А.Ю.Щеглов Учебное пособие
.pdfМИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ
А.Ю.Щеглов
БЕЗОПАСНОСТЬ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ И СЕТЕЙ
Учебное пособие
Санкт-Петербург
2010
ОГЛАВЛЕНИЕ |
|
ВВЕДЕНИЕ ................................................................................................................ |
4 |
РАЗДЕЛ 1. ПРОЕКТИРОВАНИЕ И ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ |
|
ЗАЩИТЫ ИНФОРМАЦИИ ........................................................................................ |
6 |
1.1. Основные понятия и базовые требования к средству защиты |
|
информации ............................................................................................................. |
6 |
1.1.1. Функциональная безопасность системного средства............................................................................ |
6 |
1.1.1.1. Чем определяются требования к средствам защиты информации .................................................... |
7 |
1.1.1.2. Требования к достаточности набора механизмов защиты информации .......................................... |
9 |
1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1Г) ....... |
11 |
1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1В) ...................... |
13 |
1.1.1.3. Требования к корректности реализации механизмов защиты информации .................................. |
16 |
1.1.2. Эксплуатационная безопасность системного средства....................................................................... |
19 |
1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения ... |
19 |
1.1.2.2. Оценка эксплуатационной безопасности современных ОС ............................................................ |
23 |
1.2. Построение системы защиты информации на основе выполения |
|
требований к достаточности набора механизмов защиты и корректности |
|
их реализации ........................................................................................................ |
30 |
1.3. Общий подход к проектированию системы защиты на основе оценки |
|
рисков...................................................................................................................... |
31 |
1.3.1. Общий подход к оценке эффективности системы защиты ............................................................... |
31 |
1.3.2. Способы задания исходных параметров для оценки защищенности ................................................ |
36 |
1.3.3. Особенности проектирования системы защиты на основе оценки рисков ....................................... |
40 |
1.3.4. Применение метода последовательного выбора уступок ................................................................... |
42 |
1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты ........................ |
44 |
1.4. Выводы по разделу 1. ................................................................................... |
48 |
РАЗДЕЛ 2. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ |
|
ДАННЫХ .................................................................................................................. |
50 |
2.1. Основополагающие документы по защите персональных данных...... |
50 |
2.2. Классификация ИСПДн.................................................................................. |
51 |
2.3. Методика определения актуальных угроз ................................................. |
55 |
2.3.1 Порядок определения исходной безопасности ИСПДн ....................................................................... |
55 |
2.3.2 Порядок определения актуальных угроз безопасности ПДн из исходного множества угроз .......... |
57 |
2.3.3. Пример построения модели угроз безопасности ПДн и определения актуальных угроз ................ |
60 |
2.4. Выводы по разделу 2. ................................................................................... |
72 |
РАЗДЕЛ 3. ОСНОВОПОЛАГАЮЩИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ |
|
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............................................................. |
73 |
3.1. Общая классификация методов защиты ................................................... |
73 |
3.2. Идентификация и аутентификация ............................................................. |
74 |
3.2.1. Идентификация и аутентификация субъектов доступа....................................................................... |
75 |
3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь» ...................................... |
75 |
3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему .............................. |
75 |
2
2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам ........................ |
86 |
3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс» ............................................... |
89 |
3.2.2. Идентификация и аутентификация объектов доступа ........................................................................ |
90 |
3.2.2.1. Идентификация и аутентификация устройств .............................................................................. |
90 |
3.2.2.2. Идентификация и аутентификация файловых объектов.............................................................. |
92 |
3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети..................................... |
94 |
3.3. Разграничение доступа к ресурсам............................................................. |
95 |
3.3.1. Общие положения .................................................................................................................................. |
95 |
3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам99 |
|
3.3.3. Требования к корректности решения задачи управления доступом................................................ |
105 |
3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления |
|
доступом...................................................................................................................................................... |
106 |
3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления |
|
доступом с взаимодействием субъектов доступа. ................................................................................... |
108 |
3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов |
|
доступа ........................................................................................................................................................ |
113 |
3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы |
|
управления доступом ..................................................................................................................................... |
119 |
3.3.5. Разметка иерархических объектов доступа........................................................................................ |
128 |
3.3.6. Разграничения доступа для субъекта «процесс» ............................................................................... |
133 |
3.3.7. Разграничение доступа к объекту «ПРОЦЕСС». Механизм обеспечения замкнутости |
|
программной среды ........................................................................................................................................ |
137 |
3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков |
|
исполняемых файлов.................................................................................................................................. |
141 |
3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с |
|
исполняемыми файлами, разрешенных на запуск................................................................................... |
142 |
3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости |
|
программной среды .................................................................................................................................... |
143 |
3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями ......................... |
144 |
3.3.9. Ролевая модель разграничения доступа к ресурсам .......................................................................... |
146 |
3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа ........................... |
148 |
3.4. Контроль целостности и аудит .................................................................. |
161 |
3.4.1. Контроль целостности.......................................................................................................................... |
161 |
3.4.2. Аудит ..................................................................................................................................................... |
163 |
3.5. Защита сети ................................................................................................... |
166 |
3.5.1. Задача и способ защиты информации, обрабатываемой в составе ЛВС. Системный подход к |
|
проектированию системы защиты компьютерной информации в составе ЛВС ...................................... |
166 |
3.5.2. Задача и способ защиты доступа в сеть.............................................................................................. |
172 |
5.5.2.1. Трансляция сетевых адресов и портов ........................................................................................ |
172 |
3.5.2.2. Межсетевое экранирование .......................................................................................................... |
175 |
3.6. Выводы по разделу 3 .................................................................................. |
180 |
ЗАКЛЮЧЕНИЕ....................................................................................................... |
182 |
СПИСОК ЛИТЕРАТУРЫ ....................................................................................... |
184 |
3
ВВЕДЕНИЕ
Мы приступаем к изучению предмета «Безопасность вычислительных систем и сетей» в эпоху серьезнейшего технологического кризиса в области информационной безопасности.
На сегодняшний день киберпреступность растет невиданными ранее темпами. Например, на 4-ом международном форуме по борьбе с киберпреступностью (FIC 2010), засвидетельствовано, что сегодня доходы от киберпреступности в мире уже превысили доходы от незаконного оборота наркотиков. В частности по данным ФБР, объемы мошенничества в Интернете за год выросли более чем в два раза и уже в 2009 году достигли 560 млн. долларов.
В печати постоянно «проскальзывают» высказывания экспертов в области информационной безопасности «о расширяющейся пропасти», о «технологическом тупике» и т.д.
По мнению специалистов АНБ США (Агентство национальной безопасности США), современное положение в области безопасности компьютерных систем характеризуется как провальное.
Конечно, на то есть и объективные причины. Главная из которых, состоит в повсеместной компьютеризации, особенно в последнее десятилетие, вех видов человеческой деятельности, в том числе, и финансовой. Следствием этого стало, с одной стороны, стремление разработчиков ПО к созданию за минимальные сроки максимально удобных, универсальных, «открытых» технологий, системных средств и приложений, с другой стороны, а это взаимосвязанные вещи, к стремительному росту киберпреступности. Причем, в первую очередь, той киберприступности, стремления которой напрямую связаны с получением финансовой выгоды. А то, что уровень профессионализма киберпреступности растет пропорционально росту ее доходов, очевидно.
Другая объективная причина связана со сложностями построения эффективной защиты. Ломать – не строить! Для взлома системы защиты достаточно воспользоваться лишь одной уязвимостью, для эффективной же защиты необходимо, по возможности, перекрыть их все. А все это сопровождается колоссальным усложнением ОС и приложений, как следствие, стремимтельным ростом уязвимостей, в том числе, связанным с ошибками программирования, усложнением и увеличением продолжительности устранения уязвимостей разработчиками.
Есть и субъективные причины. Исторически, еще в эпоху отсутствия каких-либо серьезных разговоров о киберпреступности, в основу построения средств защиты закладывались простейшие технологии, как правило, основанные на использовании механизмов контроля, например, сигнатурный анализ. На то время, это было понятно и оправданно. Но и сегодня, когда качественно изменились требования к эффективности
4
защиты, многие вендоры не пытаются искать новых технологических решений, а развивают устаревшие подходы.
Осознание необходимости эффективной защиты всевозможных активов компаниями и частными лицами, наконец, пришло в полном объеме, но пришло оно на фоне существенного технологического отставания в области защиты информации, что объективно следует из сегодняшней неутешительной статистики регистрируемых инциндентов.
Врамках данного предмета мы рассмотрим вопросы проектирования
ипостроения систем защиты информации в современных условиях. Определимся с параметрами, характеризуемыми систему защиты, критериями оптимальности, остановимся на вопросах сложности формализации задачи проектирования. Покажем, что большинство задач защиты в современных условиях должно решаться реализацией разграничительной политики доступа к ресурсам, сформулируем и обоснуем требования к достаточности набора механизмов защиты при построении разграничительной политики доступа к ресурсам, и к корректности их реализации. Обсудим альтернативные способы и технологии решения наиболее актуальных задач защиты информации в комплексе.
5
РАЗДЕЛ 1. ПРОЕКТИРОВАНИЕ И ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Основные понятия и базовые требования к средству защиты информации
Безопасность вычислительных систем и сетей (далее системного средства) может быть оценена с двух совершенно различных (и, отнюдь, не полностью коррелированных между собой) позиций. С одной стороны, безопасность системного средства может быть охарактеризована достигаемым им уровнем функциональной безопасности. Уровень функциональной безопасности системного средства на сегодняшний день может быть определен только путем экспертного оценивания реализованных в нем технологий и решений по защите информации. Данный подход широко используется на практике, как в нашей стране, так и зарубежом. В частности, именно уровень функциональной безопасности системного средства и определяется при его сертификации по требованиям (в части выполнения соответствующего набора требований) информационной безопасности. С другой стороны, в конечном счете, для потребителя интерес представляет не только (а может быть, не столько) некая гипотетическая экспертная оценка эффективности механизмов защиты, основанная на анализе архитектурных решений, а, в первую очередь, эксплуатационная безопасность системных средств – реальный уровень безопасности, обеспечиваемый системным средством в процессе его практической эксплуатации, т.к. только на основании результатов практического использования средства и может быть дана объективная оценка его эффективности. Интерес к этой оценки обусловливается и тем, что при ее формировании могут быть учтены и такие параметры эффективности, никак не связанные с архитектурными решениями, как качество разработки системного средства и его технической поддержки производителем.
1.1.1. Функциональная безопасность системного средства
Под функциональной безопасностью системного средства будем понимать функциональные возможности средства защиты информации, применительно к решаемым им задачам обеспечения безопасности.
Уровень функциональной безопасности системного средства определяется тем, в какой мере достаточен набор механизмов защиты, применительно к условиям его конкретного использования, и тем, насколько корректно данные механизмы реализованы (естественно, что как недостаточность механизмов, так и некорректность их реализации, обусловливают уязвимость системного средства, как следствие, угрозу потенциальной возможности осуществления успешной атаки на данную уязвимость). Заметим, что именно такой подход к оцениванию
6
функциональной безопасности системных средств реализуется действующими сегодня нормативными документами в области защиты информации.
Требования к корректности реализации механизмов защиты сформулированы в действующем сегодня нормативном документе [1], требования к достаточности – полноте набора механизмов защиты, применительно к условиям использования системного средства, сформулированы в действующем сегодня нормативном документе [2].
Наверное, в целом, подобный подход к оцениванию функциональной безопасности всецело оправдан. Действительно, при сертификации средства защиты в соответствии с [1] должна оцениваться корректность реализуемых им механизмов защиты, при аттестации же, в соответствии с [2], достаточность набора корректно реализованных механизмов защиты (при недостаточности набора в одном средстве – достаточность их набора, достигаемая соответствующей совокупностью средств защиты), применительно к условиям использования, т.е. применительно к аттестуемой АС.
Однако говорить о достаточности набора механизмов защиты абстрактно не имеет смысла. Разговор о достаточности приобретает осмысленность только тогда, когда определено, какие задачи защиты должны решаться, соответственно, от каких угроз безопасности следует защищаться, кто является потенциальным злоумышленником. А здесь, естественно, следует вести разговор об актуальности угроз – а как же иначе, защищаться в равной мере ото всего просто бессмысленно.
То же относится и к корректности реализации механизмов защиты. Существуют совершенно различные приложения, например, использование для защиты личного компьютера и в корпоративной сети. Требования к механизмам защиты для различных приложений могут не то, чтобы различаться, они могут быть прямо противоположны.
1.1.1.1. Чем определяются требования к средствам защиты информации
Не сложно показать, что универсального средства защиты, которое может одинакого эффективно использоваться и для защиты личного компьютера, и для защиты компьютеров в корпоративных приложениях, быть не может.
Рассмотрим, чем же принципиально различаются данные области приложений средств защиты.
Когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, думаем о всевозможных играх, проигрывателях, графике и т.д. и т.п.
7
Важнейшими же условиями использования средств защиты в данных приложениях в общем случае является следующее:
По большому счету, отсутствие какой-либо конфиденциальной информации (по крайней мере, в тех объемах и характеризуемой такими свойств, чтобы всерьез задумываться о защите информации), требующей защиты. Основная задача защиты здесь сводится к обеспечению работоспособности компьютера;
Отсутствие критичности не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;
Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать-то нечего);
Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью;
Отсутствие какого-либо недоверия к пользователю – пользователь обрабатывает собственную информацию;
В большинстве своем, работа пользователя на одном компьютере, локально.
Естественно, что основным требованием к средству защиты в данных
приложениях является простота настройки и эксплуатации. Не отвечающее данным требованиям средство защиты в данных приложениях просто не будет использоваться.
Если же мы начинаем говорить о корпоративных приложениях, то в этих приложениях, как условия использования системных средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.
Важнейшими условиями использования средств защиты в данных приложениях является следующее:
В данных приложениях априори присутствует конфиденциальная информация, требующая защиты;
Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся и системные ресурсы;
8
Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать требуется не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к. в противном случае, о какой-либо эффективной защите и говорить не приходится;
Все задачи администрирования средств защиты должны решаться непосредственно администратором (кстати говоря, это одно из требований нормативных документов [1]);
Априорное недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, как следствие, должен рассматриваться в качестве потенциального злоумышленника (в последнее время в ИТбезопаасности появилось такое понятие, как инсайдер, а внутренняя ИТугроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как доминирующая, что не лишено оснований);
В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности без соответствующего инструментария (АРМа администратора в сети).
Видим, что в этих приложениях уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты.
1.1.1.2. Требования к достаточности набора механизмов защиты информации
Рассмотрим формализованные требования в общем случае [2]. Будем рассматривать первую группу АС (в соответствии с используемой в нормативном документе классификацией), включающую наиболее распространенные многопользовательские АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация
9
подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Требования к АС первой группы сведены в табл. 1.1. Используемые обозначения:
“- “ - нет требований к данному классу;
“+ “ - есть требования к данному классу.
Таблица 1.1 Формализованные требования к защите информации от НСД
|
Подсистемы и требования |
|
|
Классы |
|
|
||
|
|
1Д |
1Г |
|
1В |
|
1Б |
1А |
1. Подсистема управления доступом |
|
|
|
|
|
|
|
|
1.1. Идентификация, проверка подлинности и контроль |
|
|
|
|
|
|
|
|
доступа субъектов: |
|
|
|
|
|
|
|
|
|
в систему |
+ |
+ |
|
+ |
|
+ |
+ |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам ЭВМ |
- |
+ |
|
+ |
|
+ |
+ |
|
к программам |
- |
+ |
|
+ |
|
+ |
+ |
|
к томам, каталогам, файлам, записям, полям записей |
- |
+ |
|
+ |
|
+ |
+ |
1.2. Управление потоками информации |
- |
- |
|
+ |
|
+ |
+ |
|
|
|
|
|
|
|
|
||
2. Подсистема регистрации и учета |
|
|
|
|
|
|
|
|
2.1. Регистрация и учет: |
|
|
|
|
|
|
|
|
|
входа (выхода) субъектов доступа в (из) систему |
|
|
|
|
|
|
|
|
(узел сети) |
+ |
+ |
|
+ |
|
+ |
+ |
|
выдачи печатных (графических) выходных |
|
|
|
|
|
|
|
|
документов |
- |
+ |
|
+ |
|
+ |
+ |
|
запуска (завершения) программ и процессов |
|
|
|
|
|
|
|
|
(заданий, задач) |
- |
+ |
|
+ |
|
+ |
+ |
доступа программ субъектов доступа к защищаемым |
|
|
|
|
|
|
|
|
|
файлам, включая их создание и удаление, передачу |
- |
+ |
|
+ |
|
+ |
+ |
|
по линиям и каналам связи |
|
|
|||||
|
|
|
|
|
|
|
|
|
доступа программ субъектов доступа к терминалам, |
|
|
|
|
|
|
|
|
|
ЭВМ , узлам сети ЭВМ, программам, томам, |
- |
+ |
|
+ |
|
+ |
+ |
|
каталогам, файлам, записям, полям записей |
|
|
|||||
|
- |
- |
|
+ |
|
+ |
+ |
|
изменения полномочий субъектов доступа |
|
|
||||||
- |
- |
|
+ |
|
+ |
+ |
||
создаваемых защищаемых объектов доступа |
|
|
||||||
+ |
+ |
|
+ |
|
+ |
+ |
||
2.2. Учет носителей информации |
|
|
||||||
|
|
|
|
|
|
|
||
2.3. Очистка (обнуление, обезличивание) |
|
|
|
|
|
|
|
|
освобождаемых областей оперативной памяти ЭВМ и |
- |
+ |
|
+ |
|
+ |
+ |
|
внешних накопителей |
|
|
||||||
- |
- |
|
+ |
|
+ |
+ |
||
2.4. Сигнализация попыток нарушения защиты |
|
|
||||||
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
3. Криптографическая подсистема |
|
|
|
|
|
|
|
|
3.1. Шифрование конфиденциальной информации |
- |
- |
|
- |
|
+ |
+ |
|
3.2. Шифрование информации, принадлежащей |
|
|
|
|
|
|
|
|
различным субъектам доступа (группам субъектов) на |
- |
- |
|
- |
|
- |
+ |
10