- •Учебное пособие
- •Аннотация
- •Список сокращений
- •Содержание
- •Введение
- •Научные и технические предпосылки кризисной ситуации.
- •Бурное развитие программного обеспечения.
- •Понятие «защищенная система».
- •1. Основные понятия и определения предмета защиты информации
- •1.1. Общее содержание проблемы информационной безопасности
- •1.2 Информация и информационные отношения. Субъекты информационных отношений
- •1.3. Ценность информации
- •1.4. Модель решетки ценностей
- •1.5. Mls решетка
- •1.6. Определение требований к защищенности информации
- •1.7. Критерии, условия и принципы отнесения информации к защищаемой. Виды конфиденциальной информации.
- •1.8. Выводы
- •1.9. Вопросы для самоконтроля
- •Угрозы информации, методология их выявления и оценки
- •2.1. Санкционированный и несанкционированный доступ
- •2.2. Угрозы информации, методология их выявления и оценки
- •2.3. Ретроспективный анализ подходов к формированию множества угроз информации
- •2.4. Цели и задачи оценки угроз информации в современных системах ее обработки
- •2.5. Система показателей уязвимости информации
- •2.6. Классификация и содержание угроз информации
- •2.7. Методы и модели оценки уязвимости информации
- •2.8. Выводы
- •2.9. Вопросы для самоконтроля
- •3. Общая классификация защитных мер
- •3.1. Базовые свойства безопасности информации. Каналы реализации угроз
- •3.2. Основные принципы обеспечения информационной безопасности
- •3.3. Меры обеспечения безопасности компьютерных систем
- •3.4. Характеристика способов защиты компьютерной информации с помощью аппаратно-программных мер
- •3.5. Выводы
- •3.6. Вопросы для самоконтроля
- •4. Идентификация и аутентификация субъектов
- •4.1. Классификация подсистем идентификации и аутентификации субъектов
- •4.2. Парольные системы идентификации и аутентификации пользователей
- •4.3. Идентификация и аутентификация с использованием индивидуальных биометрических характеристик пользователя
- •4.4. Выводы
- •4.5. Вопросы для самоконтроля
- •5. Элементы теории чисел
- •5.1. Модулярная арифметика
- •5.2. Простые числа и их свойства
- •5.3. Числовые функции
- •5.4. Выводы
- •5.5. Вопросы для самоконтроля
- •6. Методы и средства криптографической защиты
- •6.1. Принципы криптографической защиты информации
- •6.2. Традиционные симметричные криптосистемы
- •6.2.1. Шифрование методом замены
- •6.2.2. Шифрование методами перестановки
- •6.2.3. Шифрование методом гаммирования
- •6.3. Элементы криптоанализа
- •6.4. Современные симметричные системы шифрования
- •6.4.1. Стандарт шифрования des (сша)
- •6.4.2. Отечественный стандарт симметричного шифрования
- •6.5. Асимметричные криптосистемы
- •6.5.1. Недостатки симметричных криптосистем и принципы асимметричного шифрования
- •6.5.2. Однонаправленные функции
- •6.5.3. Алгоритм шифрования rsa
- •6.6. Выводы
- •6.7. Вопросы для самоконтроля
- •7. Контроль целостности информации. Электронно-цифровая подпись
- •7.1. Проблема обеспечения целостности информации
- •7.2. Функции хэширования и электронно-цифровая подпись
- •7.3. Выводы
- •7.4. Вопросы для самоконтроля
- •8. Протоколы безопасной аутентификации пользователей
- •8.1. Аутентификация на основе сертификатов
- •8.2. Процедура «рукопожатия»
- •8.3. Протокол Диффи-Хеллмана
- •8.4. Выводы
- •8.5. Вопросы для самоконтроля
- •9. Управление носителями конфиденциальной информации и внесением изменений.
- •9.1. Носители информации как объект защиты
- •9.2 Разделение тестовой среды и среды промышленной эксплуатации информационной системы. Процесс управления изменениями.
- •9.3. Выводы
- •9.4. Вопросы для самоконтроля
- •10. Разграничение доступа к информации в компьютерных системах
- •10.1. Модели разграничения доступа к информации
- •10.2. Субъектно-объектная модель компьютерной системы в механизмах и процессах коллективного доступа к информационным ресурсам
- •10.2. Монитор безопасности и основные типы политик безопасности
- •10.3. Гарантирование выполнения политики безопасности
- •10.4. Выводы
- •10.5. Вопросы для самоконтроля
- •11. Политики безопасности
- •11.1. Формальные и неформальные политики безопасности
- •11.2. Формальные методы анализа систем
- •11.3. Характеристика моделей безопасности
- •11.4. Выводы
- •11.5. Вопросы для самоконтроля
- •12. Модели безопасности
- •12.1. Модели разграничения доступа
- •12.2. Модели дискреционного доступа
- •12.2.1. Модель дискреционного доступа адепт-50.
- •12.2.2. Пятимерное пространство Хартсона
- •12.2.3. Модель Харрисона-Руззо-Ульмана
- •12.3. Модели мандатного доступа
- •12.3.1. Модель Белла и Лападула
- •12.4. Специализированные модели
- •12.4.1. Модель mms
- •12.5. Проблемы моделей предоставления прав
- •12.6. Информационные модели
- •12.6.1. Модель невмешательства
- •12.6.2. Модель невыводимости
- •12.7. Вероятностные модели
- •12.7.1. Игровая модель
- •12.7.2.Модель системы безопасности с полным перекрытием
- •12.8 .Модели контроля целостности
- •12.8.1. Модель Биба
- •12.8.2. Модель Кларка-Вилсона
- •12.9. Механизмы защиты от угрозы отказа в обслуживании
- •12.9.1. Основные понятия ово
- •12.9.2. Мандатная модель ово
- •12.9.3. Модель Миллена распределения ресурсов (мрр)
- •12.10. Выводы
- •12.11. Вопросы для самоконтроля
- •13. Обзор и сравнительный анализстандартов информационной безопасности
- •13.1. Основные понятия и определения
- •13.2. Критерии безопасности компьютерных систем министерства обороны сша ("Оранжевая книга")
- •13.2.1. Таксономия требований и критериев "Оранжевой книги"
- •13.2.2. Классы безопасности компьютерных систем
- •13.2.3. Интерпретация и развитие "Оранжевой книги"
- •13.3. Европейские критерии безопасности информационных технологий
- •13.3.1. Основные понятия
- •13.3.2. Функциональные критерии
- •13.3.3. Критерии адекватности
- •13.4. Руководящие документы Гостехкомиссии России
- •13.4.1. Основные положения
- •13.4.2. Концепция защиты свт и ас от нсд к информации
- •13.4.3. Показатели защищенности средств вычислительной техники от нсд
- •13.4.4. Показатели защищенности автоматизированных систем от нсд
- •13.5. Федеральные критерии безопасности информационных технологий
- •13.5.1. Цель разработки
- •13.5.2. Основные положения
- •13.5.3. Профиль защиты
- •13.5.4. Этапы разработки Профиля защиты
- •13.5.5. Функциональные требования к ит–продукту
- •13.5.6. Таксономия функциональных требований
- •13.5.7. Ранжирование функциональных требований
- •13.5.8. Требования к технологии разработки ит–продукта
- •13.5.9. Требования к процессу квалификационного анализа ит-продукта
- •13.6. Единые критерии безопасности информационных технологий
- •13.6.1. Цель разработки
- •13.6.2. Основные положения
- •13.6.3. Профиль защиты
- •13.6.4. Проект защиты
- •13.6.5. Требования безопасности
- •13.6.6. Функциональные требования
- •13.6.7. Требования адекватности
- •13.7. Анализ стандартов информационной безопасности
- •13.8. Выводы
- •13.9. Вопросы для самоконтроля
- •Список литературы
- •420111, Г. Казань, ул. К.Маркса, 10
13.7. Анализ стандартов информационной безопасности
Главная задача стандартов информационной безопасности – согласовать позиции и цели производителей, потребителей и аналитиков классификаторов в процессе создания и эксплуатации продуктов информационных технологий. Каждая из перечисленных категорий специалистов оценивает стандарты и содержащихся в них требования и критерии по своим собственным параметрам.
Для большинства потребителей наибольшее значение имеют простота критериев безопасности и однозначность параметров выбора защищенной системы, а для наиболее квалифицированной части пользователей первую роль играет гибкость требований и возможность их применения к специфическим ИТ–продуктам и средам эксплуатации. Производители ИТ–продуктов требуют от стандартов максимальной конкретности и совместимости требований и критериев с современными архитектурами ВС, распространенными ОС и технологиями обработки информации.
Эксперты по квалификации хотят, чтобы стандарты информационной безопасности детально регламентировали процедуру квалификационного анализа и нуждаются в четких, простых, однозначных и легко применяемых критериях. Очевидно, что подобный идеал недостижим, и реальность требует от каждой стороны определенных компромиссов. Поэтому не будем проводить субъективный анализ стандартов с точки зрения каждого из участников процесса создания защищенных систем, а попытаемся ввести общие для всех "объективные" критерии сопоставления.
В качестве обобщенных показателей, характеризующих стандарты информационной безопасности и имеющих значение для всех трех сторон, предлагается использовать универсальность, гибкость, гарантированность, реализуемость и актуальность.
Универсальность стандарта определяется множеством типов ВС и областью информационных технологий, к которым могут быть корректно применены его положения. Это очень важная характеристика стандарта, ибо информационные технологии переживают период бурного развития, архитектура компьютерных систем совершенствуется, а сфера их применения постоянно расширяется. Стандарты информационной безопасности в своем развитии не должны отставать от современных информационных технологий или обходить ту или иную сферу их применения.
Под гибкостью стандарта понимается возможность и удобство его применения к постоянно развивающимся информационным технологиям и время его "устаревания". Гибкость может быть достигнута исключительно через фундаментальность требований и критериев и их инвариантность по отношению к механизмам реализации и технологиям создания ИТ–продуктов. Однако, очевидно, что чрезмерная абстрактность требований и оторванность их от практики снижает их реализуемость.
Гарантированность определяется мощностью предусмотренных стандартом методов и средств подтверждения надежности результатов квалификационного анализа. Вначале этому вопросу не уделялось много внимания, но анализ опыта применения первых стандартов информационной безопасности показал, что для достижения поставленных целей аналитики, классификаторы должны иметь возможность обосновывать свои заключения, а разработчики нуждаются в механизмах, с помощью которых они могли бы подтвердить корректность своих притязаний и предоставить потребителям определенные гарантии.
Реализуемость – это возможность адекватной реализации требований и критериев стандарта на практике, с учетом затрат на этот процесс. Реализуемость во многом связана с универсальностью и гибкостью, но отражает чисто практические и технологические аспекты реализации положений и требований стандарта.
Актуальность отражает соответствие требований и критериев стандарта постоянно развивающемуся множеству угроз безопасности и новейшим методам и средствам, используемым злоумышленниками. Эта характеристика, наряду с универсальностью является одной из важнейших, т. к. способность противостоять угрозам и прогнозировать их развитие фактически определяет пригодность стандарта и является решающим фактором при определении его пригодности.
Классификация рассмотренных стандартов информационной безопасности по предложенным показателям приведена в таб. 13.4.
Степень соответствия стандартов предложенным показателям определяется по следующей качественной шкале:
ограниченное соответствие – недостаточное соответствие, при применении стандарта возникают существенные трудности;
умеренное соответствие – минимальное соответствие, при применении стандарта в большинстве случаев существенных трудностей не возникает;
достаточное соответствие – удовлетворительное соответствие, при применении стандарта в большинстве случаев не возникает никаких трудностей, однако эффективность предлагаемых решений не гарантируется;
высокое соответствие – стандарт предлагает специальные механизмы и процедуры, направленные на улучшение данного показателя, применение которых позволяет получать достаточно эффективные решения;
превосходное соответствие – улучшение данного показателя рассматривалось авторами стандарта в качестве одной из основных целей его разработки, что обеспечивает эффективность применения предложенных решений.
Таблица 13.4. Сопоставление стандартов информационной безопасности.
Стандарты безопасности |
Показатели сопоставления стандартов информационной безопасности | ||||
Универсальность |
Гибкость |
Гарантированность |
Реализуемость |
Актуальность | |
Оранжевая книга (1983 г.) |
ограниченная |
ограниченная |
ограниченная |
высокая (за исключением класса А) |
умеренная |
Европейские критерии (1986 г.) |
умеренная |
умеренная |
умеренная |
высокая |
умеренная |
Документы ГТК (1992 г.) |
ограниченная |
ограниченная |
отсутствует |
высокая |
ограниченная |
Федеральные критерии (1992 г.) |
высокая |
отличная |
достаточная |
высокая |
высокая |
Канадские критерии (1993 г.) |
умеренная |
достаточная |
достаточная |
достаточная |
достаточная |
Единые критерии (1999 г.) |
превосходная |
превосходная |
превосходная |
превосходная |
превосходная |
Рассмотрим, в какой степени стандарты информационной безопасности отвечают предложенным показателям, и проследим направления, которым шло их развитие.
Универсальность
На этапе начального становления и развития стандартов информационной безопасности универсальности уделялось мало внимания т.к. во-первых, разработчикам стандартов казалось, что в обеспечении безопасности нуждается только ограниченный круг потребителей, находящихся в правительственных и военных сферах, и, во-вторых, темпы информатизации тогда были относительно низкими.
Поэтому первый стандарт безопасности – "Оранжевая книга" предназначался для систем военного применения, основанных в те годы исключительно на мэйнфреймах, и его адаптация для распределенных систем и баз данных потребовала разработки дополнительных документов. С учетом этого опыта сфера применения вышедших несколькими годами позже "Европейских критериев" значительно расширена, – уже на уровне базового документа в этот стандарт вошли распределенные системы, сети, системы телекоммуникаций и СУБД.
Однако, в этом документе по-прежнему явным образом оговаривается архитектура и назначение систем, к которым он может быть применен, и никак не регламентируется среда их эксплуатации. Документы Гостехкомисси России имеют довольно ограниченную сферу применения – это персональные (видимо это объясняется тотальным распространением PC в нашей стране) и многопользовательские системы, причем ориентация системы на обслуживание конечных пользователей является обязательным условием. "Федеральные критерии" подняли область применения стандартов на новый уровень, начав рассматривать в качестве объекта их применения любые продукты информационных технологий, независимо от их назначения, проводя различие только между характеристиками среды их эксплуатации. "Канадские критерии" рассматривают в качестве области своего применения все типы компьютерных систем.
Наконец, "Единые критерии" завершили процесс расширения сферы применения стандартов информационной безопасности предложив такую технологию создания ИТ–продуктов, при которой использовании данного стандарта является неотъемлемым компонентом.
Гибкость
Гибкость положений стандарта определяет удобство его использования потребителями и производителями систем обработки информации. Возможно именно потому, что требования первого стандарта ("Оранжевой книги") были в большинстве своем инвариантными к механизмам реализации, они оказались слишком абстрактными для непосредственного применения во многих случаях, что потребовало их комментирования, дополнения и расширения. "Европейские критерии" унаследовали такой стиль изложения требований, но пошли по пути экстенсивного развития, предусмотрев специальные уровни и требования, рассчитанные на типовые системы (СУБД, телекоммуникации и т. д.).
Руководящие документы ГТК по конкретности своих требований превзошли даже уровень "Оранжевой книги", т. к. подробно регламентируют реализацию функций защиты (например, это единственный стандарт, который в ультимативной форме требует применения криптографии), что значительно снижает удобство их использования – в конкретных ситуациях многие требования часто оказываются избыточными и ненужными.
Более того, ограничение области применения данного стандарта системами, ориентированными на конечного пользователя, ставит отечественных разработчиков и экспертов по сертификации в затруднительное положение при применении эти документов, скажем, к программному обеспечению маршрутизатора или межсетевого экрана (у этих систем в принципе нет пользователей как физических лиц). "Федеральные критерии" обеспечивают гибкость на качественно новом по сравнению с предшествующими стандартами уровне, впервые предложив механизм Профилей защиты, с помощью которых можно создавать специальные наборы требований, соответствующие запросам потребителей конкретного продукта и угрозам среды его эксплуатации. "Канадские критерии" не рассматривают Профиль защиты в качестве обязательного элемента безопасности информационных технологий, и также обладают определенной спецификой в своем подходе к основным понятиям безопасности, поэтому их гибкость можно оценить только как достаточную.
Наконец, "Единые критерии" обладают практически совершенной гибкостью, т. к. позволяют потребителям выразить свои требования с помощью механизма Профилей защиты, в форме инвариантной к механизмам реализации, а производителям – продемонстрировать с помощью Проекта защиты как эти требования преобразуются в задачи защиты и реализуются на практике.
В этом случае процесс квалификации уровня безопасности ИТ–продукта представляет собой проверку взаимного соответствия Профиля защиты, Проекта защиты и реализованного ИТ–продукта, а также их соответствия "Единым критериям".
Гарантированность
Гарантированность обеспечиваемого уровня защиты сначала рассматривалась разработчиками стандартов только для высших уровней безопасности. Поэтому "Оранжевая книга" предусматривала обязательное применение формальных методов верификации при только создании систем высшего класса защищенности (класс А).
Однако необходимость контроля корректности реализации требований и подтверждения эффективности средств защиты для систем всех уровней была осознана достаточно быстро. Уже в "Европейских критериях" появляется специальный раздел требований – требования адекватности, которые регламентируют технологию и инструментарий разработки, а также контроль за процессами проектирования и разработки.
К сожалению, документы ГТК практически полностью проигнорировали этот, на наш взгляд ключевой аспект безопасности информационных технологий, и обходят данный вопрос молчанием. "Федеральные критерии" содержат два специальных раздела требований, посвященных этому аспекту безопасности, содержащие требования к технологии разработки и к процессу квалификационного анализа.
"Канадские критерии" включают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функциональных требований. "Единые критерии" рассматривают гарантированность реализации защиты как самый важный компонент информационной безопасности и предусматривают многоэтапный контроль на каждой стадии разработки ИТ–продукта, позволяющий подтвердить соответствие полученных результатов поставленным целям путем доказательства адекватности задач защиты требованиям потребителей, адекватности Проекта защиты "Единым критериям" и адекватности ИТ–продукта Проекту защиты.
Реализуемость
Плохие показатели реализуемости говорят о практической бесполезности стандарта, поэтому все рассмотренные документы отвечают этому показателю в достаточной или высокой степени. Реализация требований "Оранжевой книги", за исключением высшего класса (класса А), большой сложности не представляет, что подтверждается большим числом систем, сертифицированных на соответствие классам В и С (около 30 систем).
Авторам известна только две системы, сертифицированная на соответствие классу А, причем политика безопасности в одной из них реализована на аппаратном уровне с помощью контроля операндов каждой инструкции, т. е. разработчикам пришлось спроектировать и реализовать специальный процессор. Остальные стандарты решают эту проблему за счет гибкости предлагаемых требований и критериев.
О "Канадских критериях" стоит упомянуть особо, поскольку своим нетрадиционным толкованием понятий "объект" и "субъект" они осложняют разработчикам процесс реализации предложенных требований, что и определило уровень их соответствия данному показателю только как достаточный. "Единые критерии" и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет потрясающей степени подробности функциональных требований (135 требований), фактически служащих исчерпывающем руководством по разработке защищенных систем. Отметим, что это единственный показатель, по которому документы ГТК не отстают от остальных стандартов информационной безопасности.
Актуальность
Актуальность стандартов информационной безопасности возрастает с расширением сферы их применения и появлением опыта их использования. "Оранжевая книга", хотя и содержит предпосылки для противодействия всем основным видам угроз, содержит требования, в основном направленные на противодействие угрозам конфиденциальности, что объясняется ее ориентированностью на системы военного назначения. "Европейские критерии" находятся примерно на том же уровне, хотя и уделяют угрозам целостности гораздо больше внимания.
Документы ГТК с точки зрения этого показателя выглядят наиболее отсталыми, – уже в самом их названии определена единственная рассматриваемая в них угроза – несанкционированный доступ. "Федеральные критерии" рассматривают все виды угроз достаточно подробно и предлагают механизм Профилей защиты для описания угроз безопасности, присущих среде эксплуатации конкретного ИТ–продукта, что позволяет учитывать специфичные виды угроз.
"Канадские критерии" ограничиваются типовым набором угроз безопасности, достаточным для большинства применений. "Единые критерии" ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы (Профиль и Проект защиты), что дает возможность выстроить на их основе динамичную и постоянно адаптирующуюся к новым задачам технологию создания безопасных информационных систем.
Представленный анализ стандартов информационной безопасности и основных тенденций их развития позволяет сделать следующие выводы.
Развитие стандартов привело к отказу от единой шкалы ранжирования требований и критериев, замене их множеством независимых частных показателей и введению частично упорядоченных шкал.
Неуклонное возрастание роли требований адекватности реализации защиты и политики безопасности свидетельствует о тенденции преобладания "качества" обеспечения защиты над ее "количеством".
Определение ролей производителей, потребителей и экспертов по квалификации ИТ–продуктов и разделение их функций в процессе создания защищенных систем обработки информации свидетельствует о полноправной интеграции стандартов обеспечения безопасности в сферу информационных технологий.
Сложившееся на основе современных стандартов разделение ролей участников процесса создания и эксплуатации защищенных систем, применение соответствующих механизмов и технологий привело к сбалансированному распределению ответственности между всеми участниками процесса.
Современные тенденции интеграции информационных технологий и стремление к созданию безопасного всемирного информационного пространства привели к необходимости интернационализации стандартов информационной безопасности.