Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf342 |
Глава 20. О сновные у гр о зы инф орм ационной безопасност и в ИТС |
ционирование перешло к незаконному субъекту. Следующие угрожающие действия могут повлечь за собой «захват»:
1.«Незаконное присвоение» (misappropriation): Угрожающее действие, посредством которого субъект присваивает себе функции несанкционированного логического или физиче ского управления системным ресурсом.
1.1.«Кража службы» (theft of service): Несанкционированное использование службы субъектом. (Чрезвычайно опасный вид компьютерных нарушений, связанный несанкциониро ванным использованием и управлением сетевой службы (фактически переход управления «во вторые руки»). Для за щиты необходимо исключить удаленное управление всеми программными элементами сети. Целесообразно настройку каждого системного программного компонента осуществ лять только через «консольный» вход. В противном случае необходимо использовать аппаратно-программные комплек сы для фильтрации трафика, которые независимы (не со вместимы) по системам управления с сетевыми (коммуни кационными) программными компонентами.)
1.2.«Кража функциональных возможностей» (theft of functionality):
Незаконное приобретение действующих аппаратнопрограммных средств и программного обеспечения компонентов сети. (Чрезвычайно опасный вид компьютер ных нарушений, связанный несанкционированным присвоени ем управления сетью (фактически переход управления «во вторые руки»). Для защиты необходимо исключить удален ное управление всеми аппаратно-программными элементами сети. Целесообразно настройку каждого системного аппа ратно-программного компонента осуществлять только че рез «консольный» вход. В противном случае использовать ап паратно-программные комплексы для фильтрации трафика, которые независимы (не совместимы) по системам управле ния с сетевыми (коммуникационными) аппаратнопрограммными компонентами.)
1.3.«Кража данных» (theft of data): Незаконное приобретение и использование данных. (Чрезвычайно опасный вид компь ютерных нарушений, связанный несанкционированным ис пользованием управляющей информации в криминальных це лях, либо ее использование для получения защищаемых дан ных. Для защиты необходимо исключить передачу управ ляющей информации по сети, либо вообще исключить или надежно защитить все возможные каналы доступа к системе управления сетью.)
2.«Злоупотребление» (misuse): Угрожающее действие, которое повлекло за собой выполнение системным компонентом ка ких-либо функций или процедур обслуживания, подры вающих безопасность системы.
2.1.«Подделка» (tamper): С точки зрения «злоупотребления», умышленное искажение программного обеспечения, данных или управляющей информации системы с це лью принуждения системы выполнять несанкциониро ванные функции или процедуры обслуживания. (Чрез вычайно опасный вид компьютерных нарушений, связанный с модификацией управляющего ПО с криминальными целями. Целесообразно исключить или надежно защитить все воз можные каналы доступа к системе управления сетью.)
2.2.«Устройство для злонамеренных действий» (malicious logic):
Сточки зрения «злоупотребления», любое аппаратнопрограммное устройство или программное обеспечение, преднамеренно встроенное в систему с целью выполне ния или управления несанкционированными функцией или процедурой обслуживания. (Чрезвычайно опасный вид компьютерных нарушений, связанный с модификацией управ ляющего ПО с криминальными целями. Целесообразно исклю чить или надежно защитить все возможные каналы доступа к системе управления сетью. Кроме этого необходимо использо вать только доверенные аппаратно-программные средства или ПО, либо проверять листинги программ с целью выявле ния не декларируемых свойств и функций, а аппаратную часть подвергать специальным проверкам.)
2.3.«Нарушение дозволенности» (violation ofpermissions): Действие субъекта, которое обеспечивает для него превышение доз воленных системных полномочий путем выполнения не санкционированной функции. (Чрезвычайно опасный вид компьютерных нарушений, связанный с несанкционированным проникновением в систему управления сетью и получением на этой основе завышенных полномочий в криминальных целях. Целесообразно исключить или надежно защитить все возмож ные каналы доступа к системе управления сетью.)
Анализ представленных угроз и последствий их воздействия показывает, что конечными их целями являются (рис. 20.2):
•информация пользователей, циркулирующая в ИТС - чтение и искажение (разрушение) информации и/или нарушение процедур информационного обмена;
•работоспособность самой ИТС - чтение и искажение (разру шение) управляющей информации и/или нарушение проце дур управления сетевыми (системными) компонентами или всей сетью (системой).
344 |
Глава 20. О сновны е угрозы инф орм ационной безопасност и в HTQ |
ФУ Н К Ц И Я
/О Б Е С П Е Ч Е Н И Я \ Б Е З О П А С Н О С ТИ
ИТ С
КАК ЗАЩ И Щ АТЬ?)
РЕАЛИЗАЦИЯ
безопасности
|
РАВОГОСПОСОВНООЬ |
|
0^ о с ° Бы |
|
« Н а » |
|
|
||||
|
CEW |
|
|
|
|
|
■“ » Д |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
/^ОБЕСПвт , { |
А |
ШИФРОВАНИЕ^ |
||||||
противоправны е действия |
|
) |
ЦИФРОВАЯ |
|
1 |
||||||
|
УРНФИЩйудПЫЮС^ у |
J |
|
подпись у |
|||||||
|
|
|
|
||||||||
|
|
|
ПРОВЕРКА |
ПГ* |
А |
|
РАСЧЕТ |
-У |
|||
|
|
|
подлинности |
X. |
JL |
|
|||||
|
|
|
|
|
С |
|
|
) |
ко нтро льны х |
) |
|
|
|
(ОБЕСПЕЧЕНИЕ Г |
|
|
|
|
|
|
|||
|
|
( |
|
|
|
|
у |
ЮТРУ?ШАР |
у |
||
|
|
|
ЦЕЛОСТНОСТИ |
|
|
|
|||||
|
|
/" п р о в е р к а / " ' |
|
|
|
|
|
||||
|
г |
V |
|
V |
|
|
|
|
|
|
|
|
( |
ЮНГРОЛЬУЧАСШИЙ»/" " |
А |
ЛОДТВЕРЖДЕНиГЧ |
|||||||
|
НАРУШЕНИЕ |
ИтюР№Ч#10НН0ГО |
( |
|
|
) |
ТРЕТЬЕГОЛИЦА |
I |
|||
нарушение |
|
„ ОБМЕНА |
у |
|
J |
|
АУДИТ |
|
J |
||
|
ПРОЦЕДУР |
|
( |
ОБЕСПЕЧЕНИЕ |
Г |
\ |
|
ГЕНЕРАЦИЯ |
|
|
|
|
управления |
|
|
) |
|
||||||
ОБМЕНА |
с етью |
|
доступности |
V |
J |
|
ТРАФИКА |
|
|||
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
||
Рис. 20.2. О б ъ е к т ы и р е а л и з а ц и о н н ы е а с п е к т ы ф у н к ц и и о б е сп е ч е н и я И Б И Т С
20.3. Функция, способы и средства обеспечения ИБ ИТС
На сегодняшний день существует несколько точек зрения на обеспечение безопасности информации в ИТС. Это относится к мо делям безопасности Международного союза электросвязи (ITU-T, Х.800, 1991 г.), Международной организации по стандартизации (ISO), министерства обороны США (Department of defense - DOD) и рабочей группы по безопасности IETF (IRTF) Internet. Тем не менее.
Раздел III. |
345 |
анализ этих моделей показывает, что любая сеть должна обеспечи вать дополнительную (ые) функцию (ии) безопасности (помимо стандартного набора функций для любой открытой системы), которая(ые) в свою очередь определяет(ют) объекты сетевой безопасно сти и ее реализационные аспекты (см. рис. 20.2). Этот рисунок пока зывает, что функция безопасности «разбивается» на подфункции и реализуется через определенный набор способов и средств обеспече ния защиты сети. Каждая подфункция относится к определенному уровню архитектуры ЭМВОС и включает соответствующую группу способов и средств обеспечения безопасности. При этом одни и те же способы и средства могут применяться на различных уровнях архи тектуры ИТС.
Под способом обеспечения информационной безопасности понима ется совокупность приемов или операций, при реализации которых достигается какая-либо цель или решается определенная задача по защите данных.
Под средством обеспечения информационной безопасности пони мается комплекс технических устройств (аппаратно-программных, программных и др.), обладающих определенными свойствами и реализующими один или несколько способов защиты информации. При этом несколько различных средств могут реализовать один способ обеспечения информационной безопасности.
На рис. 20.3 представлены средства защиты информации в ИТС.
СР ЕД СТВА ЗАЩ ИТЫ ИНФОРМАЦИИ
Криптографические |
Защита информации |
-------N |
( |
\ |
|
средства защиты информации |
отнесанкционированного доступа |
Антивирусная |
|
Организационно- |
|
|
|
|
|
||
Канальное шифрование |
ЗащитаотНСД в ИТС |
|
технические |
||
защита |
|
||||
|
меры защиты |
||||
^____ |
_______ |
|
информации |
|
информации |
|
Абонентское |
Защита отНСДвАРМ |
|
|
|
Универсальный криптографический интерфейс |
шифрование |
) |
к |
|
|
Ч |
|
||||
Электронная |
Подсистемауправления |
|
|
|
|
|
цифровая подпись |
доступом |
|
|
|
Аутентификация
Контроль целостности
Рис. 20.3. Средства защиты информации
В соответствии с существующими моделями обеспечения иб Итс, каждый уровень управления сетевой архитектуры эмвос вклю-
346 |
Глава 20. Основныеугрозы информационной безопасности в ИТС |
чает дополнительную (ые) функцию(ии) по обеспечению не только защиты данных пользователей, но и защиту самих управляющих функций, которые поддерживают «нормальную» работоспособ ность сети. Эта(и) дополнительная(ые) функция(ии) разбита(ы) на соответствующие подфункции (со своими группами способов и средств безопасности), а последние «распределены и встроены» в соответствующие протоколы информационного обмена на каждом уровне управления.
Под архитектурой безопасности будем понимать распределе ние дополнительной(ых) функции(ий) обеспечения безопасности по уровням архитектуры управления ИТС с целью обеспечения за щиты от угроз ИБ, причем средства каждого уровня обеспечивают защиту только от конкретного вида угроз, к которому наиболее уяз вим данный уровень или создание защиты на этом уровне позволя ет избежать дублирования функций обеспечения безопасности от этого вида угроз на других уровнях (хотя дублирование таких функций на каждом уровне не исключается).
20.4. Архитектура безопасности ЭМВОС
Одним из первых международных стандартов, определяющих архитектуру безопасности открытых систем, была Рекомендация ITU-T (МККТТ) Х.800. Этот стандарт дал общее описание функции обеспечения безопасности ИТС ЭМВОС. Эта функция реализуется системой обеспечения ИБ ИТС (СОИБ). Другими словами, СОИБ решает комплексную задачу обеспечения ИБ ИТС.
Рис. 20.4. Задача и состав системы обеспечения безопасности ИТС
Раздел III. |
347 |
Функция обеспечения безопасности является дополнительной (не обязательной), а её реализация зависит от «желания» пользователя и/или владельца ИТС, поэтому СОИБ обеспечивает достижение по ставленной перед ней цели путём предоставления услуг по обеспе чению безопасности. Подсистемы обеспечения безопасности в рам ках СОИБ именуются службами, которые и решают частные задачи путём реализации подфункций и предоставления услуг по обеспе чению безопасности (рис. 20.4).
Реком ендация IT U -T Х .800 вво ди т следую щ и е терм ин ы и определения:
управление доступом (access control) - предотвращение неавто ризованного использования ресурса, включая предотвращение ис пользования ресурса нерегламентированным способом;
перечень управления доступом (access control list) - список субъ ектов1 (включающий их права доступа), которые авторизованы для предоставления им доступа к ресурсу;
идентифицируемость (accountability) - свойство, которое гаран тирует, что все действия субъекта могут быть зафиксированы в це лях последующего подтверждения их однозначной принадлежно сти субъекту;
активная угроза (active threat) - угроза преднамеренного неав торизованного изменения состояния системы;
аутентификационная информация (authentication information) - информация, используемая для подтверждения подлинности объекта; аутентификационный обмен (authentication exchange) - способ подтверждения подлинности объекта с помощью средств информа
ционного обмена;
авторизация (authorization) - удовлетворение прав, которое включает предоставление доступа на основе прав доступа;
доступность (availability) - свойство, обеспечивающее откры тый и технически приемлемый доступ по запросу авторизованного субъекта;
мандат доступа (capability) - метка, используемая как иденти фикатор при доступе к ресурсу, причём обладание такой меткой даёт право доступа к ресурсу;
конфиденциальность (confidentiality) - свойство, обеспечиваю щее недоступность или нераскрываемость информации неавтори зованными пользователями, субъектами или процессами;
1В данном случае под термином «объект» понимается тот или иной сете вой ресурс, а «субъект» - тот кто обращается к ресурсу (пользователь, про цесс ит.п.).
348 |
Глава 20. Основныеугрозы информационной безопасности в ИТС |
|
верительные данные (credentials) - данные, которые доставляют |
ся субъекту для формирования предъявляемой им аутентификаци онной информации;
криптографическая проверочная сумма (cryptographic checkvalue) - информация, которая была получена путём осуществления крип тографического преобразования некоторой последовательности символов;
целостность данных (data integrity) - свойство, обеспечивающее защиту данных от их изменения или разрушения каким-либо неав торизованным способом;
аутентификация источника данных (data origin authentication) - подтверждение того, что источник полученных данных в действи тельности является тем, за кого себя выдаёт;
отказ в обслуживании (denial of service) - воспрепятствование авторизованному доступу к ресурсу или прерывание процедур, ко торые являются критичными во времени;
цифровая (электронная цифровая) подпись (digital signature) - присоединённые в исходной последовательности символов данные или криптографически преобразованная исходная последователь ность символов, которые позволяют получателю этой исходной по следовательности символов удостовериться относительно отправи теля этой последовательности и её целостности, а также защитить их от подделки, например, тем же самым получателем;
политика безопасности, основанная на проверке подлинности (iden tity-based security policy) - политика безопасности, основанная на проверке подлинности пользователей и/ или атрибутов пользовате лей, групп пользователей или субъектов, действующих от имени и по поручению пользователей и ресурсов/объектов, к которым осу ществляется доступ;
ключ или криптоключ (key) - последовательность символов, ко торая принимает непосредственное участие в управлении процеду рами шифрования и расшифрования;
управление (обеспечение) ключами (key management) - генерация, хранение, распределение, удаление, архивация и применение клю чей в соответствие с политикой безопасности;
обнаружение манипуляций (manipulation detection) - способ, ко торый используется для выявления факта модификации данных (либо случайной, либо умышленной);
маскарад (masquerade) - ситуация, при которой один субъект выдаёт себя за другого;
нотариальное заверение (notarization) - регистрация данных до веренной третьей стороной (ДТС), которая в последующем позволя ет гарантировать точность их параметров и характеристик, напри мер, содержание, источник, время и доставку;
Раздел III. |
349 |
пассивная угроза (passive threat) - угроза неавторизованного вскрытия информации без изменения состояния системы;
пароль (password) - конфиденциальная аутентификационная информация, которая, как правило, представляет собой последова тельность символов;
аутентификация взаимодействующего субъекта (peer-entity au thentication) - подтверждение того, что субъект на противоположен ной стороне соединения является тем, с кем необходимо провести процедуру информационного обмена (ПИнО);
физическая безопасность (physical security) - комплекс мероприя тий, используемых для обеспечения физической защиты ресурсов от последствий реализации умышленных и случайных угроз ИБ;
секретность (privacy) - право пользователей контролировать или влиять на то, какая информация, связанная с их жизнедеятель ностью (например, персональные данные), может накапливаться и храниться, а также кем и кому она может быть раскрыта;
отрицание (repudiation) - отказ одного из взаимодействующих субъектов при проведении ПИнО от участия в этой процедуре или в отдельных её фазах;
управление маршрутизацией (routing control) - применение пра вил при выполнении процедуры маршрутизации, таких как выбор или отказ от определённых сетей, каналов связи или ретрансляци онных участков;
политика безопасности, основанная на применении правил (rulebased security policy) - политика безопасности, основанная на ис пользовании единых правил, предназначенных для всех пользова телей. Эти правила, обычно, являются компромиссом между кри тичностью предназначенных для доступа ресурсов и обладателями соответствующих атрибутов пользователей, групп пользователей или субъектов, действующих от имени пользователей;
аудит безопасности (security audit) - независимая проверка и ревизия системных записей и основных направлений деятельности с целью оценки адекватности системных средств управления и обес печения гарантий их соответствия принятой политике безопасности и применяемым функциональным процедурам, а также для выяв ления уязвимых мест в системе обеспечения ИБ и выработки реко мендаций по внесению изменений в систему управления, политику безопасности и соответствующие процедуры;
исходные данные для аудита безопасности (security audit trail) - накопленная и реально используемая для более успешного прове дения аудита безопасности информация;
маркер безопасности (security label) - метка (проставление мет ки), непосредственно («жёстко») связанная с ресурсом (который мо
350 |
Глава 20. Основныеугрозы информационной безопасности в ИТС |
жет быть последовательностью символов), которая обозначает или предполагает использование атрибутов безопасности этого ресурса; политика безопасности (security policy) - совокупность критери
ев оценки корректности функционирования служб безопасности;
услуга по обеспечению безопасности (security service) - услуга, предоставляемая одним из уровней архитектуры ЭМВОС (дополни тельная подфункция), которая гарантирует адекватную защиту сис тем или доставки данных;
защита отдельных полей (selective field protection) - защита оп ределённых полей сообщения, подлежащего передаче;
критичность (sensitivity) - свойство ресурса, которое означает его ценность или важность, а также может включать его уязвимость;
угроза (threat) - потенциальное нарушение безопасности;
конфиденциальность потока трафика (traffic flow confidentiality) - услуга по обеспечению конфиденциальности, предназначенная для нейтрализации угрозы анализа трафика;
заполнение трафика (traffic padding) - генерация ложных запро сов на соединение, ложных сообщений и/или ложных последова тельностей символов в сообщениях;
надёжное функционирование (trusted functionality) - функцио нальный процесс (процедура), относительно которого существует предположение, что он протекает (выполняется) корректно в соот ветствие с некоторым(и) критерием(ями), например, в точном соот ветствие с политикой безопасности.
Услуги и способы обеспечения безопасности. Архитектура безопасности ЭМВОС включает следующие услуги по обеспечению безопасности:
ваутентификация (authentication). Эта услуга может быть двух видов:
-аутентификация взаимодействующего субъекта (peer-entity authentication). Эта услуга обеспечивается n-ым уровнем ар хитектуры ЭМВОС и тем самым подтверждает субъекту (п+2)-го уровня, что субъект на противоположенной сторо не соединения является тем субъектом (п+1)-то уровня, с ко торым необходимо провести ПИнО;
-аутентификация источника данных (data origin authentica tion). Эта услуга обеспечивается n-ым уровнем архитектуры ЭМВОС и тем самым подтверждает субъекту (п+1)-то уров ня, что источником поступивших данных является запра шиваемый субъект (п+1)-то уровня;
вуправление доступом (access control). Эта услуга обеспечивает защиту от несанкционированного использования ресурсов, которые доступны через ЭМВОС-сети/системы;
раздел III. |
351 |
оконфиденциальность данных (data confidentiality). Эта услуга может быть четырёх видов:
-конфиденциальность виртуального соединения (connection confidentiality). Эта услуга обеспечивает конфиденциаль ность всех данных пользователя на л-ом уровне архитекту ры ЭМВОС после установления соединения на этом уровне;
-конфиденциальность информационного обмена без уста новления соединения (connectionless confidentiality). Эта ус луга обеспечивает конфиденциальность для всех данных пользователя на л-ом уровне архитектуры ЭМВОС при от правке одиночной дейтаграммы (дейтаграммный режим доставки сообщений) на этом уровне;
-конфиденциальность отдельных полей (selective field confi dentiality). Эта услуга обеспечивает конфиденциальность отдельных полей в последовательности символов, отправ ленной пользователем на л-ом уровне архитектуры ЭМВОС в режиме с установлением соединения или дейтаграммном режиме;
-конфиденциальность потока трафика (traffic flow confiden tiality). Эта услуга обеспечивает защиту информации, кото рая может быть извлечена при ведении наблюдения пото ков трафика;
•целостность данных (data integrity). Эта услуга может быть пя ти видов:
-целостность соединения с его последующим восстановлени ем (connection integrity with recovery). Эта услуга обеспечи вает целостность всех данных пользователя на л-ом уровне архитектуры ЭМВОС после установления соединения на этом уровне, а также выявление любой модификации, лож ной вставки, ложного удаления или повтора любых данных в пределах всей последовательности дейтаграмм (с попыт кой восстановления всей последовательности);
-целостность соединения без его последующего восстановле ния (connection integrity without recovery). Эта услуга обеспе чивает целостность всех данных пользователя на л-ом уровне архитектуры ЭМВОС после установления соединения на этом уровне, а также выявление любой модификации, лож ной вставки, ложного удаления или повторной передачи лю бых данных в пределах всей последовательности дейтаграмм (без попытки восстановления все последовательности);
-целостность отдельных полей при организации виртуаль ного соединения (selective field connection integrity). Эта ус луга обеспечивает целостность отдельных полей сообщения пользователя на л-ом уровне архитектуры ЭМВОС в рамках