|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Методы создания защищенных информационных системРассмотрим общие методы обеспечения безопасности автоматизированных систем с точки зрения автоматизации процессов обработки конфиденциальной информации и способы противодействия угрозам безопасности. Как уже указывалось, обеспечение информационной безопасности можно рассматривать как одну из составляющих процесса внедрения информационных технологий в государственных и военных учреждениях, на производстве и в бизнесе, т. е. в тех структурах, для которых проблема обеспечения конфиденциальности и целостности информации существовала всегда. Это означает, что задача обеспечения безопасности компьютерной системы никогда не решается с "нуля", т. к. само понятие информационной безопасности имеет смысл только для тех систем, в которых эта проблема существовала и до их автоматизации. До применения компьютерных технологий в любой организации, для которой безопасность информации имела определенное значение, был установлен определенный порядок работы с информацией (например, система работы с секретными документами Министерства Обороны), регламентирующий информационные потоки внутри организации и обмен информацией с внешним миром. Этот порядок включал, во-первых, схему информационных потоков внутри организации, и, во-вторых, правила управления этими потоками. Таким образом, если основная цель внедрения информационных технологий — автоматизировать процесс обработки информации, то частная задача автоматизации процессов обработки конфиденциальной информации — обеспечить адекватную реализацию в компьютерной системе схемы информационных потоков и правил управления ими, существовавших до применения компьютерных средств обработки информации. Как правило применение средств автоматизации позволяет увеличить объем обрабатываемой информации и даже полностью изменить ее вид, что может повлечь за собой изменение смысла самого информационного процесса, однако это не означает, что исходные меры безопасности больше не нужны, они просто должны быть адаптированы к новой ситуации. В любом случае автоматизированная система должна, во-первых, реализовывать только те потоки информации, которые существовали до ее применения, и не создавать новых и, во-вторых, обеспечить возможности управления потоками информации в соответствии с набором правил, унаследованным от автоматизируемого процесса. Решение этой задачи осуществляется последовательным осуществлением следующих действий: 1. Определение формального механизма, адекватно выражающего заданную схему информационных потоков и правила управления ими. 2. Построение модели безопасности, отражающей заданный порядок обработки информации, и формальное доказательство ее безопасности. 3. Реализация системы обработки информации в соответствии с предложенной моделью. 4. Доказательство адекватности допустимых в автоматизированной системе потоков информации и правил управления доступом исходной схеме информационных потоков и правил управления ими. В ходе осуществления данной последовательности действий разработчики защищенных систем сталкиваются со следующими проблемами: 1. Схема информационных потоков и правила управления ими могут быть неполны или использовать трудно формализуемые концепции. Это затрудняет создание моделей безопасности или делает невозможным доказательство их безопасности. 2. Как правило, схема информационных потоков носит статический характер и определяет разделение информационных потоков только в штатном режиме работы. Такие аспекты как добавление и удаление компонентов в систему обычно остаются за рамками этой схемы и правил, т. к. эти операции не поддаются формализации. Соответственно, они остаются за рамками моделей безопасности, и порядок их осуществления определяется разработчиками конкретных систем в частном порядке, что приводит к потере доказательности и неадекватной реализации модели безопасности. 3. В результате автоматизации в компьютерной системе появляются новые объекты (например, служебные файлы, ресурсы и т.д.), которые не соответствуют никаким сущностям реального мира. Соответственно, они не присутствуют в схеме информационных потоков и не учитываются правилами управления этими потоками. Однако, совершенно очевидно, что контроль доступа к подобным объектам имеет ключевое значение для безопасности всей системы в целом. 4. В ходе реализации модели безопасности могут появиться неконтролируемые потоки информации, поскольку в компьютерной системе пользователи не могут манипулировать информацией непосредственно и используют программные средства, которые могут независимо от их воли создавать нежелательные неконтролируемые информационные потоки (например, атака с помощью "троянского коня"). Только успешное разрешение этих проблем, лежащих на стыке теории информационной безопасности и автоматизации процессов обработки информации, позволит разработчикам защищенных систем обработки информации обеспечить адекватную автоматизацию существующего в реальных системам порядка обработки информации и корректно применять на практике формальные модели безопасности. Как уже говорилось, противодействие угрозам безопасности является основной задачей защиты, и успешность ее решения определяет степень безопасности системы. Современные автоматизированные системы обработки информации предоставляют массу средств и механизмов для осуществления подобных угроз, о чем свидетельствует статистика правонарушений с использованием компьютерных средств. Однако, средства осуществления угроз безопасности выбираются не случайным образом — никто не будет пытаться вмешаться в работу системы с помощью средств, которые не смогут обеспечить нарушителю доступ к информации и преодолеть существующие системы защиты. Отсюда следует, что любая успешная реализация угрозы (будем называть ее атакой) непременно использует определенные особенности построения и функционирования системы обработки информации или недостатки средств защиты. Эти особенности систем обработки информации исследуются уже достаточно давно и получили название "изъянов защиты" или "уязвимостей". Поскольку с точки зрения авторов причины успеха атак на системы обработки информации предопределены свойствами самих систем (недостатками их архитектуры, ошибками реализации и неправильной эксплуатацией), то знание природы этих свойств позволяет оценить реальную способность систем противостоять угрозам безопасности. Более того, понимание недостатков существующих средств защиты, которые привели к успешным нарушениям безопасности, позволяет построить систему, лишенную этих недостатков, и соответственно защищенную по отношению к целым классам угроз. Из полученной авторами таксономии причин успешной реализации угроз безопасности следует, что все механизмы осуществления атак базируются на определенных свойствах автоматизированных систем, которые как бы провоцируют появление средств нападения. Таким образом, противостояние угроз и средств защиты напоминает систему с обратной связью — новые виды атак приводят к появлению новых средств защиты, а недостатки в средствах защиты приводят к появлению новых средств нападения и т.д. Разорвать этот порочный круг бесконечного противостояния можно двумя способами: создать эффективные и безупречно надежные средства защиты от каждого типа атак, или устранить указанные недостатки автоматизированных систем, служащие источником успешной реализации угроз безопасности. Рассмотрим недостатки и преимущества того и другого метода. Создание средств защиты от каждого вида угроз. К преимуществам данного метода следует отнести то, что средства защиты не зависят напрямую от назначения системы и не требуют модификации по мере ее развития. Недостатки такого подхода очевидны: для создания эффективной системы безопасности необходимо проанализировать все типы угроз и выработать эффективные механизмы противодействия для каждого типа. Кроме того, практика показывает, что данный путь является трудно осуществимым вследствие следующих факторов: - множество угроз постоянно расширяется и имеет тенденцию экспоненциального роста. Это означает, что все время будут появляться новые угрозы, требующие новых мер защиты, т. к. старые против них бессильны. Появление новых средств защиты, будет приводить к появлению новых классов угроз и т.д. и т.п.. - множество угроз растет не только количественно, но и качественно, т. к. для того, чтобы угроза состоялась, она должна принципиально отличаться от тех, на которые рассчитаны системы защиты. Это означает, что невозможно создать исчерпывающую классификацию угроз безопасности и предсказывать появление новых типов угроз. Устранение причин, обуславливающих успешную реализацию угроз. Преимущества этого метода очевидны: он не зависит от развития угроз, т. к. ликвидирует причину, а не следствие, поэтому он более эффективен, чем создание средств защиты от каждого вида угроз. В качестве недостатков данного метода можно указать необходимость модернизации некоторых аспектов процесса проектирования и создания защищенных систем обработки информации путем применения технологий проектирования и разработки, направленных на устранение указанных причин успешной реализации угроз. Приведенные рассуждения позволяют сделать следующий вывод: для обеспечения эффективной защиты информационной системы против современных угроз безопасности необходимо проанализировать те причины, по которым произошли известные нарушения, и устранить их. Совокупность указанных методов построения защищенных систем составляет технологию создания защищенных систем обработки информации.
Контрольные вопросы 1. Перечислите научные и технические предпосылки сложившейся кризисной ситуации с обеспечением безопасности информационных технологий. 2. Что такое защищенная информационная система? 3. Какими свойствами обладает защищенная информационная система? 4. Какие существуют методы создания защищенных информационных систем? 5. Какие задачи необходимо и достаточно решить, для того чтобы создать защищенную информационную систему?
Лекция 2. НОРМАТИВНОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
Критерии безопасности компьютерных систем министерства обороны США “Оранжевая книга” “Критерии безопасности компьютерных систем” (Trusted Computer System Evaluation Criteria), получившие неформальное, но прочно закрепившееся название “Оранжевая книга”, были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения. В данном документе были впервые нормативно определены такие понятия, как “политика безопасности”, TCB и т. д. Согласно “Оранжевой книге” безопасная компьютерная система — это система, поддерживающая управление доступом к обрабатываемой в ней информации, таким образом, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности. В “Оранжевой книге” предложены три категории требований безопасности — политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних — на качество самих средств защиты. Рассмотрим эти требования подробнее. Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна использоваться политика нормативного управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации (информации, отмеченной грифом секретности — типа “секретно”, “сов. секретно” и т.д.). Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и/или режимы доступа к этому объекту. Требование 3. Идентификация и аутентификация. Все субъекты должен иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности. Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективность его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения. Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находится под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты. Требование 6. Непрерывность защиты. Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы. Рассматриваемые далее критерии безопасности компьютерных систем представляют собой конкретизацию данных обобщенных требований. Приведенные выше базовые требования к безопасности служат основой для критериев, образующих единую шкалу оценки безопасности компьютерных систем, определяющую семь классов безопасности. Поскольку “Оранжевая книга” достаточно подробно освещалась в отечественных исследованиях[6], ограничимся только кратким обзором классов безопасности. “Оранжевая книга” предусматривает четыре группы критериев, которые соответствуют различной степени защищенности: от минимальной (группа D) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и A содержат по одному классу (классы D и A соответственно), группа С — классы С1, С2, а группа B — В1, В2, В3, характеризующиеся различными наборами требований безопасности. Уровень безопасности возрастает при движении от группы D к группе A, а внутри группы — с возрастанием номера класса. Группа D. Минимальная защита. Класс D. Минимальная защита. К этому классу относятся все системы, которые не удовлетворяют требованиям других классов. Группа С. Дискреционная защита. Группа С характеризуется наличием произвольного управления доступом и регистрацией действий субъектов. Класс С1. Дискреционная защита. Системы этого класса удовлетворяют требованиям обеспечения разделения пользователей и информации и включают средства контроля и управления доступом, позволяющие задавать ограничения для индивидуальных пользователей, что дает им возможность защищать свою приватную информацию от других пользователей. Класс С1 рассчитан на многопользовательские системы, в которых осуществляется совместная обработка данных одного уровня секретности. Класс С2. Управление доступом. Системы этого класса осуществляют более избирательное управление доступом, чем системы класса С1, с помощьюприменения средств индивидуального контроля за действиями пользователей, регистрацией, учетом событий и выделением ресурсов. Группа В. Мандатная защита. Основные требования этой группы — нормативное управление доступом с использованием меток безопасности, поддержка модели и политики безопасности, а также наличие спецификаций на функции TCB. Для систем этой группы монитор взаимодействий должен контролировать все события в системе. Класс В1. Защита с применением меток безопасности. Системы класса В1 должны соответствовать всем требованиям, предъявляемым к системам класса С2, и, кроме того, должны поддерживать определенную неформально модель безопасности, маркировку данных и нормативное управление доступом. При экспорте из системы информация должна подвергаться маркировке. Обнаруженные в процессе тестирования недостатки, должны быть устранены. Класс В2. Структурированная защита. Для соответствия классу В2 TCB системы должна поддерживать формально определенную и четко документированную модель безопасности, предусматривающую произвольное и нормативное управление доступом, которое распространяется по сравнению с системами класса В1 на все субъекты. Кроме того, должен осуществляться контроль скрытых каналов утечки информации. В структуре TCB должны быть выделены элементы, критичные с точки зрения безопасности. Интерфейс TCB должен быть четко определен, а ее архитектура и реализация должны быть выполнены с учетом возможности проведения тестовых испытаний. По сравнению с классом B1 должны быть усилены средства аутентификации. Управление безопасностью осуществляется администраторами системы. Должны быть предусмотрены средства управления конфигурацией. Класс В3. Домены безопасности. Для соответствия этому классу TCB системы должна поддерживать монитор взаимодействий, который контролирует все типы доступа субъектов к объектам, который невозможно обойти. Кроме того, TCB должна быть структурирована с целью исключения из нее подсистем, не отвечающих за реализацию функций защиты, и быть достаточно компактной для эффективного тестирования и анализа. В ходе разработки и реализации TCB должны применяться методы и средства, направленные на минимизацию ее сложности. Средства аудита должны включать механизмы оповещения администратора при возникновении событий, имеющих значение для безопасности системы. Требуется наличие средств восстановления работоспособности системы. Группа А. Верифицированная защита. Данная группа характеризуется применением формальных методов верификации корректности работы механизмов управления доступом (произвольного и нормативного). Требуется дополнительная документация, демонстрирующая, что архитектура и реализация TCB отвечают требованиям безопасности. Класс А1. Формальная верификация. Системы класса А1 функционально эквивалентны системам класса В3, и к ним не предъявляется никаких дополнительных функциональных требований. В отличие от систем класса В3 в ходе разработки должны применяться формальные методы верификации, что позволяет с высокой уверенностью получить корректную реализацию функций защиты. Процесс доказательства адекватности реализации начинается на ранней стадии разработки с построения формальной модели политики безопасности и спецификаций высокого уровня. Для обеспечения методов верификации системы класса А1 должны содержать более мощные средства управления конфигурацией и защищенную процедуру дистрибуции. Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты. Опубликование “Оранжевой книги” стало важным этапом и сыграло значительною роль в развитии технологий обеспечения безопасности компьютерных систем. Тем не менее, в ходе применения ее положений выяснилось, что часть практически важных вопросов осталась за рамками данного стандарта, и, кроме того, с течением времени (с момента опубликования прошло пятнадцать лет) ряд положений устарел и потребовал пересмотра. “Критерии безопасности компьютерных систем” министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем. В свое время этот документ явился настоящим прорывом в области безопасности информационных технологий и послужил отправной точной для многочисленных исследований и разработок. Основной отличительной чертой этого документа является его ориентация на системы военного применения, причем в основном на операционные системы. Это предопределило доминирование требований, направленных на обеспечение секретности обрабатываемой информации и исключение возможностей ее разглашения. Большое внимание уделено меткам (грифам секретности) и правилам экспорта секретной информации. Критерии адекватности реализации средств защиты и политики безопасности отражены слабо, соответствующий раздел по существу ограничивается требованиями контроля целостности средств защиты и поддержания их работоспособности, чего явно недостаточно. Высший класс безопасности, требующий осуществления верификации средств защиты, построен на доказательстве соответствия программного обеспечения его спецификациям с помощью специальных методик, однако это доказательство (очень дорогостоящее, трудоемкое и практически неосуществимое для реальных операционных систем) не подтверждает корректность и адекватность реализации политики безопасности. “Оранжевая книга” послужила основой для разработчиков всех остальных стандартов информационной безопасности и до сих пор используется в США в качестве руководящего документа при сертификации компьютерных систем обработки информации.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.007 сек.) |