ГлавнаяБиблиотечные книжкиКурс «Безопасность Информационных Технологий»

Тема 7: Основные защитные механизмы, используемые в СЗИ

Основные механизмы защиты компьютерных систем

Для защиты компьютерных систем от неправомерного вмешательства в процессы их функционирования и НСД к информации используются следующие основные методы зашиты (защитные механизмы):

  • идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;

  • разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;

  • регистрация и оперативное оповещение о событиях, происходящих в системе; (аудит)
  • криптографическое закрытие хранимых и передаваемых по каналам связи данных;
  • контроль целостности и аутентичности (подлинности и авторства) данных;
  • выявление и нейтрализация действий компьютерных вирусов;
  • затирание остаточной информации на носителях;
  • выявление уязвимостей (слабых мест) системы;
  • изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.);
  • обнаружение атак и оперативное реагирование.
  • Резервное копирование
  • Маскировка.

Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты. Рассмотрим перечисленные защитные механизмы подробнее.

Идентификация и аутентификация пользователей

В целях обеспечения возможности разграничения доступа к ресурсам АС и возможности регистрации событий такого доступа каждый субъект (сотрудник, пользователь, процесс) и объект (ресурс) защищаемой автоматизированной системы должен быть однозначно идентифицируем. Для этого в системе должны храниться специальные признаки каждого субъекта и объекта, по которым их можно было бы однозначно опознать.

Идентификация - это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. Наличие идентификатора позволяет упростить процедуру выделения конкретного субъекта (определенный объект) из множества однотипных субъектов (объектов). Чаще всего в качестве идентификаторов применяются номера или условные обозначения в виде набора символов.

Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался). Цель аутентификации объекта - убедиться, что это именно тот объект, который нужен.

Аутентификация пользователей осуществляется обычно:

• путем проверки знания ими паролей (специальных секретных последовательностей символов),

• путем проверки владения ими какими-либо специальными устройствами (карточками, ключевыми вставками и т.п.) с уникальными признаками или

• путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств.

Ввод значений пользователем своего идентификатора и пароля осуществляется чаще всего с клавиатуры. Однако многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные ( proximity ) карточки, интеллектуальные ( smart ) карточки, электронные таблетки Touch Memory .

 

Биометрические методы характеризуется, с одной стороны, высоким уровнем достоверности опознавания пользователей, а с другой - возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога) и более высокой стоимостью реализующих их систем.

Идентификация и аутентификация пользователей должна производиться при каждом их входе в систему и при возобновлении работы после кратковременного перерыва (после периода неактивности без выхода из системы или выключения компьютера).

Разграничение доступа зарегистрированных пользователей к ресурсам АС

Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

 

Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект -это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т.п.

Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.).

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.

Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. В большинстве систем защиты авторизация осуществляется многократно при каждой попытке доступа субъекта к конкретному объекту.

Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Авторизация пользователей осуществляется с использованием следующих основных механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;

• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;

• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для использования программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Технические средства разграничения доступа к ресурсам АС должны рассматриваться как составная часть единой системы контроля доступа субъектов:

• на контролируемую территорию;

• в отдельные здания и помещения организации;

• к элементам АС и элементам системы защиты информации (физический доступ);

• к информационным и программным ресурсам АС.

Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа. Сущность этой концепции состоит в том, что диспетчер доступа (монитор ссылок) - выступает посредником-контролером при всех обращениях субъектов к объектам.

 

 

Рис. 1.7.1. Схема работы механизма разграничения доступа

Диспетчер доступа выполняет следующие основные функции:

• проверяет права доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа);

• разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту;

• при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).

Основными требованиями к реализации диспетчера доступа являются:

• полнота контролируемых операций (проверке должны подвергаться все операции всех субъектов над всеми объектами системы, - обход диспетчера предполагается невозможным);

• изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;

• возможность формальной проверки правильности функционирования;

• минимизация используемых диспетчером ресурсов (накладных расходов).

В общем виде работа средств разграничения доступа субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты.

Под базой данных защиты ( security database ) понимают базу данных, хранящую информацию о правах доступа субъектов к объектам.

Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированных пользователей (администраторов безопасности, владельцев объектов и т.п.) по ведению этой базы. Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:

• добавления и удаления объектов и субъектов;

• просмотра и изменения соответствующих прав доступа субъектов к объектам.

 

Рис. 1.7.2. Матрица избирательного управления доступом

Форма представления базы данных защита может быть различной.

Основу базы данных средств разграничения доступа в общем случае составляет абстрактная матрица доступа или ее реальные представления. Каждая строка згой матрицы соответствует субъекту, а столбец - объекту АС. Каждый элемент этой матрицы представляет собой кортеж (упорядоченную совокупность значений), определяющий права доступа (для всех возможных видов доступа - чтение, модификация, удаление и т.п.) определенного субъекта к определенному объекту.

Сложность управления доступом (ведения матрицы доступа) в реальных системах связана не только с большой размерностью этой матрицы (большим числом субъектов и объектов) и высоким динамизмом ее корректировки, но и с необходимостью постоянного отслеживания при таких корректировках большого числа зависимостей между значениями определенных кортежей. Наличие таких зависимостей связано с объективно существующими в предметной области ограничениями и правилами наследования полномочий в иерархии объектов и субъектов.

Например, пользователь должен наследовать полномочия групп пользователей, в которые он входит. Права доступа некоторого пользователя к каталогам и файлам не должны превышать соответствующие его права по доступу к диску, на котором они размещены и т.п.).

При полномочном управлении доступом (категорирование объектов и субъектов и введение ограничений по доступу установленных категорий субъектов к объектам различных категорий) на матрицу доступа накладываются дополнительные зависимости между значениями прав доступа субъектов.

Ограничения и зависимости между полномочиями существенно усложняют процедуры ведения матриц доступа. Это привело к возникновению большого числа способов неявного задания матрицы (списки доступа, перечисление полномочий, атрибутные схемы и т.п.).

Основные критерии оценки эффективности различных способов неявного задания матрицы доступа следующие:

• затраты памяти на хранение образа матрицы доступа;

• время на выборку (или динамическое вычисление) значений полномочий (элементов кортежей);

• удобство ведения матрицы при наличии ограничений и зависимостей между значениями ее кортежей (простота и наглядность, количество требуемых операций при добавлении/удалении субъекта или объекта, назначении/модификации полномочий и т.п.).

Рассмотрим основные способы неявного задания матрицы доступа

Списки управления доступом к объекту

В данной схеме полномочия по доступу к объекту представляются в виде списков (цепочек) кортежей для всех субъектов, имеющих доступ к данному объекту. Это равносильно представлению матрицы по столбцам с исключением кортежей, имеющих все нулевые значения.

Такое представление матрицы доступа получило название "списка управления доступом"' ( access control list - ACL ). Этот вид задания матрицы реализован, к примеру, в ОС Windows NT (в NTFS ).

Достоинства:

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

Недостатки:

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

• неудобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

• так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту.

Списки полномочий субъектов

В данной модели полномочия доступа субъекта представляются в виде списков (цепочек) кортежей для всех объектов, к которым он имеет доступ (любого вида). Это равносильно представлению матрицы по строкам с исключением кортежей, имеющих нулевые значения.

Такое представление матрицы доступа называется "профилем" ( profile ) субъекта. Пример реализации списков полномочий субъектов - сетевая ОС Novell NetWare .

В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять. Изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы.

Достоинства:

• экономия памяти, так как матрица доступа обычно сильно разрежена;

• удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект;

• Недостатки:

• неудобство отслеживания ограничений и зависимостей по наследованию полномочий доступа к объектам;

• неудобство получения сведений о субъектах, имеющих какой либо вид доступа к заданному объекту;

• так как списки управления доступом связаны с субъектом, то при удалении объекта возможно возникновение ситуации, при которой субъект может иметь права на доступ к несуществующему объекту.

Атрибутные схемы

Так называемые атрибутные способы задания матрицы доступа основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов, на основе сопоставления которых определяются права доступа (производится авторизация субъекта). Наиболее известным примером неявного задания матрицы доступа является реализация атрибутной схемы в операционной системе UNIX .

Основными достоинствами этих схем являются:

• экономия памяти, так как элементы матрицы не хранятся, а динамически вычисляются при попытке доступа для конкретной пары субъект-объект на основе их меток или атрибутов;

• удобство корректировки базы данных защиты, то есть модификации меток и атрибутов;

• удобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов, так как они в явном виде не хранятся, а формируются динамически;

• отсутствие потенциальной противоречивости при удалении отдельных субъектов или объектов.

Недостатки:

• дополнительные затраты времени на динамическое вычисление значений элементов матрицы при каждом обращении любого субъекта к любому объекту;

• затруднено задание прав доступа конкретного субъекта к конкретному объекту.

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

• вход пользователя в систему;

• вход пользователя в сеть;

• неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

• подключение к файловому серверу;

• запуск программы;

• завершение программы;

• оставление программы резидентно в памяти;

• попытка открытия файла недоступного для чтения;

• попытка открытия на запись файла недоступного для записи;

• попытка удаления файла недоступного для модификации;

• попытка изменения атрибутов файла недоступного для модификации;

• попытка запуска программы, недоступной для запуска;

• попытка получения доступа к недоступному каталогу;

• попытка чтения/записи информации с диска, недоступного пользователю;

• попытка запуска программы с диска, недоступного пользователю;

• вывод на устройства печати документов с грифом (при полномочном управлении доступом);

• нарушение целостности программ и данных системы защиты и др.

В хорошо спроектированных системах защиты все механизмы контроля используют единый механизм регистрации. Однако, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои механизмы и ведутся свои журналы регистрации, что создает дополнительные сложности в администрировании системы зашиты.

 

Регистрация и оперативное оповещение о событиях безопасности

Механизмы регистрации предназначены для получения и накопления (с целью последующего анализа) информации о состоянии ресурсов системы и о действиях субъектов, признанных администрацией АС потенциально опасными для системы. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, характер воздействий на систему, определить, как далеко зашло нарушение, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации.

Дополнительно, средства регистрации позволяют получать исчерпывающую статистику по использованию тех или иных ресурсов, межсетевому трафику, использованию сервисов, попыткам несанкционированного доступа, и т.п.

Кроме записи сведений об определенных событиях в специальные журналы для последующего анализа средства регистрации событий могут обеспечивать и оперативное оповещение администраторов безопасности (при наличии соответствующих возможностей по передаче сообщений) о состоянии ресурсов, попытках НСД и других действиях пользователей, которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций.

При регистрации событий безопасности в системном журнале обычно фиксируется следующая информация:

• дата и время события;

• идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;

• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Механизмы регистрации очень тесно связаны с другими защитными механизмами. Сигналы о происходящих событиях и детальную информацию о них механизмы регистрации получают от механизмов контроля (подсистем разграничения доступа, контроля целостности ресурсов и других).

В наиболее развитых системах защиты подсистема оповещения сопряжена с механизмами оперативного автоматического реагирования на определенные события. Могут поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

• подача сигнала тревоги;

• извещение администратора безопасности;

• извещение владельца информации о НСД к его данным;

• снятие программы (задания) с дальнейшего выполнения;

• отключение (блокирование работы) терминала или компьютера, с которого были осуществлены попытки НСД к информации;

• исключение нарушителя из списка зарегистрированных пользователей и т.п.

Криптографические методы Защиты информации

Криптографические методы защиты основаны на возможности осуществления некоторой операции преобразования информации, которая может выполняться одним или несколькими пользователями АС, обладающими некоторым секретом, без знания которого (с вероятностью близкой к единице за разумное время) невозможно осуществить эту операцию.

В классической криптографии используется только одна единица секретной информации

- ключ, знание которого позволяет отправителю зашифровать информацию, а получателю

- расшифровать ее. Именно эти операции шифрования/расшифрования с большой вероятностью невыполнима без знания секретного ключа. Поскольку обе стороны, владеющие ключом, могут как шифровать, так и расшифровывать информацию, такие алгоритмы преобразования называют симметричными или алгоритмами с секретным (закрытым) ключом.

В криптографии с открытым ключом имеется два ключа, по крайней мере один из которых нельзя вычислить из другого. Один ключ используется отправителем для шифрования информации, закрытие которой необходимо обеспечить. Другой ключ используется получателем для расшифрования полученной информации. Бывают приложения, в которых один ключ должен быть несекретным, а другой - секретным. Алгоритмы преобразования с открытым и секретным ключами называют асимметричными, поскольку роли сторон владеющих разными ключами из пары различны.

К криптографическим методам зашиты в общем случае относятся:

• шифрование (расшифрование) информации;

• формирование и проверка цифровой подписи электронных документов.

Применение криптографических методов и средств позволяет обеспечить решение следующих задач по защите информации:

• предотвращение возможности несанкционированного ознакомления с информацией при ее хранении в компьютере или на отчуждаемых носителях, а также при передаче по каналам связи;

• подтверждение подлинности электронного документа, доказательство авторства документа и факта его получения от соответствующего источника информации;

• обеспечение имитостойкости (гарантий целостности) - исключение возможности необнаружения несанкционированного изменения информации;

• усиленная аутентификация пользователей системы - владельцев секретных ключей.

Основным достоинством криптографических методов защиты информации является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).

К числу основных недостатков криптографических методов можно отнести следующие:

• большие затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации;

• трудности с совместным использованием зашифрованной информации;

• высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены;

• трудности с применением в отсутствии надежных средств защиты открытой информации и ключей от НСД.

Криптографическое закрытие хранимых и передаваемых по каналам связи данных

Шифрование информации позволяет обеспечить конфиденциальность защищаемой информации при ее хранении или передаче по открытым каналам. На прикладном уровне шифрование применяется для закрытия секретной и конфиденциальной информации пользователей. На системном уровне - для защиты критичной информации операционной системы и системы защиты, предотвращения возможности несанкционированной подмены важной управляющей информации системы разграничения доступа (паролей пользователей, таблиц разграничения доступа, ключей шифрования данных и ЭЦП и т.п.).

Криптография позволяет успешно решать задачу обеспечения безопасности информационного обмена между территориально удаленными источником и потребителем конфиденциальной информации с использованием каналов связи, проходящих по неконтролируемой территории. В качестве основной угрозы здесь рассматривается несанкционированное прослушивание (перехват) информации, а также модификация (подмена, фальсификация -навязывание ложных) передаваемых по каналам информационных пакетов.

Для защиты пакетов, передаваемых по указанным каналам связи, криптопреобразование может осуществляться как на прикладном уровне, так и на транспортном. В первом варианте закрытие информации, предназначенной для транспортировки, должно осуществляться на узле-отправителе (рабочей станции или сервере), а расшифровка т на узле-получателе. Причем преобразования могут производиться как на уровне приложений («абонентское шифрование»), так и на системном (канальном, транспортном) уровне (прозрачно для приложений - «туннелирование»).

Первый вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей рабочей станции (подключение СКЗИ к прикладным программам или коммуникационной части операционной системы). Это требует больших затрат, однако, позволяет решить проблему защиты информационных потоков в широком смысле.

Второй вариант предполагает использование специальных средств, осуществляющих криптопреобразования в точках подключения локальных сетей к каналам связи (сетям общего пользования), проходящим по неконтролируемой территории («канальное шифрование», «виртуальные частные сети»).

Прозрачное шифрование всей информации на дисках, что широко рекомендуется рядом разработчиков средств защиты, оправдано лишь в том случае, когда компьютер используется только одним пользователем и объемы информации невелики. На практике даже персональные ЭВМ используются группами из нескольких пользователей. И не только потому, что ПЭВМ на всех не хватает, но и в силу специфики работы защищенных систем. К примеру, автоматизированные рабочие места операторов систем управления используются двумя-четырьмя операторами, работающими посменно, и считать их за одного пользователя нельзя в силу требований разделения ответственности. Очевидно, что в такой ситуации приходится либо отказаться от разделения ответственности и разрешить пользоваться ключом шифра нескольким операторам, либр создавать отдельные закрытые диски для каждого из них и запретить им тем самым обмен закрытой информацией, либо часть информации хранить и передавать в открытом виде, что по сути равносильно отказу от концепции прозрачного шифрования всей информации на дисках.

Кроме того, прозрачное шифрование дисков, требует значительных накладных расходов ресурсов системы (времени и производительности). И не только непосредственно в процессе чтения-записи данных. Дело в том, что надежное криптографическое закрытие информации предполагает периодическую смену ключей шифрования, а это приводит к необходимости перешифрования всей информации на диске с использованием нового ключа (необходимо всю информацию расшифровать с использованием старого и зашифровать с использованием нового ключа). Это занимает значительное время. Кроме того, при работе в системе с шифрованными дисками задержки возникают не только при обращении к данным, но и при запуске программ, что сильно замедляет работу компьютера. Поэтому, использовать криптографические методы и средства защиты необходимо в разумных пределах.

Криптографические средства могут быть реализованы как аппаратно, так и программно. Использование в системе защиты для различных целей нескольких однотипных алгоритмов шифрования нерационально. Оптимальным вариантом можно считать такую систему, в которой средства криптозащиты являются общесистемными, то есть выступают в качестве расширения функций операционной системы и включают алгоритмы шифрования всех типов (с секретными и открытыми ключами и т.д.).

В этом случае средства криптографической защиты информации в АС образуют базисное криптографическое ядро (криптопровайдер).

Ключевая система (система генерации и распределения ключей) применяемых в АС шифровальных средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации части ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована (должна пройти всесторонние исследования специализированными организациями). На использование криптографических средств организация должна иметь лицензию уполномоченных государственных органов.

Контроль целостности и аутентичности данных, передаваемых по каналам связи

Электронная цифровая подпись (ЭЦП) это последовательность символов, полученная в результате преобразования в технических средствах определенного объема информации по установленному математическому алгоритму с использованием ключей, имеющая неизменяемое соотношение с каждым символом данного объема информации.

Применение электронной цифровой подписи позволяет:

• обеспечить аутентичность (подтверждение авторства) информации;

• обеспечить контроль целостности (в том числе истинности) информации;

• при использовании многосторонней электронно-цифровой подписи обеспечить аутентификацию лиц, ознакомившихся с информацией;

• решать вопрос о юридическом статусе документов, получаемых из автоматизированной системы.

Контроль целостности программных и информационных ресурсов

Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса

• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

• средствами подсчета контрольных сумм (сигнатур, имитовставок и т.п.);

• средствами электронной цифровой подписи. Защита периметра компьютерных сетей

С развитием сетевых технологий появился новый тип СЗИ—межсетевые экраны ( Firewall ), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.

Межсетевые экраны, установленные в точках соединения с сетью Интернет -обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet -серверов, открытых для общего пользования, от несанкционированного доступа.

В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:

• трансляция адресов для сокрытия структуры и адресации внутренней сети;

• фильтрация проходящего трафика;

• управление списками доступа на маршрутизаторах;

• дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);

• ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;

• виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям - обеспечения конфиденциальности, - применяются криптографические методы, рассмотренные выше);

• противодействие атакам на внутренние ресурсы.

Управление механизмами защиты.

Конкуренция в области разработки средств защиты компьютерных систем неизбежно приводит к унификации перечня общих требований к таким средствам. Одним из пунктов в таком унифицированном списке практически всегда можно встретить требование наличия средств управления всеми имеющимися защитными механизмами. К сожалению, кроме того, что средства управления в системе должны быть, в лучшем случае, для вычислительных сетей, можно встретить лишь уточнение о необходимости обеспечения централизованного удаленного контроля и управления защитными механизмами. Разработчики систем защиты основное внимание уделяют реализации самих защитных механизмов, а не средств управления ими. Такое положение дел свидетельствует о незнании или непонимании и недооценке проектировщиками и разработчиками большого числа психологических и технических препятствий, возникающих при внедрении разработанных систем защиты. Успешно преодолеть эти препятствия можно только, обеспечив необходимую гибкость управления средствами защиты.

Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты на всех этапах жизненного цикла компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.

Опыт внедрения и сопровождения систем разграничения доступа в различных организациях позволяет указать на ряд типовых проблем, возникающих при установке, вводе в строй и эксплуатации средств разграничения доступа к ресурсам компьютерных систем, а также предложить подходы к решению этих проблем.

В настоящее время в большинстве случаев установка средств защиты производится на уже реально функционирующие АС заказчика. Защищаемая АС используется для решения важных прикладных задач, часто в непрерывном технологическом цикле, и ее владельцы и пользователи крайне негативно относятся к любому, даже кратковременному, перерыву в ее функционировании для установки и настройки средств защиты или частичной потере работоспособности АС вследствие некорректной работы средств защиты.

Внедрение средств защиты осложняется еще и тем, что правильно настроить данные средства с первого раза обычно не представляется возможным. Это, как правило, связано с отсутствием у заказчика полного детального списка всех подлежащих защите аппаратных, программных и информационных ресурсов системы и готового непротиворечивого перечня прав и полномочий каждого пользователя АС по доступу к ресурсам системы.

Поэтому, этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, итеративному уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно менее болезненно.

Очевидно, что те же самые действия неоднократно придется повторять администратору безопасности и на этапе эксплуатации системы каждый раз при изменениях состава технических средств, программного обеспечения, персонала и пользователей и т.д. Такие изменения происходят довольно часто, поэтому средства управления системы защиты должны обеспечивать удобство осуществления необходимых при этом изменений настроек системы защиты. Такова "диалектика" применения средств защиты. Если система защиты не учитывает этой диалектики, не обладает достаточной гибкостью и не обеспечивает удобство перенастройки, то такая система очень быстро становится не помощником, а обузой для всех, в том числе и для администраторов безопасности, и обречена на отторжение.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующие возможности:

• выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного поэтапного усиления степени защищенности АС.

• так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности АС и существующей технологии обработки информации;

• возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в "мягком", так и обычном режимах).

С увеличением масштаба защищаемой АС усиливаются требования к организации удаленного управления средствами защиты. Поэтому те решения, которые приемлемы для одного автономного компьютера или небольшой сети из 10-15 рабочих станций, совершенно не устраивают обслуживающий персонал (в том числе и администраторов безопасности) больших сетей, объединяющих несколько сотен рабочих станций.

Для решения проблем управления средствами защиты в больших сетях в системе необходимо предусмотреть следующие возможности:

• должны поддерживаться возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализованно (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных). Аналогично, часть изменений, произведенных децентрализованно, должна быть автоматически отражена в центральной базе данных защиты и при необходимости также разослана на все другие станции, которых они касаются. Например, при смене своего пароля пользователем, осуществленной на одной из рабочих станций, новое значение пароля этого пользователя должно быть отражено в центральной базе данных защиты сети, а также разослано на все рабочие станции, на которых данному пользователю разрешено работать;

• управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции, то есть независимо от того, включена она в данный момент времени и работает ли на ней какой-то пользователь или нет. После включения неактивной станции все изменения настроек, касающиеся ее механизмов защиты, должны быть автоматически перенесены на нее.

• в крупных АС процедура замены версий программ средств защиты (равна как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа. Проведение таких замен может быть вызвано как необходимостью устранения обнаруженных ошибок в программах, так и потребностью совершенствования и развития системы (установкой новых улучшенных версий программ);

• для больших АС особую важность приобретает оперативный контроль за состоянием рабочих станций и работой пользователей в сети. Поэтому система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.

Увеличение количества рабочих станций и использование новых программных средств, включающих большое количество разнообразных программ (например MS Windows ), приводит к существенному увеличению объема системных журналов регистрации событий, накапливаемых системой защиты. Объем зарегистрированной информации становится настолько велик, что администратор уже физически не может полностью проанализировать все системные журналы за приемлемое время.

Для облегчения работы администратора с системными журналами в системе должны • быть предусмотрены следующие возможности:

• подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;

• возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;

• в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности. Например, заменять все многократно повторяющиеся в журнале события, связанные с выполнением командного файла autoexec . bat , одним обобщенным;

• желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с администрации безопасности.

Выводы

Универсальные механизмы защиты, имеющиеся в арсенале специалистов по безопасности, обладают своими достоинствами и недостатками и могут применяться в различных вариациях и совокупностях в конкретных методах и средствах защиты.

Повышать уровень стойкости системы защиты за счет применения более совершенных физических и технических средств можно только до уровня стойкости персонала из ядра безопасности системы.

Успех или неудача масштабного применения систем защиты информации зависит от наличия в них развитых средств управления режимами работы защитными механизмами, и реализации функций, позволяющих существенно упрощать процессы установки, настройки и эксплуатации средств защиты.