Грибунин В.Г. Комплексная система защиты информации на предприятии
Подождите немного. Документ загружается.
Компонентами
АС
являются объекты, реализующие логически
законченную функциональность, например персональные компь-
ютеры, серверы баз данных, серверы электронной почты и т.д.
Угрозы информационной безопасности и риски индивидуальны
для каждого компонента, но каждый компонент должен подчи-
няться единым правилам — политике безопасности системы. При-
чем эти правила должны быть едиными не только для сети масш-
таба подразделения, но и для всей рассматриваемой АС. Именно
этим вызвана необходимость введения в рассмотрение должност-
ного лица — администратора системы.
11.4.2.
Декомпозиция АС на субъекты и объекты
Выполним декомпозицию АС на субъекты и объекты. Соглас-
но [26], под субъектом понимается «лицо или процесс, действия
которого регламентируются правилами разграничения доступа».
Таким образом, субъект — активная компонента АС. Учитывая,
что согласно субъектно-объектной модели субъекты порождаются
из объектов, мы будем понимать под субъектами процессы, а
субъектов — физических лиц — называть пользователями.
Объект — «единица информационного ресурса автоматизиро-
ванной системы, доступ к которой регламентируется правилами
разграничения доступа» [26]. Объектом может быть и поле базы
данных, и целая локальная сеть — все зависит от детализации
рассмотрения. Правила разграничения доступа (ПРД) — «сово-
купность правил, регламентирующих права доступа субъектов до-
ступа к объектам доступа». Еще в «Оранжевой книге» была приве-
дена аксиома безопасности, гласящая, что все вопросы безопас-
ности определяются ПРД субъектов к объектам.
Все программные, аппаратные, людские компоненты АС явля-
ются ее ресурсом. Так как в данном пункте рассматривается толь-
ко защита от НСД техническими мерами, под ресурсом АС будем
понимать программную среду. Владельцем ресурса АС является
предприятие. Объекты сети существуют в ресурсе и представляют
собой данные, несущие информацию о ресурсе, в них скрыты
также потенциальные субъекты АС. В самом деле, применив опе-
рацию «исполнение» к какому-либо объекту, мы активизируем
субъекта. Объекты существуют в АС и «при выключенном пита-
нии» (хотя, естественно, могут быть объекты в оперативной памя-
ти). Субъекты существуют только в оперативной памяти и иници-
ализируются при включении питания компьютеров сети.
При этом происходит цепочка порождений субъектов: пользо-
ватель включает питание, при загрузке операционной системы
порождается первый субъект, который порождает следующие
субъекты, и т.д. Порядок порождения субъектов при включении
питания компьютера может быть изображен в виде дерева, в кор-
250
не которого находится пользователь, а в листьях — пользователь-
ские процессы. Порождение субъектов всей сети в целом, так же
как и одного компьютера в процессе работы, может быть изобра-
жено лесом деревьев.
Субъект может иметь право на доступ к объекту для выполне-
ния различных операций. Основными из них принято считать
«чтение», «запись», «выполнение». Объект сам, как правило, не
«может знать» прав доступа к нему, поэтому для осуществления
доступа субъект обращается к другому субъекту, монитору обра-
щений (монитору ссылок). Будем называть в дальнейшем мони-
тор обращений администратором. Администратор в общем случае
сопоставляет права доступа данного субъекта к данному объекту с
записанным в таблице (при дискреционных ПРД) или сравнивает
уровень конфиденциальности субъекта и объекта (при мандатных
ПРД) и разрешает либо запрещает доступ.
Субъекта-администратора
целесообразно декомпозировать на
администраторов, выполняющих отдельные функции. Например,
в работе [43] принята такая декомпозиция:
• администратор разграничения доступа (АРД), выполняющий
функции монитора обращений;
•
администратор процессов (АП), выполняющий функции МБС,
описанного выше;
• администратор управления доступом (АУД), выполняющий
сервисные функции по управлению доступом (например, генера-
ция и доведение до пользователей атрибутов безопасности, паро-
лей, ключей и т.п.).
АРД состоит из ряда администраторов, размещающихся на раз-
личных уровнях эталонной модели взаимодействия открытых си-
стем — от сетевого до уровня представления данных.
Администраторы безопасности
1
Собственник
1
Создание
Пользователи
Разрешение/запреты
Ресурс
Доступ
Процесс
(субъект)
Объект
Объект
Процесс
(субъект)
Рис.
11.2.
Взаимодействие субъектов, объектов и администраторов
251
Программными администраторами управляют администрато-
ры — физические лица:
• администратор сети (АС) — пользователь, обладающий до-
полнительными полномочиями по управлению функциями без-
опасности; именно от его имени запускаются субъекты-админис-
траторы;
•
администратор системы, отвечающий за безопасность инфор-
мации во всей
АС
ВН в целом.
На рис.
11.2
изображено взаимодействие субъектов, объектов и
администраторов. Показан также собственник, который и указы-
вает администраторам ПРД к объектам (разрабатывает или утвер-
ждает политику безопасности).
11.4.3.
Модель безопасности: неформальное
описание
Неформальное описание правил разграничений доступа
В политике безопасности должны быть описаны уровни пол-
номочий, присваиваемые различным группам пользователей,
уровни конфиденциальности обрабатываемой информации, по-
рядок включения новых пользователей в те или иные группы и
наделения их полномочиями (авторизация), изменение полно-
мочий, удаление пользователей из системы. Можно выделить в
политике безопасности организационную и техническую состав-
ляющие. К организационным аспектам отнесем, например, пра-
ва и обязанности должностных лиц в отношении безопасности,
порядок учета и обращения с отторгаемыми носителями инфор-
мации и
т. п.
Далее рассмотрим только техническую сторону по-
литики безопасности, которая может быть отображена на меха-
низмы безопасности, реализованные в программном обеспече-
нии АС.
Политика безопасности может быть выражена формальным и
неформальным образом. Неформальное описание политики без-
опасности реализуется обычно в виде таблиц, наглядно представ-
ляющих ПРД. Преимущество подобного описания состоит в про-
стоте его восприятия пользователями и контролирующими орга-
нами. Основной недостаток неформального описания политики
безопасности — возможность допуска логических ошибок при ее
формировании, что может привести к появлению уязвимостей в
проектируемой системе.
Преимущество формального описания заключается в строгом
обосновании политики безопасности и (иногда) возможности те-
оретического доказательства безопасности системы. Приведем
вначале неформальные ПРД политики безопасности, а затем фор-
мализуем их для построения модели.
252
Рассмотрим возможные правила управления доступом к ресур-
сам в рассматриваемой АС. Предположим, что функции админи-
страторов ограничены задачами управления защитой информа-
ции, а как обычные пользователи они не работают. Вначале допу-
стим, что внутренних нарушителей нет.
Правило 1. Администратор сети может создать пользователя и
наделить его атрибутами безопасности, а также удалить пользова-
теля и изменить его атрибуты безопасности.
Правило 2. Каждый пользователь до предоставления ему до-
ступа должен быть идентифицирован.
Правило 3. Пользователь не может создать пользователя.
Правило 4. Пользователь может создать субъект и наделить
его атрибутами безопасности.
Правило 5. Пользователь порождает только те процессы, ко-
торые разрешены администратором (так как внутреннего нару-
шителя нет, то эта необходимость вызвана обеспечением целост-
ности системы).
Правило 6. Пользователь имеет доступ только к тем ресурсам,
которые ему разрешены администратором (дискреционный доступ).
Теперь предположим, что имеются внутренние нарушители,
но не администраторы. Появляются новые правила управления
доступом.
Правило 7. Каждый пользователь до предоставления ему до-
ступа должен быть аутентифицирован. Доступ должен предостав-
ляться только при успешном прохождении аутентификации.
Правило 8. Пользователь, находящийся на определенном уровне
секретности, может создавать информационные ресурсы уровня
секретности не меньше его собственного.
Правило 9. Пользователь, находящийся на определенном уровне
секретности, может читать информационные ресурсы уровня сек-
ретности не выше его собственного.
Последние два правила задают политику мандатного доступа.
Если допустить, что нарушителями могут быть и администра-
торы, то добавляются, например, следующие правила.
Правило 10. Администраторы сети не могут изменить свои соб-
ственные права. Права администраторов сети может менять ад-
министратор системы. Права администратора системы по доступу
к ресурсам настраиваются на этапе настройки системы и не изме-
няются.
Правило
11.
Администраторы сети имеют доступ к информа-
ции аудита только по чтению.
Правило 12. Администраторы не имеют доступа к пользова-
тельской информации (либо к какой-то части пользовательской
информации).
Конечно, приведенный выше перечень правил далеко непо-
лон. Необходимо указать конкретно, кто и каким образом допу-
253
щен к выводу документов на печать и сменные носители инфор-
мации, кто допущен и к каким сетевым сервисам, кто обладает
правом подписи исходящей информации, какие рабочие группы
организуются и каковы их права и т.д.
Идентификация активов и определение их ценности
Под активами автоматизированной системы понимаются «ин-
формация или ресурсы, подлежащие защите контрмерами объек-
та оценки», под ресурсами — «все, что может использоваться или
потребоваться объекту оценки». Ресурсами могут быть как про-
граммные изделия, так и физические объекты, а также люди. По-
скольку в работе рассматривается только программная среда, от-
несем к ресурсам общее и специальное программное обеспече-
ние, пользовательские данные, справочную информацию баз дан-
ных, конфигурационную информацию программных средств и
т.
п.
Активы можно классифицировать по различным признакам.
Обычно применяется классификация по уровню конфиденциаль-
ности, что иногда бывает недостаточно, так как за рамками рас-
смотрения остается вопрос стоимости информации. Причем надо
раздельно рассматривать стоимость информации для внешних
злоумышленников и для своей организации.
Кроме того, существуют несекретные активы, для которых ис-
ключительно важно обеспечить целостность и доступность дан-
ных. Это — конфигурационные, настроечные данные программ,
да и сами программы.
Таким образом можно оценивать активы в плане важности обес-
печения их свойств безопасности «по отдельности»: конфиденци-
альности, целостности, доступности. В некоторых случаях можно
также ввести кумулятивный показатель важности, присвоив от-
дельным свойствам безопасности веса и выполнив свертку.
Некоторые особенности определения правил
разграничения доступа
В определении ПРД к ресурсам имеются определенные нюан-
сы, которые, как правило, остаются за рамками рассмотрения в
известной литературе. Рассмотрим эти нюансы.
1. В отношении пользовательских данных предлагается следу-
ющий подход: наделить пользователя (пользователей) правами по
управлению ими, т.е. пользователь имеет возможность при созда-
нии файла ограничить доступ к нему для всех других пользовате-
лей, включая администратора. Это может быть сделано путем
шифрования файла либо установкой на него определенного паро-
ля. Пользователь должен иметь возможность гибкой настройки
соответствующих ПРД: кому-то (пользователям, группе) разре-
254
шить доступ только
по
чтению, кому-то
—
разрешить
полный
доступ, кому-то вообще
его
запретить. Таким образом, пользова-
тель выступает
в
качестве администратора
по
отношению
к
созда-
ваемой
им
информации.
2. Достаточно часто возникает необходимость
в
коллективной
работе
над
документами.
В
настоящее время существует
ряд
про-
граммных средств, позволяющих выполнять такую деятельность.
Предлагаются следующие
ПРД для
коллективных документов:
доступ
по
чтению имеют
все
члены группы; корректировка пользо-
вателями осуществляется путем создания каждым
из них
времен-
ной копии файла
и
работе
над ним;
запись окончательных изме-
нений должна осуществляться
при
получении согласия
от
всех
пользователей группы
(или,
например, большинства). Таким
об-
разом,
в
качестве администратора
для
коллективных документов
выступает множество
(или
подмножество) пользователей группы.
3. Информация
справочных
баз
данных доступна
по
чтению
в
соответствии
с
уровнем полномочий пользователей.
По
записи
она доступна только уполномоченным пользователям, которые
выступают
в
качестве администраторов
баз
данных. Вносимые
этими пользователями изменения должны обязательно заверять-
ся, например
ЭЦП.
4.
Для
назначения
ПРД на
конфигурационную информацию
программных средств целесообразно разбить
ее на три
категории:
• недоступная
для
настройки;
• доступная
для
настройки только соответствующим админис-
траторам;
•
доступная
для
свободной настройки (например,
вид
рабочего
окна
той или
иной программы).
В каждом программном средстве имеются,
как
правило,
все
три категории конфигурационной информации.
5. Целесообразно назначать
ПРД
не
только
на
программные
средства (возможность/невозможность
их
запуска пользователя-
ми),
но и на
опции,
с
которыми
они
запускаются. Например,
кому-то может быть разрешен запуск редактора языка
Visual Basic
в
MS Word, а
кому-то запрещен.
Таким образом, субъекты
и
объекты рассматриваемой
АС и
назначенные
ПРД
могут быть представлены
в
виде, показанном
на
рис. 11.3.
Необходимо формализовать подобные правила
для
построения системы защиты
и
полного определения политики
безопасности. Использование такого подхода позволяет создать
описание взаимодействия субъектов
и
объектов
в
соответствии
с
прохождением информационных потоков,
а
также выработать тре-
бования, необходимые
для
контроля доступа.
За счет абстрагирования
от
особенностей архитектуры
АС по-
является возможность применения унифицированных методов
защиты: средства управления доступом,
не
зависящие
от
полити-
255
Субъекты
Назначающие правила разграничения доступа
АС АР АУ АП
Пользователи
Процессы
Правила разграничения доступа
Чтение
1
Дозапись
Создание
субъектов
Модификация
Удаление
субъектов
1
Удаление
Запуск
Наделение атрибутами
безопасности, их модификация
Объекты
ОПО, СПО в разных
режимах запуска
Конфигурационная
информация
Пользовательские
данные
Справочная
информация
Данные групп
пользователей
Рис.
11.3.
Детализация понятий субъектов и объектов
ки безопасности; средства авторизации, идентификации и аутен-
тификации, не зависящие от особенностей функционирования
прикладных средств, и т.п.
Разрабатываемая модель должна учитывать особенности по-
строения АС и характер протекающих в ней процессов. Большое
значение следует придавать критичности информационных пото-
ков, связанных с командами на изменение полномочий пользова-
телей и субъектов, на доступ к объектам вывода информации, к
сетевым ресурсам, а также строгой аутентификации и фиксирова-
нию всех производящихся операций.
11.4.4.
Декомпозиция системы защиты
информации
Формализацию модели безопасности будем проводить в рам-
ках субъектно-ориентированной, или субъектно-объектной, мо-
дели, рассмотренной выше. Основным ее свойством является то,
что все порождаемые субъекты могут порождаться из объектов
только при условии разрешения мониторов безопасности — ад-
министраторов. Администратор дает разрешение на создание
256
субъектов, наделяет их правами по умолчанию, контролирует ин-
формационные потоки между объектами.
Необходимо выполнить декомпозицию системы защиты ин-
формации, выделить отдельных администраторов и описать вы-
полняемые ими функции.
На рис.
11.4
по аналогии с [43] представлено схематичное изоб-
ражение структуры АС, показывающее распределение компонент
сети на объекты и субъекты. Серыми прямоугольниками выделе-
ны барьеры защиты; А — администратор; О — объекты; S— субъек-
ты;
{Щ
— множество видов доступа (операций) в сети; {Т} — мно-
жество требований к механизмам защиты АС при передаче (шиф-
рование, контроль целостности, неотказуемость авторства); при
аутентификации и авторизации (требования к паролями, другим
факторам аутентификации, ЭЦП); при аудите и регистрации со-
бытий и
т.п.
Для построения субъектно-объектной модели необходимо опи-
сать процесс взаимодействия между субъектами и объектами си-
стемы, управление информационными потоками в вычислитель-
ной среде.
Функции системы обеспечения безопасности информации мо-
гут выполняться в рамках разных ресурсов автоматизированной
системы под управлением владельцев этих ресурсов. Важно, что
взаимодействие производится только между двумя соседними уров-
нями модели системы защиты.
В работе [5] доказана следующая теорема (далее — теорема
Грушо):
! А®
/ 4
©
i
Внутреннее
взаимодействие
©
{R}
/
ц
Внешнее
взаимодействие
Рис.
11.4.
Субъектно-объектная декомпозиция структуры АС
(пояснения см. в тексте)
9 Грибунин
257
Теорема. Пусть выполнены следующие условия.
1.
Каждый субъект сети существует только в одной компоненте
на протяжении всего жизненного цикла.
2. Каждый субъект может иметь доступ только к объектам сво-
ей компоненты.
3. Каждая компонента содержит отнесенный к этой компонен-
те монитор обращений, который рассматривает только обраще-
ния субъектов этой компоненты к объектам этой компоненты.
4. Все каналы, связывающие компоненты, не компрометируют
безопасность информации, в них проходящей.
Тогда совокупность мониторов обращения компонент являет-
ся монитором обращения в сети.
Таким образом, обеспечив изолированность субъектов-объек-
тов, отдельных администраторов и безопасность связи между ними,
мы получим безопасную систему.
На практике достаточно сложно реализовать подобные усло-
вия. Приведенная ранее теорема Грушо показывает, что условия
безопасности могут не соблюдаться при доступе субъекта из од-
ного сегмента сети в другой. Выходом представляется выделение
в составе локальной сети управления компоненты канала доступа
в глобальную сеть. По отношению к локальной сети этот компо-
нент будет выступать как объект, осуществляющий безопасную
связь с другим фрагментом сети (для выполнения предположения
4 теоремы Грушо). То есть процесс передачи мы разделили во
времени. Вначале пользователь осуществляет доступ к объекту-
передатчику и записывает в него информацию. Затем эта инфор-
мация передается по безопасному каналу связи (доступ к ней не-
возможен, так как канал — безопасный). После этого в другой
локальной сети осуществляется считывание информации из объекта
этой сети, так что условия теоремы Грушо не нарушаются: пользо-
ватель не осуществляет доступа к объектам вне своей сети.
Таким образом, предполагается, что между администраторами
имеется абсолютное доверие, каждый из них осуществляет управ-
ление только в рамках своей подсистемы, передача управляющей
информации между ними происходит в закрытой среде, обеспе-
чивающей конфиденциальность, целостность, доступность и не-
отказуемость авторства.
Систему защиты целесообразно декомпозировать на следую-
щие составляющие:
• администратор системы (АСИС) — должностное лицо, отве-
чающее за выработку и проведение в жизнь единой политики бе-
зопасности во всех сегментах системы;
• администратор локальной сети (АС) — должностное лицо,
выполняющее функции настройки и администрирования АРМов
локальной сети, генерацию и выдачу пользователям паролей, клю-
чей и т.п.;
258
• под управлением
АС
работает программный модуль админи-
стратора управления доступом (АУД), раздающий права и атрибу-
ты безопасности субъектам и объектам сети и поддерживающий
соответствующие базы данных;
• администратор разграничения доступа (АРД), выполняющий
функции разделения доступа при осуществлении всех операций,
управления правами;
•
администратор внешних соединений (ABC), обеспечивающий
безопасность соединений между локальными сетями;
• сервисы шифрования и контроля целостности (в т.ч. антиви-
русной защиты), предоставляемые по запросам администраторов
и уполномоченных пользователей;
•
механизмы идентификации и аутентификации, используемые
всеми участниками АС;
• подсистема аудита, параметры которой в определенных пре-
делах могут настраиваться администраторами;
• подсистема защиты, расположенная у субъекта (пользовате-
ля), выполняющая функции защиты АРМов от НСД, доверенной
загрузки приложений, хранения атрибутов безопасности, обеспе-
чения конфиденциальности пользовательской информации.
Для обеспечения надежной защиты пользовательских данных
целесообразно осуществлять как абонентское, так и линейное
шифрование (например, на пограничном маршрутизаторе).
АСИС
связан с подчиненными ему администраторами сетей
защищенными каналами связи и выполняет следующие функции:
• периодическое изменение баз данных у администратора сети
(например, при изменениях в политике безопасности);
• сбор информации от администраторов сети;
• выработку управляющих воздействий;
• доведение их до администраторов сети;
• контроль за выполнением распоряжений.
АС осуществляет настройку, в том числе удаленную, всех сер-
висов и механизмов защиты, управляет программными модулями
АУД, АРД, ABC. Докладывает о нарушениях безопасности, при-
нятых мерах (и т.п.) АСИС.
Все остальные администраторы являются программными мо-
дулями, получают команды от АС, возвращают ему же информа-
цию о выполнении, вызывают при необходимости сервисы шиф-
рования, контроля целостности, механизмы идентификации и
аутентификации и обращаются к подсистеме аудита.
АУД должен поддерживать базы данных атрибутов безопасно-
сти пользователей, групп пользователей, субъектов-процессов,
объектов АС. Контроль целостности баз данных АУД выполняет
периодически или по запросу АС. Команды на модификацию своих
баз он получает от АС. Информацию о допуске к операции субъек-
та/объекта АУД передает АРД по его запросу.
259