книги / Основы информационной безопасности

разрушающее программное средство как сущности, обладающие определенной структурой и свойствами, вступающие во взаимодействие сдругимиэлементамивычислительнойсистемы, такимикакпрограммы и данные. Объектно-ориентированный анализ направлен на создание моделей, близких к реальности; это методология, при которой модель формируется на основе понятий «класс» и «объект», составляющих словарь предметной области.

Модель безопасности взаимодействия объектов вычислительной сети – это сетевая операционная система Novell Netware для локальных сетей.

Применение системного подхода дает возможность выявить следующие нарушения безопасности:

–выбор модели безопасности, несоответствующей назначению или архитектуре ВС;

–неправильное внедрение модели безопасности;

–отсутствие идентификации и (или) аутентификации субъектов и объектов;

–отсутствие контроля целостности средств обеспечения безопасности;

–ошибки, допущенные в ходе программной реализации систем обеспечения безопасности;

–наличие средств отладки и тестирования в конечных продуктах;

–ошибки администрирования.

Вкачестве модели безопасности выбрана дискретная модель разграничения доступа, так как мандатная модель в этой ОС не поддерживается.

Из-за отсутствия мандатной модели разграничения доступа пользователь с более высокими полномочиями (например, супервизор или менеджер группы) имеет возможность запускать программы, записанные пользователями с меньшими полномочиями. Таким образом, имеется потенциальная возможность запуска супервизором «троянского коня», внедренного в систему рядовым пользователем-злоумышленником.

Существует шесть модификаций, которые могут быть отнесены

кнеправильному внедрению модели безопасности в Novell Netware.

Впервой модификации отсутствует подтверждение старого пароля при его смене. При этом Novell API предоставляет функцию, которая

301

производит смену пароля пользователя. При этом сами пароли по сети не передаются, а используется значение, получаемое в результате хэширования. Как видно, эта функция требует знания старого пароля, хэшзначение которого используется для зашифровки хэш-значения нового пароля в момент передачи по сети. Таким образом, перехват информации в момент ее передачи по сети ничего не даст злоумышленнику, так как он не знает старого пароля.

Такая схема представляется весьма надежной, однако при ее реализации пришлось исключить необходимость знания старого пароля для пользователя с правами супервизора, он может вызывать ее с третьим аргументом – пустой строкой (« »). Это сделано для того, чтобы он мог менятьпарольлюбогопользователя(незнаяегостарогопароля). Однако реализация такой функции даст злоумышленнику хэш-значение нового пароля со всеми вытекающими отсюда последствиями.

8.3. Критерии и классы оценки защищенности объектов

Оценка защищенности процессов переработки информации является по-прежнему актуальной. Безопасность информации, как и любая характеристика автоматизированной системы, должна иметь единицы измерения. Оценка защищенности процессов переработки информации необходима для определения уровня безопасности и его достаточности в той или иной системе.

Первые работы, которые завершились выпуском нормативных документов в этой области, проводились в США.

Следуя по пути интеграции, Франция, Германия, Нидерланды и Великобритания в 1991 г. приняли согласованные «Европейские критерии оценки безопасности информационных технологий» (Information Technology Security Evaluation Criteria), версию 1.2.

Министерство обороны США выработало ряд классификаций для определения различных уровней защищенности ЭВМ. Они изложены в «Оранжевой книге», или «Оценочных критериях защищенности вычислительных систем» (далее – «Оценочные критерии»). Шкала данных стандартов включает в себя градации от D до А1, где уровень А1 – наивысший. Классификация угроз приведена в «Оценочных критериях» по разделам об оценках и по классам.

302

Подход к критериям оценки систем в них заключается в следующем. Безответственность пользователей вызывает необходимость контроля их деятельности для обеспечения защищенности ВС.

Контроль на прикладном уровне поднимает вычислительные системы до категорий С1 и С2 «Оценочных критериев», а для борьбы с попытками проникновения требуется полный набор средств защиты и более эффективное их использование. Согласно «Оценочным критериям» такие системы можно отнести к категориям от С2 до В2. Системы с хорошо развитыми средствами защиты относятся к категориям В2 и А1.

Механизм одобрения для защищенных систем основан на принципе создания перечня оцененных изделий, в который включены изделия с определенной степенью качества. Защищенные системы оцениваются по запросам их изготовителей и помещаются в перечень оценочных изделий по шести уровням защищенности. В случае необходимости потребитель может выбрать из перечня подходящее к его требованиям изделие либо обратиться с просьбой оценить необходимое ему изделие, не входящее в перечень оцененных.

Оценка защищенности процессов переработки информации в информационных системах по уровням «Оценочных критериев» основывается на классификации потенциальных воздействий, которые делятся на три класса: безответственность пользователей, попытки несанкционированного проникновения и сам факт несанкционированного проникновения.

Под безответственностью пользователя понимают такие действия аккредитованного лица, которые приводят к нелояльным или преступным результатам.

Попытка несанкционированного проникновения означает использование нарушителем плохого управления системой, а также несовершенства системы защиты. То же самое можно сказать о системах, где все пользователи имеют одинаковый доступ к файлам. В этом случае возможны действия, которые полностью законны, но могут иметь непредвиденные последствия и нежелательные результаты для владельцев и информационных систем.

Несанкционированное проникновение подразумевает комплекс путейобходасистемногоконтролядлядостижениянесанкционированного доступа. Критерием оценки вычислительных систем согласно принци-

303

пам классификации «Оранжевой книги», по существу, является соответствие состава программных и аппаратных средств защиты данной системы составу средств, приведенному в одном из классов оценки. Если состав средств не дотягивает до более высокого класса, то системе присваивается ближайший нижний класс. Данная книга широко используется в США при оценке защищенности информации в военных и коммерческих КС. Однако зарубежными специалистами уже отмечались недостатки этой системы оценки. По мнению сотрудников Центра безопасности ЭВМ МО США, «Оценочные критерии», хотя и являются мерилом степени безопасности, недаютответанавопрос, вкакой степенидолжнабытьзащищенатаилиинаясистема, тоестьонинеобеспечивают привязку классов критериев к требованиям защиты обрабатывающих средств, испытывающих различные степени риска.

«Оценочные критерии» не работают при оценке уровня безопасностивычислительныхсетей, инетещепринципиальнойосновыдляоценки защищенности сети как части интегрированного целого при наличии межсетевого обмена информацией. Специалистами отмечается также, что основная трудность заключается в недостаточно четкой формулировке понятия «безопасная сеть». Особые трудности в этом плане представляет территориально распределенная вычислительная сеть.

«Европейские критерии» рассматривают следующие составляющие информационной безопасности:

–конфиденциальность – защита от несанкционированного получения информации;

–целостность – защита от несанкционированного изменения информации;

–доступность – защита от несанкционированного удержания информации и ресурсов.

Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности называется гарантированностью, которая может быть большей или меньшей в зависимости от тщательности проведения оценки. Гарантированность затрагивает два аспекта: эффективность и корректность средств безопасности. При проверке эффективности анализируется соответствие между целями, сформулированными для объекта оценки, и имеющимся набором функций безо-

304

пасности. Рассматриваются вопросы адекватности функциональности, взаимной согласованности функций, простоты их использования, а также возможные последствия эксплуатации известных слабых мест защиты. Кроме того, в понятие эффективности входит способность механизмов защиты противостоять прямым атакам (мощность механизма). Определяются три градации мощности: базовая, средняя и высокая. Под корректностью понимается правильность реализации функций и механизмов безопасности. В «Европейских критериях» определяется семь возможных уровней гарантированности корректности в порядке возрастания – от Е0 до Е6. Уровень Е0 обозначает отсутствие гарантированности – аналог уровня D «Оранжевой книги». При проверке корректности анализируется весь жизненный цикл объекта оценки – от проектирования до эксплуатации и сопровождения. Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности.

Конфиденциальность и целостность информации обеспечиваются ее безопасностью от утечки, модификации и утраты для ее владельца. Доступность информации должна обеспечиваться основными средствами автоматизации ее обработки, но не средствами защиты, которые обеспечивают доступ к информации, санкционированный ее владельцем или доверенным лицом, отвечающим за ее безопасность.

Конституционноеправонадоступкинформациигарантируетправо собственности на нее, как на вещь. Владельцем информации и владельцем ресурсов могут быть разные лица. Предметом защиты должна быть только информация.

Анализ применяемых в «Европейских критериях» терминов и определений (гарантированности, корректности, адекватности функциональности, мощности) говорит о приближенном характере их влияния на конечный результат оценки. Их основной недостаток заключается в том, что при проектировании автоматизированной системы разработчик не имеет четких исходных данных, руководствуясь которыми он должен строить систему. Другими словами, процессы проектирования и оценки не связаны между собой. При проведении такой оценки может оказаться, что она будет иметь отрицательный результат и потребуется большая доработка автоматизированной системы, затраты на которую разработчиком не учтены.

305

В 1992 г. Гостехкомиссией России выпущен пакет временных руководящих документов по защите информации от НСД в автоматизированных системах и средствах вычислительной техники (СВТ), содержащий концепцию защиты, термины и определения, показатели защищенности, классификацию СВТ и АС по уровням защищенности. Однако ионипоконцепциизащитыиоценкинемногимотличаютсяот«Оценочных критериев» США.

Вопросы для самоконтроля к главе 8

1.Что понимается под стратегией обеспечения информационной безопасности?

2.От чего зависит число и содержание стратегий информационной безопасности?

3.Дайте краткую характеристику основных моделей безопас-

ности.

4.Какие модели разграничения доступа вы знаете?

5.Перечислитеосновныенедостаткимоделейдискретногодос-

тупа.

6.Перечислите модели мандатного доступа.

7.Перечислите виды вероятностных моделей.

8.Раскройте основные положения информационных (потоковых) моделей.

9.Что такое модель Биба и каковы ее приложения к защите процессов переработки информации?

10.Каково содержание некоторых моделей защиты при отказе

вобслуживании?

11.Какие модели анализа безопасности программного обеспечения вы знаете?

12.Укажите основные критерии оценки защищенности информационных систем.

13.Приведите основные положения ИБ по «Европейским крите-

риям».

306

ГЛАВА 9

КОМПЛЕКСНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

9.1. Концепция комплексной защиты информации

Согласно Доктрине информационной безопасности РФ комплексное обеспечение информационной безопасности – это взаимосвязанный комплекс организационно-правовых, физических, социальных, духовных, информационных, программно-математических и технических методов, мероприятий и средств, обеспечивающих нормальное функционирование государства, его структур, населения, фирм, предприятий как на его территории и в его пространстве, так и в межгосударственных отношениях, независимо от состояний государства – мирного труда или военного времени.

Комплексный подход к обеспечению безопасности информационных систем основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.

Комплексная безопасность предполагает обязательную непрерывность процесса обеспечения безопасности, как во времени, так и в пространстве (по всему технологическому циклу деятельности),

собязательным учетом всех возможных видов угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т. п.).

Вкакой бы форме ни применялся комплексный подход, он связан

срешением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи ограничения доступа к информации, технического и криптографического закрытия информации, ограничения уровней паразитных излучений технических средств, технической укрепленности объектов, охраны и оснащения их тревожной сигнализацией.

Исходяизэтого, подкомплекснымобеспеченииеминформационной безопасности информационных систем понимается единая система пра-

307

вовых норм, организационных мероприятий, инженерно-технических, программных и криптографических средств, которые полно и всесторонне охватывают все предметы, процессы и факторы, обеспечивающие безопасность защищаемой информации. Учитывая масштабность и размерность выполняемых функций, такие системы относят к классу больших систем. При их научной разработке, проектировании, производстве, эксплуатации и развитии необходимо придерживаться определенных методологических принципов, к числу которых относятся:

–параллельная разработка информационной системы и необходимой комплексной системы защиты информации;

–системныйподходкпостроениюзащищенныхинформационных систем;

–многоуровневая структура комплексной системы защиты информации;

–иерархичность управления комплексной системы защиты информации;

–блочная архитектура защищенных информационных систем;

–возможность развития комплексной системы защиты информации;

–дружественный интерфейс защищенных информационных систем с пользователями и обслуживающим персоналом.

Первыйизприведенныхпринциповтребуетпроведенияодновременной параллельной разработки информационных систем и необходимых механизмов защиты. Только в этом случае можно полностью учесть взаимное влияние блоков и устройств самой информационной системы и используемых для нее механизмов защиты, обеспечить разумный компромисс между созданием встроенных, неотделимых от информационной системы средств защиты и применением блочных унифицированныхсредств. Вконечном счете такойподходпозволитболее эффективно реализовать все остальные принципы.

Принцип системности является одним из основных концептуальных и методологических принципов построения защищенных информационных систем. Он предполагает:

–анализ всех возможных угроз безопасности информации;

–обеспечение защиты на всех жизненных циклах информационной системы;

308

–защиту информации во всех звеньях информационной системы;

–комплексное использование механизмов защиты.

Анализ потенциально возможных угроз безопасности информации обычно осуществляется в процессе создания и всестороннего исследования модели таких угроз. Моделирование заключается в построении образа (модели) информационной системы, воспроизводящего сопределенной точностью процессы, происходящие в реальной системе. Путем моделирования определяются условия, порождающие те или иные угрозы, оцениваются вероятности реализации, а также степени их опасности с точки зрения ущерба, наносимого информационным ресурсам информационной системы.

Защита названных ресурсов должна осуществляться на этапах разработки, производства, эксплуатации и модернизации информационной системы, а также по всей технологической цепочке ввода, обработки, передачи, храненияивыдачиинформации. Толькотакимобразомможно обеспечить создание комплексной системы защиты информации, в которой отсутствуют слабые звенья как на различных жизненных циклах информационной системы, так и в любых элементах и режимах работы информационной системы.

Механизмы защиты, которые используются при построении защищенных информационных систем, должны быть взаимосвязаны по месту, времени и характеру действия. Комплексность предполагает использование в оптимальном сочетании различных методов и средств защитыинформации: инженерно-технических, программно-аппаратных и правовых. Любая, даже самая простая, система защиты информации должна быть комплексной.

Комплексная система защиты информации должна иметь многоуровневый характер, то есть иметь несколько уровней, перекрывающих друг друга. В этом случае для доступа к закрытой информации злоумышленнику необходимо преодолеть («взломать») все уровни защиты. Например, для компьютерной системы как объекта защиты информации можно выделить следующие уровни (рубежи) защиты:

–охрана по периметру территории объекта;

–охрана по периметру здания;

–охрана помещения;

–защита аппаратных средств;

309

–защита программных средств;

–защита информации.

Важнымконцептуальнымтребованием, предъявляемымккомплексной системе защиты информации, является необходимость реализации принципа управления защитой информации, в процессе которого осуществляются:

–непрерывное слежение за функционированием механизмов защиты путем сбора и накопления соответствующих данных;

–систематический анализ текущего состояния защищенности информационных ресурсов;

–своевременноепринятиемерпринарушенииилиугрозенарушения защищенности информационных ресурсов.

Управление системой защиты информации обычно реализуется по иерархическому принципу, в основе которого всегда лежит централизованное управление на верхнем уровне системы защиты с возможной децентрализацией управления на локальных уровнях. Централизация управления защитой информации объясняется необходимостью проведения единой политики в области безопасности информационных ресурсов в рамках предприятия, организации, корпорации, министерства. Эта политика детализируется на более низких локальных уровнях.

Одним из важных принципов построения защищенных информационных систем является использование блочной архитектуры, что значительно упрощает разработку, отладку и контроль работоспособности таких систем, позволяет альтернативно использовать аппаратные и программные блоки. Стандартизация интерфейсов отдельных блоков дает возможность использовать более совершенные блоки в процессе модернизации системы защиты.

Совершенствование информационных технологий, расширение возможностей информационных систем, а также появление новых угроз информационной безопасности постоянно стимулируют развитие новых механизмов защиты. В этом смысле защищенные информационные системы должны быть развивающимися или открытыми. Важную роль в процессе создания открытых систем играют международные стандартывобластивзаимодействияразличныхустройствиподсистем. Онипозволяют использовать при совершенствовании защищенных информа-

310