- •Иногда знание общих законов способно
- •Введение
- •Глава 1
- •1.1. Основные понятия и определения
- •1.3. Структуризация методов обеспечения информационной безопасности
- •1.4. Основные методы реализации угроз информационной безопасности
- •1.5. Основные принципы обеспечения
- •Список литературы к главе 1
- •Глава 2
- •2.1. Построение систем защиты от угрозы нарушения конфиденциальности информации. Организационно-режимные меры защиты носителей информации в ас.
- •Парольные системы для защиты от несанкционированного доступа к информации
- •Общие подходы к построению парольных систем
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи.
- •Способы и особенности реализации криптографических подсистем
- •Криптографическая защита транспортного уровня ас
- •Особенности сертификации и стандартизации криптографических средств.
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации.
- •2.2. Построение систем защиты от угрозы нарушения целостности информации
- •Целостность данных в ас
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3. Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ас.
- •2.4. Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5. Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Глава 3 политика безопасности
- •3.1. Понятие политики безопасности
- •3.2. Понятия доступа и монитора безопасности
- •3.3. Основные типы политики безопасности
- •3.4. Разработка и реализация политики безопасности
- •3.5. Домены безопасности
- •Глава 4
- •4.1. Модель матрицы доступов hru
- •4.2. Модель распространения прав доступа take-grant
- •Санкционированное получение прав доступа.
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3. Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4. Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас.
- •5.1. Руководящие документы государственной технической комиссии россии
- •Основные положения концепции защиты свт и ас от нсд к информации.
- •Показатели защищенности средств вычислительной техники от нсд.
- •5.2. Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Общая структура требований tcsec
- •5.3. Европейские критерии безопасности информационных технологий
- •5.4. Федеральные критерии безопасности информационных технологий
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •Требования к процессу сертификации продукта информационных технологий
- •Заключение
Страницы и сегменты памяти
При страничной организации памяти все адресное пространство разделяется на блоки фиксированного размера (страницы). Проверка допустимости адресов и преобразование логических адресов в физические при обращениях к памяти осуществляется с помощью таблицы страниц, каждая запись которой содержит начальный адрес расположения страницы в памяти. Логический адрес имеет формат <номер страницы, смещение>. По номеру страницы определяется физический адрес ее первой ячейки, к которому затем прибавляется смещение. С каждой страницей ассоциирован ключ доступа, определяющий набор допустимых операций (чтение, запись, исполнение).
Такая схема организации памяти поддерживает совместное использование страниц: в таблицах страниц отдельных приложений могут быть описаны одни и те же страницы физической памяти. Однако более изощренное управление доступом в страничной модели затруднено из-за того, что на одной странице могут находиться различные по своей природе объекты (например, код и данные некоторой программы).
Смысл сегментной организации памяти заключается в том, чтобы предоставить индивидуальные (возможно, неодинаковые по размеру) области памяти логически различным частям программы. Например, в отдельные сегменты могут быть помещены данные с различным типом доступа или код основной части программы и вызываемых ею подпрограмм. Преобразование логических адресов в физические происходит на основе содержимого таблицы сегментов, куда заносятся базовый и предельный адреса каждого сегмента (они обсуждались при описании функционирования адресных регистров). Логический адрес имеет формат <номер сегмента, смещение>, похожий на формат, применяемый в страничной адресации. Однако теперь каждый сегмент содержит однородные объекты, которым необходим одинаковый уровень защиты, так же как и выше, обеспечиваемый ключом доступа. Возможно совместное использование сегментов данных и кода, отдельные участки которого (например, процедуры и функции) могут быть предоставлены в совместное использование независимо от основной программы.
Цифровая подпись
Средства контроля целостности программ и файлов данных, хранимых в АС, должны обеспечивать защиту от несанкционированного изменения этой информации нарушителем, особенно при ее передаче по каналам связи. Цифровая (электронная) подпись, основные характеристики которой рассмотрены в целом ряде источников, в частности [2], является одним из часто используемых для решения данной задачи механизмов.
Кроме того, информация в вычислительных сетях нередко нуждается в аутентификации, т.е. в обеспечении заданной степени уверенности получателя или арбитра в том, что она была передана отправителем и при этом не была заменена или искажена. Если целью шифрования является защита от угрозы нарушения конфиденциальности, то целью аутентификации является защита участников информационного обмена не только от действий посторонних лиц, но и от взаимного обмана.
В чем состоит проблема аутентификации данных или цифровой подписи?
В конце обычного письма или документа испопнитель или ответственное лицо обычно ставит свою подпись. Подобное действие преследует две цели. Во-первых, получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом. Во-вторых личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.
Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с цифровой подписью дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.
В самой общей модели аутентификации сообщений представлено пять участников. Это отправитель А, получатель В, злоумышленник С, доверенная сторона Д и независимый арбитр Е. Задача отправителя А заключается в формировании и отправке сообщения Т получателю В. Задача получателя В заключается в получении сообщения Т и в установлении его подлинности. Задача доверенной стороны Д является документированная рассылка необходимой служебной информации абонентам вычислительной сети, чтобы в случае возникновения спора между А и В относительно подлинности сообщения представить необходимые документы в арбитраж. Задача независимого арбитра Е заключается в разрешении спора между абонентами А и В относительно подлинности сообщения Т.
Перечислим возможные способы обмана (нарушения подлинности сообщения) при условии, что между участниками модели А, В, С отсутствует кооперация.
Способ А: отправитель А заявляет, что он не посылал сообщение Т получателю В, хотя в действительности его посылал (подмена отправленного сообщения или отказ от авторства).
Способ В1: получатель В изменяет полученное от отправителя А сообщение Т и заявляет, что данное измененное сообщение он получил от отправителя А (подмена принятого сообщения).
Способ В2: получатель В сам формирует сообщение и заявляет, что получил его от отправителя А (имитация принятого сообщения).
Способ С1: злоумышленник С искажает сообщение, которое отправитель А передает получателю В (подмена передаваемого сообщения).
Способ С2: злоумышленник С формирует и посылает получателю В сообщение Т от имени отправителя А (имитация передаваемого сообщения).
Способ СЗ: злоумышленник С повторяет ранее переданное сообщение, которое отправитель А посылал получателю В (повтор ранее переданного сообщения).
Аутентификация (цифровая подпись) при условии взаимного доверия между участниками информационного обмена обеспечивается имитоза-щитой информации с помощью криптостойких преобразований.
Приведем сравнительный анализ обычной и цифровой подписи.
При обычной подписи:
каждая личность использует индивидуальные, только ей присущие характеристики - почерк, давление на ручку и т.д.;
попытка подделки подписи обнаруживается с помощью графологического анализа;
подпись и подписываемый документ передаются только вместе на одном листе бумаги; передавать подпись отдельно от документа нельзя; подпись не зависит от содержания документа, на котором она поставлена;
копии подписанных документов недействительны, если каждая из этих копий не имеет своей настоящей (а не скопированной) подписи. При цифровой подписи:
каждая личность использует для подписи документов свой уникальный секретный ключ;
Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха;
цифровая подпись документа есть функция от содержания этого документа и секретного ключа; цифровая подпись может передаваться отдельно от документа;
копия документа с цифровой подписью не отличается от его оригинала (нет проблем каждой копии).
Для аутентификации информации Диффи и Хеллман в 1976 г. предложили концепцию "цифровой подписи". Она заключается в том, что каждый абонент сети имеет личный секретный ключ, на котором он формирует подпись и известную всем другим абонентам сети проверочную комбинацию, необходимую для проверки подписи (эту проверочную комбинацию иногда называют открытым ключом). Цифровая подпись вычисляется на основе сообщения и секретного ключа отправителя. Любой получатель, имеющий соответствующую проверочную комбинацию, может аутентифи-цировать сообщение по подписи. При этом знание лишь проверочной комбинации не позволяет подделать подпись. Такие схемы называются асимметричными схемами аутентификации.
Термин "цифровая подпись" используется для методов, позволяющих устанавливать подлинность автора сообщения при возникновении спора относительно авторства этого сообщения. Цифровая подпись применяется в информационных системах, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров и др.).
Известны два класса формирования цифровой подписи.
Первый класс способов использует труднообратимые функции типа возведения в степень в конечных полях большой размерности (сотни и даже тысячи битов). К этому классу относится Российский ГОСТ на цифровую подпись (ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94). Он является усложнением алгоритмов цифровой подписи RSA и Эль-Гамаля.
Второй класс способов использует криптостойкие преобразования, зависящие от секретного ключа.
В обоих случаях требуется предварительная заготовка и рассылка возможным получателям информации контрольных комбинаций. Общедоступные контрольные комбинации должны быть нотариально заверены, чтобы ни отправитель, ни получатель не смогли впоследствии от них отказаться. Оба класса способов не нуждаются в закрытых каналах. Контрольные комбинации и подписи пересылаются открыто. Единственным секретным элементом во всех способах является личный секретный ключ отправителя.
Необходимо отметить, что в настоящее время контроль целостности данных, хранимых в АС, осуществляется методами теории помехоустойчивого кодирования. Наибольшее применение получили циклические контрольные коды, описанные в п. "Организационно-технологические меры защиты целостности информации на машинных носителях", которые можно применять для контроля целостности не только секторов (блоков) на машинных носителях, но и файлов. Однако эти методы, дающие хорошие результаты при защите от воздейсгвия случайных факторов (помех, сбоев и отказов), совсем не обладают имитостойкостью, т.е. не обеспечивают защиту от целенаправленных воздействий нарушителя, приводящих к навязыванию ложных данных. Методы имитозащиты, основанные на криптографических преобразованиях, обеспечивают надежный контроль данных, хранящихся в АС, но в то же время реализуются в виде больших и сложных программ и требуют значительных вычислительных ресурсов.