так и - причем в большей степени - от ал­горитма получения гаммы.

Процесс расшифровывания данных сводится к повторной генерации гаммы шифра при известном ключе и наложения такой гаммы на зашифрованные данные. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высо­кую скорость шифрования, однако недостаточно стоек к дешифрованию и поэтому не­применим для серьезных информационных систем.

На сегодня реализовано довольно много различных алгоритмов криптографической защиты информации. Среди них можно назвать алгоритмы DES, Rainbow (США); FEAL-4 и FEAL-8 (Япония); B-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147-89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты. Рассмотрим алгоритмы, наиболее широко применяемые в зарубежной и отечественной практике.

Алгоритм, изложенный в стандарте DES (Data Encryption Standard), принят в каче­стве федерального стандарта в 1977 году, наиболее распространен и широко применяется для шифрования данных в США. Этот алгоритм был разработан фирмой IBM для собст­венных целей. Однако после проверки Агентством Национальной Безопасности (АНБ) США он был рекомендован к применению в качестве федерального стандарта шифрова­ния. Этот стандарт используется многими негосударственными финансовыми института­ми, в том числе банками и службами обращения денег. Алгоритм DES не является закры­тым и был опубликован для широкого ознакомления, что позволяет пользователям свободно применять его для своих целей.

При шифровании применяется 64-разрядный ключ. Для шифрования используются только 56 разрядов ключа, а остальные восемь разрядов являются контрольными. Алго­ритм DES достаточно надежен. Он обладает большой гибкостью при реализации различ­ных приложений обработки данных, так как каждый блок данных шифруется независимо от других. Это позволяет расшифровывать отдельные блоки зашифрованных сообщений или структуры данных, а следовательно, открывает возможность независимой передачи блоков данных или произвольного доступа к зашифрованным данным. Алгоритм может реализовываться как программным, так и аппаратным способами. Существенный недоста­ток этого алгоритма - малая длина ключа.

В настоящее время близится к завершению разработка нового американского стан­дарта шифрования AES (aes.nist.gov). Национальный институт стандартов и технологий США (NIST) объявил о соответствующем конкурсе, предъявив следующие условия: длина ключа должна составлять 128, 192 или 256 бит, длинна блоков данных - 128 бит. Кроме того, новый алгоритм должен работать быстрее DES.

Алгоритм шифрования, определяемый российским стандартом ГОСТ 28147-89, яв­ляется единым алгоритмом криптографической защиты данных для крупных информаци­онных систем, локальных вычислительных сетей и автономных компьютеров. Этот алго­ритм может реализовываться как аппаратным, так и программным способами, удовлетво­ряет всем криптографическим требованиям, сложившимся в мировой практике, и, как следствие, позволяет осуществлять криптографическую защиту любой информации, неза­висимо от степени ее секретности.

В алгоритме ГОСТ 28147-89, в отличие от алгоритма DES, используется 256- разрядный ключ, представляемый в виде восьми 32-разрядных чисел. Расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы. Алго­ритм ГОСТ 28147-89 полностью удовлетворяет всем требованиям криптографии и обла­дает теми же достоинствами, что и другие алгоритмы (например, DES), но лишен их не­достатков. Он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. Крупный недостаток этого алгоритма - большая сложность его программной реализации и низкая скорость работы.

Из алгоритмов шифрования, разработанных в последнее время, большой интерес представляет алгоритм RC6 фирмы RSA Data Security. Этот алгоритм обладает следую­щими свойствами:

адаптивностью для аппаратных средств и программного обеспечения, что означа­ет использование в нем только примитивных вычислительных операций, обычно присут­ствующих на типичных микропроцессорах;

алгоритм быстрый, т. е. в базисных вычислительных операциях операторы рабо­тают на полных словах данных;

адаптивностью на процессоры различных длин слова. Число w бит в слове - па­раметр алгоритма;

наличием параметра, отвечающего за «степень перемешивания», т.е. число раун­дов (итераций до 255). Пользователь может явно выбирать между более высоким быстро­действием и более высоким перемешиванием;

низким требованием к памяти, что позволяет реализовывать алгоритм на устрой­ствах с ограниченной памятью;

использованием циклических сдвигов, зависимых от данных, с «переменным» числом.

простотой и легкостью выполнения.

Алгоритм RC6 работает на четырех модулях w-бит слов и использует только четы­ре примитивных операции (и их инверсии), длина ключа до 2040 бит (255 байт). Алгоритм открыт для публикаций и полностью документирован, т.е. процедуры шифрования и рас­шифровывания «прозрачны» для пользователя.

2. (Алгоритмы с обратным ключом) Асимметричные алгоритмы шифрования,

называемые также системами с открытым ключом, являются на сегодняшний день пер­спективными системами криптографической защиты. Их суть состоит в том, что ключ, используемый для шифрования, отличен от ключа расшифровывания. При этом ключ шифрования не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помощью известного ключа шифрования невозможно. Для расшиф­ровывания используется специальный, секретный ключ. При этом знание открытого клю­ча не позволяет определить ключ секретный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.

Суть криптографических систем с открытым ключом сводится к тому, что в них ис­пользуются так называемые необратимые функции (иногда их называют односторонними или однонаправленными), которые характеризуются следующим свойством: для данного исходного значения с помощью некоторой известной функции довольно легко вычислить результат, но рассчитать по этому результату исходное значение чрезвычайно сложно.

Известно несколько криптосистем с открытым ключом, например схема Т. Эль- Гамаля (T. El Gamal), в которой используется идея криптосистемы, предложенная У. Диффи (W. Diffie) и М. Э. Хеллманом (M. E. Hellman), криптосистема RSA и др.

Наиболее разработана система RSA, предложенная в 1978 г. Алгоритм RSA назван по первым буквам фамилий его авторов: Р. Л. Райвеста (R. L. Rivest), А. Шамира (A. Shamir) и Л. Адлемана (L. Adleman). RSA - это система коллективного пользования, в ко­торой каждый из пользователей имеет свои ключи шифрования и расшифровывания дан­ных, причем секретен только ключ расшифровывания.

Специалисты считают, что системы с открытым ключом больше подходят для шифрования передаваемых данных, чем для защиты данных, хранимых на носителях ин­формации. Существует еще одна область применения этого алгоритма - цифровые подпи­си, подтверждающие подлинность передаваемых документов и сообщений.

Асимметричные криптосистемы считаются перспективными, так как в них не ис­пользуется передача ключей другим пользователям и они легко реализуются как аппарат­ным, так и программным способами.

Однако системы типа RSA имеют свои недостатки:

Они работают значительно медленнее, чем классические, и требуют длины ключа порядка 300 - 600 бит. Поэтому все их достоинства могут быть сведены на нет низкой скоростью их работы.

Кроме того, для ряда функций уже найдены алгоритмы инвертирования, т.е. дока­зано, что они не являются необратимыми. Для функций, используемых в системе RSA, такие алгоритмы не найдены, но нет и строгого доказательства необратимости используе­мых функций.

Проектируемая надежная криптографическая система должна удовлетворять таким требованиям:

процедуры шифрования и расшифровывания должны быть «прозрачны» для пользователя;

дешифрование закрытой информации должно быть максимально затруднено;

содержание передаваемой информации не должно сказываться на эффективности криптографического алгоритма;

надежность криптозащиты не должна зависеть от содержания в секрете самого алгоритма шифрования (примерами этого являются как алгоритм DES, так и алгоритм ГОСТ 28147-89).

Стойкость любой системы закрытой связи определяется степенью секретности ис­пользуемого в ней ключа. Криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслу­шивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом.

Механизм обеспечения целостности данных применяются как к отдельному бло­ку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимо­связанных процедур шифрования и дешифрования отправителем и получателем. Отправи­тель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не по­зволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности пото­ка, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.

Защита от несанкционированного копирования ценной компьютерной ин­формации является самостоятельным видом защиты имущественных прав, ориентиро­ванных на проблему защиты интеллектуальной собственности, воплощенной в виде цен­ных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предвари­тельной обработке (вставка парольной защиты, проверок по обращению к устройствам хранения ключа и ключевым дискетам, и т.д.), которая приводит исполняемый код защи­щаемой базы данных в состояние, препятствующее его выполнению на «чужих» машинах.

Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или системной шине ПЭВМ.

Необходимо иметь в виду, что подлежащие защите сведения могут быть получены «противником» не только за счет осуществления «проникновения» к ЭВМ, которые с дос­таточной степенью надежности могут быть предотвращены (например, все данные хра­нятся в зашифрованном виде), но и за счет побочных электромагнитных излучений и на­водок на цепи питания и заземления ЭВМ, а также каналы связи.

Все без исключения электронные устройства, блоки и узлы ЭВМ в той или иной мере излучают, причем подобные побочные сигналы могут быть достаточно мощными и могут распространяться на расстояния от нескольких метров до нескольких километров. При этом наибольшую опасность представляет получение «противником» информации о ключах. Восстановив ключ, можно предпринять ряд успешных действий по овладению зашифрованными данными, которые, как правило, охраняются менее тщательно, чем со­ответствующая открытая информация.

С этой точки зрения выгодно отличаются аппаратные и программно-аппаратные средства защиты от несанкционированного доступа, для которых побочные сигналы о ключевой информации существенно ниже, чем для чисто программных реализаций.

10.2. Стандарты на создание систем защиты данных

При создании корпоративных ЭИС (см. ) возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их серти­фикация специализированными организациями на соответствие международным и нацио­нальным стандартам. В этом случае повышается эффективность и качество разрабатывае­мых систем защиты данных и возрастает степень доверия заказчиков к внедряемым ЭИС.

Основные понятия, требования, методы и средства проектирования и оценки сис­темы информационной безопасности для ЭИС, отражены в следующих основополагаю­щих документах [ ]:

«Оранжевая книга» Национального центра защиты компьютеров США (ТСБЕС);

«Гармонизированные критерии Европейских стран (1Т8ЕС)»;

Рекомендации Х.800;

Концепция защиты от НСД Госкомиссии при Президенте РФ.

Знание критериев оценки информационной безопасности, изложенных в этих до­кументах, способно помочь проектировщикам при выборе и комплектовании аппаратно- программной конфигурации ЭИС. Кроме того, в процессе эксплуатации администратор системы защиты информации должен ориентироваться на действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени будет претер­певать изменения и нужно, во-первых, оценивать целесообразность модификаций и их по­следствия, а, во-вторых, соответствующим образом корректировать технологию пользова­ния и администрирования системой. При этом целесообразно знать, на что обращают внимание при сертификации, поскольку это позволяет сконцентрироваться на анализе критически важных аспектов, повышая качество защиты.

Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защиты информации в ЭИС, изложенных в этих доку­ментах.

«Оранжевая книга» Национального центра защиты компьютеров США (TCSEC)

«Оранжевая книга» - это название документа, который был впервые опубликован в августе 1983 года в Министерстве обороны США. В этом документе дается пояснение по­нятия «безопасной системы», которая «управляет, посредством соответствующих средств, доступом к информации так, что только должным образом авторизованные лица или про­цессы, действующие от их имени, получают право читать, писать, создавать и удалять ин­формацию». Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.

В «Оранжевой книге» надежная система определяется как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную об­работку информации разной степени секретности группой пользователей без нарушения прав доступа». Степень доверия, или надежность проектируемой или используемой сис­темы защиты или ее компонент, оценивается по двум основным критериям:

концепция безопасносности;

гарантированность.

1. Концепция безопасности системы защиты

Концепция безопасности разрабатываемой системы - «это набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распро­страняет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформу­лированной концепции можно выбирать конкретные механизмы, обеспечивающие безо­пасность системы. Концепция безопасности - это активный компонент защиты, вклю­чающий в себя анализ возможных угроз и выбор мер противодействия» [ ].

Концепция безопасности разрабатываемой системы согласно «Оранжевой книге» должна включать в себя по крайней мере следующие элементы:

Произвольное управление доступом.

Безопасность повторного использования объектов.

Метки безопасности.

Принудительное управление доступом.

Рассмотрим содержание перечисленных элементов.

1.1. Произвольное управление доступом - это метод ограничения доступа к объ­ектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

С концептуальной точки зрения текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столб­цах - объекты. В клетках, расположенных на пересечении строк и столбцов, записываются способы доступа, допустимые для субъекта по отношению к объекту - например, чтение, запись, выполнение, возможность передачи прав другим субъектам и т. п.

Очевидно, прямолинейное представление подобной матрицы невозможно, по­скольку она очень велика и разрежена (то есть большинство клеток в ней пусты). В опера­ционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (например, владелец/группа/прочие), или на механизме списков управления доступом, то есть на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры списков управления доступом в разумных рамках.

Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную инфор­мацию в общедоступные файлы.

Безопасность повторного использования объектов - важное на практике до­полнение средств управления доступом, предохраняющее от случайного или преднаме­ренного извлечения секретной информации из «мусора». Безопасность повторного ис­пользования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.

Метки безопасности ассоциируются с субъектами и объектами для реализа­ции принудительного управления доступом. Метка субъекта описывает его благонадеж­ность, метка объекта - степень закрытости содержащейся в нем информации.

Согласно «Оранжевой книге», метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, обра­зуют упорядоченное множество, которое может выглядеть, например, так:

совершенно секретно;

секретно;

конфиденциально;

несекретно.

Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых опе­рациях с данными метки должны оставаться правильными.

Одним из средств обеспечения целостности меток безопасности является разделе­ние устройств на многоуровневые и одноуровневые. На многоуровневых устройствах мо­жет храниться информация разного уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уро­вень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информа­цию на принтере общего пользования с уровнем «несекретно» потерпит неудачу.

1.4. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принуди­тельным, поскольку он не зависит от воли субъектов (даже системных администраторов).

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен: читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может пи­сать в секретные файлы, но не может - в несекретные (разумеется, должны также выпол­няться ограничения на набор категорий).

После того, как зафиксированы метки безопасности субъектов и объектов, оказы­ваются зафиксированными и права доступа. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту X еще и для пользователя У». Конечно, можно изменить метку безопасности пользователя У, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во многих вариантах операци­онных систем и СУБД, отличающихся повышенными мерами безопасности. Независимо от практического использования, принципы принудительного управления являются удоб­ным методологическим базисом для начальной классификации информации и распреде­ления прав доступа. Удобнее проектировать в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. На практике произвольное и при­нудительное управление доступом сочетается в рамках одной системы, что позволяет ис­пользовать сильные стороны обоих подходов.

Если понимать систему безопасности узко, то есть как правила разграничения дос­тупа, то механизм подотчетности является дополнением подобной системы. Цель подот­четности - в каждый момент времени знать, кто работает в системе и что он делает. Сред­ства подотчетности делятся на три категории:

Идентификация и аутентификация;

Предоставление надежного пути;

Анализ регистрационной информации.

Рассмотрим эти категории подробнее.

Идентификация и аутентификация. Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обыч­ный способ идентификации - ввод имени пользователя при входе в систему. В свою оче­редь, система должна проверить подлинность личности пользователя, то есть что он явля­ется именно тем, за кого себя выдает. Стандартное средство проверки подлинности (аутентификации) - пароль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование роговицы или отпечатков пальцев) или их комбинация.

Предоставление надежного пути. Надежный путь связывает пользователя непо­средственно с надежной вычислительной базой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути - дать пользователю возмож­ность убедиться в подлинности обслуживающей его системы.

Задача обеспечения надежного пути становится чрезвычайно сложной, если поль­зователь общается с интеллектуальным терминалом, персональным компьютером или ра­бочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «Троянским конем».

Анализ регистрационной информации - аудит имеет дело с действиями (собы­тиями), так или иначе затрагивающими безопасность системы. К числу таких событий относятся:

Вход в систему (успешный или нет);

Выход из системы;

Обращение к удаленной системе;

Операции с файлами (открыть, закрыть, переименовать, удалить);

Смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

Полный перечень событий, потенциально подлежащих регистрации, зависит от из­бранной системы безопасности и от специфики ЭИС. Протоколирование помогает следить за пользователями и реконструировать прошедшие события. Реконструкция событий по­зволяет проанализировать случаи нарушений, понять, почему они стали возможны, оце­нить размеры ущерба и принять меры по недопущению подобных нарушений в будущем. При протоколировании события записывается следующая информация:

Дата и время события;

Уникальный идентификатор пользователя - инициатора действия;

Тип события;

Результат действия (успех или неудача);

Источник запроса (например, имя терминала);

Имена затронутых объектов (например, открываемых или удаляемых файлов);

Описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);

Метки безопасности субъектов и объектов события.

Необходимо подчеркнуть важность не только сбора информации, но и ее регуляр­ного и целенаправленного анализа. В плане анализа выгодное положение занимают сред­ства аудита СУБД, поскольку к регистрационной информации могут естественным обра­зом применяться произвольные SQL-запросы. Следовательно, появляется возможность для выявления подозрительных действий применять сложные эвристики.

2. Гарантированность системы защиты

Гарантированность - «мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (формальной или нет) общего замысла и исполнения системы в целом и ее ком­понентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выбранной концепции безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за самими защитниками» [ ].

Гарантированность - это мера уверенности, с которой можно утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий на­бор средств, и что каждое из этих средств правильно исполняет отведенную ему роль. В «Оранжевой книге» рассматривается два вида гарантированности - операционная и тех­нологическая. Операционная гарантированность относится к архитектурным и реализаци­онным аспектам системы, в то время как технологическая - к методам построения и со­провождения.

Операционная гарантированность - это способ убедиться в том, что архи­тектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности, и включает в себя проверку следующих элементов:

архитектуры системы;

целостности системы;

анализа тайных каналов передачи информации;

надежного администрирования;

надежного восстановления после сбоев;

операционной гарантированности.

Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подобных архитектурных решений в рамках аппарату­ры и операционной системы - разделение команд по уровням привилегированности, за­щита различных процессов от взаимного влияния за счет выделения каждому своего вир­туального пространства, особая защита ядра ОС. В принципе меры безопасности не обязательно должны быть заранее встроены в систему - достаточно принципиальной воз­можности дополнительной установки защитных продуктов надежности компонентов.

Целостность системы в данном контексте означает, что аппаратные и программ­ные компоненты надежной вычислительной базы работают должным образом и что име­ется аппаратное и программное обеспечение для периодической проверки целостности.

Анализ тайных каналов передачи информации - тема, специфичная для режим­ных систем, когда главное - обеспечить конфиденциальность информации. Тайным назы­вается канал передачи информации, не предназначенный для обычного использования. Обычно тайные каналы используются не столько для передачи информации от одного злоумышленника другому, сколько для получения злоумышленником сведений от вне­дренного в систему «Троянского коня».

Надежное администрирование в трактовке «Оранжевой книги» означает, что должны быть логически выделены три роли - системного администратора, системного оператора и администратора безопасности. Физически эти обязанности может выполнять один человек, но, в соответствии с принципом минимизации привилегий, в каждый мо­мент времени он должен выполнять только одну из трех ролей. Конкретный набор обя­занностей администраторов и оператора зависит от специфики организации.

Надежное восстановление после сбоев - метод обеспечения гарантированности, при котором должна быть сохранена целостность информации и, в частности, целостность меток безопасности. Надежное восстановление включает в себя два вида деятельности - подготовку к сбою (отказу) и собственно восстановление. Подготовка к сбою - это и регу­лярное выполнение резервного копирования, и выработка планов действий в экстренных случаях, и поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или административных процедур.

Технологическая гарантированность охватывает весь жизненный цикл сис­темы, то есть этапы проектирования, реализации, тестирования, внедрения и сопровожде­ния. Все перечисленные действия должны выполняться в соответствии с жесткими стан­дартами, чтобы обезопаситься от утечки информации и нелегальных «закладок».

Критерии, изложенные в «Оранжевой книге» позволили специалистам ранжиро­вать информационные системы защиты информации по степени надежности. В этом до­кументе определяется четыре уровня безопасности (надежности) - Б, С, В и А. Уровень Б предназначен для систем, признанных неудовлетворительными. В настоящее время он со­держит две подсистемы управления доступом. По мере перехода от уровня C к A к надеж­ности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы система в ре­зультате процедуры сертификации могла быть отнесена к некоторому классу, ее концеп­ция безопасности и гарантированность должны удовлетворять разработанной системе требований, соответствующей этому классу.

Гармонизированные критерии Европейских стран (ITSEC)

Следуя по пути интеграции, Европейские страны приняли согласованные (гармо­низированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC) [ ], опубликованных в июне 1991 года от имени соответствующих органов четырех стран - Франции, Германии, Нидерландов и Ве­ликобритании.

Принципиально важной чертой Европейских Критериев является отсутствие апри­орных требований к условиям, в которых должна работать информационная система. Ор­ганизация, запрашивающая сертификационные услуги, формулирует цель оценки, то есть описывает условия, в которых должна работать система, возможные угрозы ее безопасно­сти и предоставляемые ею защитные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функциями, то есть на­сколько корректны и эффективны архитектура и реализация механизмов безопасности в описанных разработчиком условиях.

Таким образом, в терминологии «Оранжевой книги», Европейские Критерии отно­сятся к оценке степени гарантированности безопасной работы спроектированной системы.

Европейские Критерии рассматривают следующие основные понятия, составляю­щие базу информационной безопасности:

конфиденциальность, то есть защиту от несанкционированного получения ин­формации;

целостность, то есть защиту от несанкционированного изменения информации;

доступность, то есть защиту от несанкционированного удержания информации и ресурсов

В Европейских Критериях средства, имеющие отношение к информационной безо­пасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстракт­ный взгляд касается лишь целей безопасности. На этом уровне получают ответ на вопрос, зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности, т. е. здесь выявляется, какая функциональность на самом деле обеспечива­ется. На третьем уровне содержится информация о механизмах безопасности, показы­вающих, как реализуется указанная функция.

Критерии рекомендуют выделить в спецификациях реализуемых функций обеспе­чения безопасности более расширенный, по сравнению с «Оранжевой книгой», состав раз­делов или классов функций:

Идентификация и аутентификация.

Управление доступом.

Подотчетность.

Аудит.

Повторное использование объектов.

Точность информации.

Надежность обслуживания.

Обмен данными.

Чтобы облегчить формулировку цели оценки, Европейские Критерии содержат в качестве приложения описание десяти примерных классов функциональности, типичных для правительственных и коммерческих систем. Пять из них (Б-С1, Б-С2, Б-В1, Б-В2, Б- В3) соответствуют классам безопасности «Оранжевой книги».

Кроме того, в Критериях определены три уровня мощности механизмов защиты— базовый, средний и высокий. Согласно Критериям, мощность можно считать базовой, если механизм способен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ре­сурсами и возможностями. Наконец, мощность можно считать высокой, если есть уверен­ность, что механизм может быть побежден только злоумышленником с высокой квалифи­кацией, набор возможностей и ресурсов которого выходит за пределы практичности.

Важной характеристикой является простота использования продукта или системы. Должны существовать средства, информирующие персонал о переходе объекта в небезо­пасное состояние (что может случиться в результате сбоя, ошибок администратора или пользователя).

Эффективность защиты признается неудовлетворительной, если выявляются сла­бые места, и эти слабости не исправляются до окончания процесса оценки. В таком случае объекту оценки присваивается уровень гарантированности Е0.

При проверке корректности объекта оценки - разработанной системы защиты применяются две группы критериев. Первая группа относится к конструированию и раз­работке системы или продукта, вторая - к эксплуатации разработанной системы.

Концепция защиты от НСД Госкомиссии при Президенте РФ

В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации [ ]. Идейной основой набора Руководящих документов является «Концепция защиты СВТ и АС от НСД к информации». Концепция «излагает систему взглядов, ос­новных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасно­сти информации».

Выделяют различные способы покушения на информационную безопасность - ра­диотехнические, акустические, программные и т.п. Среди них НСД выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использо­ванием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированной системой (АС). Под штатными средствами понимается совокуп­ность программного, микропрограммного и технического обеспечения СВТ или АС.

В Концепции формулируются следующие основные принципы защиты от НСД к информации:

Защита АС обеспечивается комплексом программно-технических средств и под­держивающих их организационных мер.

Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонт­ных и регламентных работ.

Программно-технические средства защиты не должны существенно ухудшать ос­новные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических ха­рактеристик оцениваемого объекта, включая технические решения и практическую реали­зацию средств защиты.

Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере не­обходимости пользователем АС или контролирующими органами.

Функции системы разграничения доступа и обеспечивающих средств, предлагае­мые в Концепции, по сути близки к аналогичным положениям «Оранжевой книги».

В предлагаемой Гостехкомиссией при Президенте РФ классификации автоматизи­рованных систем по уровню защищенности от несанкционированного доступа к инфор­мации устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки инфор­мации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, допу­щенный ко всей информации АС, размещенной на носителях одного уровня конфиденци­альности. Группа содержит два класса - 3Б и 3 А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые пра­ва доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на но­сителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновре­менно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1 Д, 1 Г, 1 В, 1 Б и 1 А.

В работе [ ] излагаются требования к достаточно представительному классу защи­щенности - 1В по следующим подсистемам:

Подсистема управления доступом:

идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шес­ти буквенно-цифровых символов;

идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних уст­ройств ЭВМ по логическим именам и/или адресам;

идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

управление потоками информации с помощью меток конфиденциальности (уро­вень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации).

Подсистема регистрации и учета:

регистрация входа/выхода субъектов доступа в систему/из системы или регистра­ция загрузки и инициализации операционной системы и ее программного останова;

регистрация выдачи печатных (графических) документов на «твердую» копию;

регистрация запуска/завершения программ и процессов (заданий, задач), предна­значенных для обработки защищаемых файлов;

регистрация попыток доступа программных средств к дополнительным защищае­мым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внеш­ним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;

регистрация изменений полномочий субъектов доступа и статуса объектов доступа;

автоматический учет создаваемых защищаемых файлов с помощью их дополни­тельной маркировки, используемой в подсистеме управления доступом (маркировка должна отражать уровень конфиденциальности объекта);

учет всех защищаемых носителей информации с помощью их любой маркировки;

очистка (обнуление, обезличивание) освобождаемых областей оперативной памя­ти ЭВМ и внешних накопителей;

сигнализация попыток нарушения защиты.

► Подсистема обеспечения целостности:

целостность программных средств системы защиты информации (СЗИ) НСД, а также неизменность программной среды (целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, целостность программной среды обес­печивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защи­щаемой информации);

физическая охрана СВТ (устройств и носителей информации), предусматриваю­щая постоянное наличие охраны территории и здания, где размещается ЭИС, с помощью технических средств охраны и специального персонала, использование строгого пропуск­ного режима, специальное оборудование помещений ЭИС;

назначение администратора (службы) защиты информации, ответственного за ве­дение, нормальное функционирование и контроль работы СЗИ НСД с предоставлением терминала и необходимых средств оперативного контроля и воздействия на безопасность ЭИС;

периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;

наличие средств восстановления СЗИ НСД, предусматривающих ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль рабо­тоспособности;

использование сертифицированных средств защиты.

Перечисленные требования составляют минимум, которому необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.

Рекомендации X.800

«Оранжевая книга» Министерства обороны США и Руководящие документы Гос­техкомиссии при Президенте РФ создавались в расчете на централизованные конфигура­ции, основу которых составляют большие машины. Распределенная организация совре­менных информационных систем требует внесения существенных изменений и дополнений как в политику безопасности, так и в способы проведения ее в жизнь. Появи­лись новые угрозы, для противодействия которым нужны новые функции и механизмы защиты. Основополагающим документом в области защиты распределенных систем стали рекомендации Х.800 [ ]. В этом документе перечислены основные сервисы (функции) безопасности, характерные для распределенных систем, и роли, которые они могут иг­рать. Кроме того, здесь указан перечень основных механизмов, с помощью которых мож­но реализовать эти сервисы.

10.3. Проектирование системы защиты данных в ИБ

Для разработки системы защиты информации проектировщикам необходимо вы­полнить следующие виды работ:

на предпроектной стадии определить особенности хранимой информации, вы­явить виды угроз и утечки информации и разработать ТЗ на разработку системы;

на стадии проектирования выбрать концепцию и принципы построения системы защиты и разработать функциональную структуру системы защиты;

выбрать механизмы - методы защиты, реализующие выбранные функции;

разработать программное, информационное и технологическое и организационное обеспечение системы защиты;

провести отладку разработанной системы;

разработать пакет технологической документации;

осуществить внедрение системы;

проводить комплекс работ по эксплуатации и администрированию системы защиты.

Существенное значение при проектировании системы защиты информации прида­ется предпроектному обследованию объекта. На этой стадии выполняется следующие операции:

устанавливается наличие секретной (конфиденциальной) информации в разраба­тываемой ЭИС, оценивается уровень конфиденциальности и объемы такой информации;

определяются режимы обработки информации (диалоговый, телеобработки и ре­жим реального времени), состав комплекса технических средств, общесистемные про­граммные средства и т.д.;

анализируется возможность использования имеющихся на рынке сертифициро­ванных средств защиты информации;

определяется степень участия персонала, специалистов и вспомогательных работ­ников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

определяется состав мероприятий по обеспечению режима секретности на стадии разработки.

На стадии проектирования выявляется все множество каналов несанкциониро­ванного доступа путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты информации и выбранной модели нарушителя.

Создание базовой системы защиты информации в ЭИС в целом и для информаци­онной базы, в частности, должно основываться на главных принципах, сформулирован­ных в работах [ ]:

Комплексный подход к построению системы защиты, означающий оптимальное сочетание программных аппаратных средств и организационных мер защиты.

Разделение и минимизация полномочий по доступу к обрабатываемой информа­ции и процедурам обработки.

Полнота контроля и регистрация попыток несанкционированного доступа.

Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий на­рушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

«Прозрачность» системы защиты информации для общего, прикладного про­граммного обеспечения и пользователей ЭИС.

Установление видов угроз и средств их реализации позволяет проектировщикам ЭИС разработать структуру системы защиты хранимых, обрабатываемых и передавае­мых данных, основанную на применении разнообразных мер и средств защиты. Важную составную часть этой системы составляет организация подсистем, предназначенных для выполнения обеспечения безопасности данных, хранимых в информационной базе. Для каждой подсистемы определяются основные цели, функции, задачи и методы их решения.

Существует несколько подходов к реализации системы защиты. Ряд специалистов из практики своих работ предлагают разделять систему безопасности на две части: внут­реннюю и внешнюю. Во внутренней части осуществляется в основном контроль доступа путем идентификации и аутентификации пользователей при допуске в сеть и при доступе в базу данных. Помимо этого шифруются и идентифицируются данные во время их пере­дачи и хранения.

Безопасность во внешней части системы в основном достигается криптографиче­скими средствами. Аппаратные средства защиты реализуют функции разграничения дос­тупа, криптографии, контроля целостности программ и их защиты от копирования во внутренней части, хорошо защищенной административно.

Как правило, для организации безопасности данных в ИБ используется комбинация нескольких методов и механизмов. Выбор способов защиты информации в ИБ - сложная оптимизационная задача, при решении которой требуется учитывать вероятности различ­ных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального ва­рианта решения такой задачи необходимо применение теории игр, в частности теории би- матричных игр с ненулевой суммой, позволяющими выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.

После выбора методов и механизмов осуществляется разработка программного обеспечения для системы защиты. Программные средства, реализующие выбранные ме­ханизмы защиты, должны быть подвергнуты комплексному тестированию. Изготовитель или поставщик выполняет набор тестов, документирует его и предоставляет на рассмот­рение аттестационной комиссии, которая проверяет полноту набора и выполняет свои тес­ты. Тестированию подлежат как собственно механизмы безопасности, так и пользователь­ский интерфейс к ним.

Тесты должны показать, что защитные механизмы функционируют в соответствии со своим описанием, и что не существует очевидных способов обхода или разрушения защиты. Кроме того, тесты должны продемонстрировать действенность средств управле­ния доступом, защищенность регистрационной и аутентификационной информации. Должна быть уверенность, что надежную базу нельзя привести в состояние, когда она пе­рестанет обслуживать пользовательские запросы.

Составление документации - необходимое условие гарантированной надежности системы и, одновременно, - инструмент проведения выбранной концепции безопасности. Согласно «Оранжевой книге», в комплект документации надежной системы должны вхо­дить следующие компоненты:

Руководство пользователя по средствам безопасности.

Руководство администратора по средствам безопасности.

Тестовая документация.

Описание архитектуры.

Руководство пользователя по средствам безопасности предназначено для специа­листов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безопасности и способах их использования. Руководство должно давать отве­ты по крайней мере на следующие вопросы:

Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?

Как защищать файлы и другую информацию? Как задавать права доступа к фай­лам? Из каких соображений это нужно делать?

Как импортировать и экспортировать информацию, не нарушая правил безопас­ности?

Как уживаться с системными ограничениями? Почему эти ограничения необхо­димы? Какой стиль работы сделает ограничения необременительными?

Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освеща­ются вопросы начального конфигурирования системы, перечисляются текущие обязанно­сти администратора, анализируется соотношения между безопасностью и эффективно­стью функционирования. В состав Руководства администратора должны быть включены следующие пункты:

Каковы основные защитные механизмы?

Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?

Как администрировать средства произвольного управления доступом? Как защи­щать системную информацию? Как обнаруживать слабые места?

Как администрировать средства протоколирования и аудита? Как выбирать реги­стрируемые события? Как анализировать результаты?

Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?

Как генерировать новую, переконфигурированную надежную вычислительную

базу?

Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?

Как разделить обязанности системного администратора и оператора?

Тестовая документация содержит описания тестов и их результаты.

Описание архитектуры в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы..

Технологический процесс функционирования системы защиты информации от не­санкционированного доступа, как комплекса программно-технических средств и организа­ционных (процедурных) решений, предусматривает выполнение следующих процедур:

учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

оперативный контроль функционирования систем защиты секретной информации;

контроль соответствия общесистемной программной среды эталону;

контроль хода технологического процесса обработки информации путем регист­рации анализа действий пользователей.

Следует отметить, что без соответствующей организационной поддержки про­граммно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в ИБ и в сис­теме в целом.

Администрирование средств безопасности осуществляется в процессе эксплуата­ции разработанной системы и включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических клю­чей, установка значений параметров защиты, ведение регистрационного журнала и т. п.

Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходи­мой для проведения в жизнь выбранной концепции безопасности.

Деятельность администратора средств безопасности должна осуществляться по трем направлениям:

администрирование системы в целом;

администрирование функций безопасности;

администрирование механизмов безопасности.

Среди действий, относящихся к системе в целом, отметим поддержание актуально­сти концепции безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.

Администрирование функций безопасности включает в себя определение защи­щаемых объектов, выработку правил подбора механизмов безопасности (при наличии аль­тернатив), комбинирование механизмов для реализации функции безопасности, взаимо­действие с другими администраторами для обеспечения согласованной работы.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов, например, таким типовым списком:

Управление ключами (генерация и распределение).

Управление шифрованием (установка и синхронизация криптографических пара­метров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографи­ческими средствами, также относится к данному направлению.

Администрирование управления доступом (распределение информации, необхо­димой для управления - паролей, списков доступа и т.п.).

Управление аутентификацией (распределение информации, необходимой для ау­тентификации - паролей, ключей и т.п.).

Вопросы для самопроверки:

Что такое «концепции безопасности» хранимых данных и ее содержание?

Каковы средства реализации механизма подотчетности и их содержание?

Какая информация должна фиксироваться в процессе протоколирования событий?

Каковы основные принципы защиты от НСД, сформулированные в «Концепция защиты СВТ и АС от НСД к информации»?

Каков состав операций, выполняемых при проектировании системы защиты данных в ИБ?

Каков состав операций, выполняемых на предпроектной стадии?

Что такое «угроза безопасности» и перечислите основные виды угроз?

Что понимается под «несанкционированным доступом» и каковы основные пути несанкционированного доступа?

Каковы методы защиты от НСД?

Что такое «защита от несанкционированного копирования ценной компьютер­ной информации» и методы ее обеспечения?

Каков состав подсистем, включаемых в систему защиты данных?

Что такое «Подсистема управления доступом должна» и состав выполняемых ею функций?

Каков состав функций, возлагаемых на «Подсистему регистрации и учета»?

Каков состав функций должна выполнять «Подсистема обеспечения целостности»?

В чем заключается содержание «механизма управления доступом»?

Каковы алгоритмы криптографической защиты данных?

В чем заключается содержание механизма обеспечения целостности данных?

Каков состав документации по системе защиты и ее содержание?

В чем состоит содержание процедуры администрирования системы защиты данных ИБ?

Что означает «гарантированность» разработанной системы защиты данных и ее назначение?

Проверку каких элементов включает «операционная гарантированность»?

Каково назначение «технологической гарантированности» и ее содержание?


1 2 3 4 5 6 7 8 9 10 11 12 13  Наверх ↑