А.Ю.Щеглов Учебное пособие

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ

А.Ю.Щеглов

БЕЗОПАСНОСТЬ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ И СЕТЕЙ

Учебное пособие

Санкт-Петербург

2010

2

ВВЕДЕНИЕ

Мы приступаем к изучению предмета «Безопасность вычислительных систем и сетей» в эпоху серьезнейшего технологического кризиса в области информационной безопасности.

На сегодняшний день киберпреступность растет невиданными ранее темпами. Например, на 4-ом международном форуме по борьбе с киберпреступностью (FIC 2010), засвидетельствовано, что сегодня доходы от киберпреступности в мире уже превысили доходы от незаконного оборота наркотиков. В частности по данным ФБР, объемы мошенничества в Интернете за год выросли более чем в два раза и уже в 2009 году достигли 560 млн. долларов.

В печати постоянно «проскальзывают» высказывания экспертов в области информационной безопасности «о расширяющейся пропасти», о «технологическом тупике» и т.д.

По мнению специалистов АНБ США (Агентство национальной безопасности США), современное положение в области безопасности компьютерных систем характеризуется как провальное.

Конечно, на то есть и объективные причины. Главная из которых, состоит в повсеместной компьютеризации, особенно в последнее десятилетие, вех видов человеческой деятельности, в том числе, и финансовой. Следствием этого стало, с одной стороны, стремление разработчиков ПО к созданию за минимальные сроки максимально удобных, универсальных, «открытых» технологий, системных средств и приложений, с другой стороны, а это взаимосвязанные вещи, к стремительному росту киберпреступности. Причем, в первую очередь, той киберприступности, стремления которой напрямую связаны с получением финансовой выгоды. А то, что уровень профессионализма киберпреступности растет пропорционально росту ее доходов, очевидно.

Другая объективная причина связана со сложностями построения эффективной защиты. Ломать – не строить! Для взлома системы защиты достаточно воспользоваться лишь одной уязвимостью, для эффективной же защиты необходимо, по возможности, перекрыть их все. А все это сопровождается колоссальным усложнением ОС и приложений, как следствие, стремимтельным ростом уязвимостей, в том числе, связанным с ошибками программирования, усложнением и увеличением продолжительности устранения уязвимостей разработчиками.

Есть и субъективные причины. Исторически, еще в эпоху отсутствия каких-либо серьезных разговоров о киберпреступности, в основу построения средств защиты закладывались простейшие технологии, как правило, основанные на использовании механизмов контроля, например, сигнатурный анализ. На то время, это было понятно и оправданно. Но и сегодня, когда качественно изменились требования к эффективности

4

защиты, многие вендоры не пытаются искать новых технологических решений, а развивают устаревшие подходы.

Осознание необходимости эффективной защиты всевозможных активов компаниями и частными лицами, наконец, пришло в полном объеме, но пришло оно на фоне существенного технологического отставания в области защиты информации, что объективно следует из сегодняшней неутешительной статистики регистрируемых инциндентов.

Врамках данного предмета мы рассмотрим вопросы проектирования

ипостроения систем защиты информации в современных условиях. Определимся с параметрами, характеризуемыми систему защиты, критериями оптимальности, остановимся на вопросах сложности формализации задачи проектирования. Покажем, что большинство задач защиты в современных условиях должно решаться реализацией разграничительной политики доступа к ресурсам, сформулируем и обоснуем требования к достаточности набора механизмов защиты при построении разграничительной политики доступа к ресурсам, и к корректности их реализации. Обсудим альтернативные способы и технологии решения наиболее актуальных задач защиты информации в комплексе.

5

РАЗДЕЛ 1. ПРОЕКТИРОВАНИЕ И ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Основные понятия и базовые требования к средству защиты информации

Безопасность вычислительных систем и сетей (далее системного средства) может быть оценена с двух совершенно различных (и, отнюдь, не полностью коррелированных между собой) позиций. С одной стороны, безопасность системного средства может быть охарактеризована достигаемым им уровнем функциональной безопасности. Уровень функциональной безопасности системного средства на сегодняшний день может быть определен только путем экспертного оценивания реализованных в нем технологий и решений по защите информации. Данный подход широко используется на практике, как в нашей стране, так и зарубежом. В частности, именно уровень функциональной безопасности системного средства и определяется при его сертификации по требованиям (в части выполнения соответствующего набора требований) информационной безопасности. С другой стороны, в конечном счете, для потребителя интерес представляет не только (а может быть, не столько) некая гипотетическая экспертная оценка эффективности механизмов защиты, основанная на анализе архитектурных решений, а, в первую очередь, эксплуатационная безопасность системных средств – реальный уровень безопасности, обеспечиваемый системным средством в процессе его практической эксплуатации, т.к. только на основании результатов практического использования средства и может быть дана объективная оценка его эффективности. Интерес к этой оценки обусловливается и тем, что при ее формировании могут быть учтены и такие параметры эффективности, никак не связанные с архитектурными решениями, как качество разработки системного средства и его технической поддержки производителем.

1.1.1. Функциональная безопасность системного средства

Под функциональной безопасностью системного средства будем понимать функциональные возможности средства защиты информации, применительно к решаемым им задачам обеспечения безопасности.

Уровень функциональной безопасности системного средства определяется тем, в какой мере достаточен набор механизмов защиты, применительно к условиям его конкретного использования, и тем, насколько корректно данные механизмы реализованы (естественно, что как недостаточность механизмов, так и некорректность их реализации, обусловливают уязвимость системного средства, как следствие, угрозу потенциальной возможности осуществления успешной атаки на данную уязвимость). Заметим, что именно такой подход к оцениванию

6

функциональной безопасности системных средств реализуется действующими сегодня нормативными документами в области защиты информации.

Требования к корректности реализации механизмов защиты сформулированы в действующем сегодня нормативном документе [1], требования к достаточности – полноте набора механизмов защиты, применительно к условиям использования системного средства, сформулированы в действующем сегодня нормативном документе [2].

Наверное, в целом, подобный подход к оцениванию функциональной безопасности всецело оправдан. Действительно, при сертификации средства защиты в соответствии с [1] должна оцениваться корректность реализуемых им механизмов защиты, при аттестации же, в соответствии с [2], достаточность набора корректно реализованных механизмов защиты (при недостаточности набора в одном средстве – достаточность их набора, достигаемая соответствующей совокупностью средств защиты), применительно к условиям использования, т.е. применительно к аттестуемой АС.

Однако говорить о достаточности набора механизмов защиты абстрактно не имеет смысла. Разговор о достаточности приобретает осмысленность только тогда, когда определено, какие задачи защиты должны решаться, соответственно, от каких угроз безопасности следует защищаться, кто является потенциальным злоумышленником. А здесь, естественно, следует вести разговор об актуальности угроз – а как же иначе, защищаться в равной мере ото всего просто бессмысленно.

То же относится и к корректности реализации механизмов защиты. Существуют совершенно различные приложения, например, использование для защиты личного компьютера и в корпоративной сети. Требования к механизмам защиты для различных приложений могут не то, чтобы различаться, они могут быть прямо противоположны.

1.1.1.1. Чем определяются требования к средствам защиты информации

Не сложно показать, что универсального средства защиты, которое может одинакого эффективно использоваться и для защиты личного компьютера, и для защиты компьютеров в корпоративных приложениях, быть не может.

Рассмотрим, чем же принципиально различаются данные области приложений средств защиты.

Когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, думаем о всевозможных играх, проигрывателях, графике и т.д. и т.п.

7

Важнейшими же условиями использования средств защиты в данных приложениях в общем случае является следующее:

По большому счету, отсутствие какой-либо конфиденциальной информации (по крайней мере, в тех объемах и характеризуемой такими свойств, чтобы всерьез задумываться о защите информации), требующей защиты. Основная задача защиты здесь сводится к обеспечению работоспособности компьютера;

Отсутствие критичности не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;

Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать-то нечего);

Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью;

Отсутствие какого-либо недоверия к пользователю – пользователь обрабатывает собственную информацию;

В большинстве своем, работа пользователя на одном компьютере, локально.

Естественно, что основным требованием к средству защиты в данных

приложениях является простота настройки и эксплуатации. Не отвечающее данным требованиям средство защиты в данных приложениях просто не будет использоваться.

Если же мы начинаем говорить о корпоративных приложениях, то в этих приложениях, как условия использования системных средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.

Важнейшими условиями использования средств защиты в данных приложениях является следующее:

В данных приложениях априори присутствует конфиденциальная информация, требующая защиты;

Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся и системные ресурсы;

8

Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать требуется не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к. в противном случае, о какой-либо эффективной защите и говорить не приходится;

Все задачи администрирования средств защиты должны решаться непосредственно администратором (кстати говоря, это одно из требований нормативных документов [1]);

Априорное недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, как следствие, должен рассматриваться в качестве потенциального злоумышленника (в последнее время в ИТбезопаасности появилось такое понятие, как инсайдер, а внутренняя ИТугроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как доминирующая, что не лишено оснований);

В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности без соответствующего инструментария (АРМа администратора в сети).

Видим, что в этих приложениях уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты.

1.1.1.2. Требования к достаточности набора механизмов защиты информации

Рассмотрим формализованные требования в общем случае [2]. Будем рассматривать первую группу АС (в соответствии с используемой в нормативном документе классификацией), включающую наиболее распространенные многопользовательские АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация

9

подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

Требования к АС первой группы сведены в табл. 1.1. Используемые обозначения:

“- “ - нет требований к данному классу;

“+ “ - есть требования к данному классу.

Таблица 1.1 Формализованные требования к защите информации от НСД

10