Грибунин В.Г. Комплексная система защиты информации на предприятии
Подождите немного. Документ загружается.
АРД вызывается всякий раз при попытке доступа субъекта к
объекту или при попытке объекта породить субъекта. Он обраща-
ется к АУД, передавая ему идентификаторы участников опера-
ции, получает от него разрешение или запрет на выполнение опе-
рации. АРД осуществляет записи в регистрационный журнал со-
бытий, сам не хранит никакой информации.
ABC выполняет обработку запроса пользователя на внешнее
соединение (пересылка данных, электронная почта, разговор по
IP-телефону и т.п.), для чего «общается» с АУДом. Затем он осу-
ществляет безопасное соединение с ABC соседней локальной сети
и передает данные. Он поддерживает базы данных соединений,
внутренние и внешние IP-адреса, ведет регистрационный жур-
нал, обращаясь к подсистеме аудита.
Проанализируем более детально составные части общей си-
стемы.
Подсистема управления и разграничения доступа (АУД и АРД)
выполняет задачу обеспечения доступности к системе. Она про-
водит проверку подлинности клиента, а также канала связи, под-
ключающихся к системе и передающих свои команды на испол-
нение операций. Среда «управление доступом» в общем случае
представляет собой комплекс программно-технических средств,
прежде всего сетевого оборудования и средств защиты. Оба типа
систем основываются как на программной, так и на аппаратной
реализации.
Управление данным ресурсом осуществляется АУД; его роль
могут выполнять вычислительные процессы, поддерживаемые ад-
министратором сети. Именно на этом субъекте лежит ответствен-
ность за функционирование данной подсистемы защиты, ведение
баз данных дискреционного и мандатного доступов.
Среди функций безопасности, осуществляющихся на данном
уровне системы защиты, выделим шифрование; идентификацию;
аутентификацию; авторизацию; электронную цифровую подпись
(ЭЦП).
Для передачи информации между сетями управлений АС мо-
жет использовать каналы передачи общедоступных вычислитель-
ных сетей, при этом будет необходимо использовать шифроваль-
ную технику для предотвращения возможности раскрытия дан-
ных при перехвате передаваемой информации.
Чтобы определить подлинность субъекта, подключающегося к
сети, используют средства идентификации и аутентификации.
Авторство (и неотказуемость авторства) и целостность передавае-
мых команд от субъектов обеспечиваются применением ЭЦП.
Для осуществления проверки цифровых подписей субъектов
АРД должен иметь все используемые в системе открытые ключи
ЭЦП. Также можно организовать выдачу и хранение сертифика-
тов на открытые ключи и закрытые ключи.
260
АРД отвечает за разделение доступа и управление информаци-
онными потоками. Основную политику безопасности, выполняе-
мую подсистемой, можно сформулировать следующим образом:
разрешать доступ легального субъекта к объекту, на который у
него есть права, и запрещать доступ при любых других комбина-
циях
полномочий.
Данная подсистема может быть реализована аппаратно-про-
граммным или только программным способом. В случае реализа-
ции подсистемы на отдельном сервере необходимо отметить, что с
остальными подсистемами она должна быть соединена закрытыми
внутренними каналами связи, что повышает надежность защиты.
Управление ресурсом осуществляется АРД. Как уже отмеча-
лось, внутренняя защита и бесперебойное функционирование ре-
сурса разграничения доступа обеспечивается его администрато-
ром. В модели считается, что данная среда постоянно предостав-
ляет необходимые системе функции.
На данном этапе проверяется подлинность субъекта и его ко-
манды. Задача средств разграничения доступа — аутентифициро-
вать субъект и получить у АУД информацию о наличии прав на
осуществление доступа к запрашиваемому объекту.
11.4.5.
Противостояние угрозам. Реализация
системы защиты информации субъекта АС
субъектно-объектной модели
В соответствии с физическим способом размещения субъекты
и объекты системы защиты информации могут размещаться:
•
в специализированных программно-аппаратных комплексах
(например, средство криптографической защиты информации,
криптомаршрутизатор и т.п.);
• в АРМах администраторов системы и сети (различные про-
граммы администрирования и настройки компонентов сети);
•
в серверах (защита информации, хранящейся на серверах, сер-
верная часть программных комплексов защиты информации);
• в клиентских АРМах — у пользователей АС.
Все эти компоненты работают в рамках единой операционной
среды, обеспечивающей целостность всех сообщений. Например,
в этих целях может использоваться ЭЦП.
Согласно мнениям многих экспертов в области защиты ин-
формации, обеспечить защиту только программными средствами
невозможно (хотя бы потому, что аппаратное обеспечение средств
вычислительной техники — импортного производства). В наибо-
лее критичных местах (особенно для защиты соединений, выхо-
дящих за пределы контролируемой зоны) необходимо обязатель-
ное использование доверенной аппаратной части, поэтому функ-
261
ции линейного шифрования целесообразно возложить на аппа-
ратные средства. Программные средства шифрования применяют
только для защиты информации внутри локальной сети.
Задачей АРД по отношению к подсистеме шифрования явля-
ется обеспечение того, чтобы вся информация, выходящая за пре-
делы контролируемой зоны, а также важная информация, переда-
ющаяся в пределах контролируемой зоны, была зашифрована пе-
ред отправлением. Задачей АУД является поддержка списков ка-
тегорий нуждающейся в шифровании информации, а также рас-
пределение ключей между средствами шифрования.
Эффективное управление информационной безопасностью
предполагает обязательное наличие средств централизованного
управления ее компонентами, которые должны размещаться в
составе программного обеспечения АРМов администраторов без-
опасности. К сожалению, очень немногие отечественные сред-
ства защиты информации позволяют осуществлять централизо-
ванное управление. В этом отношении имеется существенное от-
ставание отечественных изделий от продукции ведущих зарубеж-
ных фирм, в первую очередь Cisco.
Все АУД, АРД, ABC должны быть распределенными средства-
ми с централизованным программным управлением.
Наиболее критическими сегментами АС являются серверы баз
данных, электронной почты, приложений, причем значимость той
или иной угрозы для разных типов серверов варьируется. Напри-
мер, для сервера баз данных исключительное значение имеет обес-
печение конфиденциальности хранящейся в базах данных инфор-
мации, а для сервера приложений в первую очередь следует обеспе-
чить доступность информации. Это необходимо учитывать при
построении системы защиты.
Прежде всего пользовательские АРМы должны обеспечивать
поддержку функциональности работы средств и механизмов за-
щищенной сети:
• иметь клиентское программное обеспечение, реализующее
необходимую совокупность защищенных протоколов и интерфей-
сов с другими субъектами АС;
• обеспечивать безопасное хранение ключей, прав доступа и
других атрибутов;
• иметь в наличии средства генерации ЭЦП, а также аппарат-
ный или программный модуль шифрования;
• вести аудит критически важных событий.
При этом должно быть обеспечено предотвращение доступа
самих пользователей к механизмам защиты.
АУД должны предоставить все необходимые атрибуты безопас-
ности для пользователей, а АРД — обеспечивать защиту от несанк-
ционированного доступа, разрешать порождение только тех про-
цессов, которые разрешены пользователям.
262
Приведем некоторые рекомендации по построению пользова-
тельского АРМа. Важное значение для обеспечения надежного
аудита имеет защита журнала регистрации событий, в котором
должны отмечаться факты создания и отправления команд от
субъекта. Для защиты данного журнала от чтения и доступа само-
го клиента применяются криптографические и другие средства.
Применение журнала регистрации событий позволяет обезопа-
сить АС от воздействия следующих угроз:
• отказ от переданного сообщения;
• отказ от факта приема сообщения;
• несанкционированное уничтожение сообщения;
• повтор сообщения;
• маскарад.
ЭЦП используется для подтверждения подлинности и автор-
ства сообщения, которое отправляется субъектом. Прямая реа-
лизация функции генерации ЭЦП должна быть недоступна
пользователю. Для создания подписи используется закрытый ключ
субъекта. Цифровая подпись создается автоматически под каж-
дым отправляемым сообщением и позволяет предотвратить уг-
розы нарушения целостности сообщений, маскарада и отказа от
авторства.
Шифрование предназначено для защиты от раскрытия инфор-
мации, передаваемой между защищенными сегментами АС, а также
для разграничения доступа между пользователями сети подразде-
ления. Перед отправкой сообщения по сети может производиться
его шифрование, возможно, прозрачное для субъекта.
Конечно, функции шифрования должны выполняться не толь-
ко клиентскими рабочими станциями. При передаче сообщений
между защищенными сегментами возможно применение группо-
вых средств засекречивания, в том числе криптомаршрутизато-
ров. В этом случае мы получаем два контура засекречивания. При-
менение шифрования позволяет предотвратить угрозы наруше-
ния конфиденциальности. Необходимо предусмотреть периоди-
ческую смену используемых ключей и паролей. При этом выпол-
няются команды удаления и добавления атрибутов субъекту. Ру-
ководящим документом Гостехкомиссии РФ установлены знач-
ность и алфавит паролей для разных классов
АС.
11.5.
Формализация модели безопасности
Формализация модели безопасности заключается в том, что
представляются логические выражения, связывающие множества
субъектов-объектов с множествами видов доступа (операций) в
сети. Эта связь управляется и контролируется администраторами,
вызывающими те или иные сервисы/механизмы безопасности.
263
Рассмотрим наиболее часто встречающиеся операции, харак-
терные
для АС
масштаба подразделения.
При
этом будем придер-
живаться таких обозначений:
Comm(S)—-—>0
означает,
что
субъект
S
выполняет команду Сотт
над
объектом
О под
управ-
лением
(при
разрешении) администратора
А.
11.5.1.
Процедура создания пары субъект-
объект, наделение
их
атрибутами безопасности
Создание пары
«субъект—объект»
—
достаточно часто встре-
чающаяся операция, выполняющаяся
при
появлении
как
нового
пользователя АС,
так и
нового объекта доступа. Конечно, для уско-
рения
ее
выполнения
на
практике обычно будет связываться
не
конкретный субъект
с
конкретным объектом,
а
член группы субъек-
тов
с
членом группы объектов.
Для каждой группы ресурсов определена группа субъектов,
которые имеют
к
нему различные типы доступов. Точно
так же
для каждой группы субъектов определены
их
права
на
доступ
к
группам объектов.
Для
простоты изложения рассмотрим создание
связи
«субъект—объект»
(СО).
Создание субъекта.
1.
АС
создает вначале «пустого» субъекта:
Generate(A
s
)
->
S
h
где
A
s
—
АС,
затем наделяет
его
определенными правами
по
отно-
шению
к
объекту (группе объектов), включает
в ту
или иную группу
субъектов (например, присваивает
ему
определенный уровень кон-
фиденциальности).
Эта
информация включается
в
базы данных
АУД. Обозначим
эту
операцию
как
Rights
0
.{A
s
)
->
S
j
,A
d
,
где
Rights
0j
(•)
—
права субъекта
по
отношению
к
объекту,
A
d
— АУД.
2. Однако простого наличия прав
у
субъекта недостаточно
для
получения доступа
к
объекту:
он
может быть лишь идентифици-
рован.
Для
того чтобы
он мог
быть аутентифицирован,
ему
необ-
ходимы атрибуты безопасности.
АС
через
АУД
выдает такие атри-
буты субъекту. Например, пользователь может физически при-
быть
для
получения пароля/ключа
к
АС. Другим вариантом явля-
ется получение пользователем атрибутов удаленным образом
—
здесь
уже АС не
вмешивается
в
работу
АУД.
Однако
в
данном
случае
АРМ
пользователя должен быть способен как-то устано-
вить защищенное соединение
с АУД еще до
получения пользова-
телем атрибутов безопасности. Выходом является использование
механизмов безопасности
на
сетевом
или
канальном уровне,
на-
пример сетевой карты
с
криптоинтерфейсом.
Операция получения пользователем атрибутов безопасности
может быть записана
в
виде:
AttribSj—^—>S
t
,
где
вертикальная
264
черта показывает, что АУД работал по команде АС (хотя в данном
случае это не всегда обязательно).
3. После создания нового пользователя можно проверить его
работоспособность. АУД вьщает ему команду, по которой субъект
автоматически посылает некоторую текстовую последовательность,
например, хэш пароля или какой-то зашифрованный постоян-
ный текст. АУД проверяет результаты инициализации, делает от-
метки в журнале аудита и вьщает отчет АС:
Quest(A
d
)
->
S,;
Rpl(S,)
-»
A
d
;
Res(A
d
)
->
A
s
.
С этого момента субъект может приступать к передаче непо-
средственных команд для операции со своим ресурсом.
Запишем данную процедуру с помощью введенных обозначе-
ний, кроме квитанций подтверждений об успешности выполне-
ния операций:
1.
Generate(A
s
)
->
S
h
2.
Rights
Q
(A
s
)
->
S
t
,A
d
.
3.
Attribsi—&&-!Щ.
4.
Quest(A
d
)
-^
S
t
;
Rpl(S
t
)
~f
A
d
;
Res(A
d
)
jf
A
s
.
Процедуру регистрации событий в журнале аудита можно пред-
ставить в виде модификации объекта — журнала аудита:
Modify(A)—
4s
—>Q-.
Создание объекта.
Объекты могут создавать пользователи, администраторы, а так-
же субъекты — программные модули. Принцип для всех один и
тот же.
Запрос на создание объекта:
Quest^(Sj)
->
A
rd
,
где
A
rd
— адми-
нистратор разграничения доступом (АРД). В команду
Quest
вклю-
чены идентификатор и аутентификатор пользователя.
Аутентификация
Authent(A
rd
)
->
S
t
.
Если результат положительный, то запрос к АУД:
Quest
s
.
Л
{А
Ы
)
^>
A
d
.
АУД отвечает:
Rpl
Sb0
.(A
d
)
->
A
rd
.
АРД сообщает субъекту о разрешении или отказе в создании
объекта:
Rpl
Si0j
(A
rd
)^>S
r
Если ответ положительный, субъект создает объект:
Generate(Sj)
—^Л—
>
$..
Далее он наделяет его атрибутами безопасности (теми, кото-
рыми ему разрешено наделять):
Attribs,(S,)—^
>O
f
.
265
11.5.2.
Осуществление доступа субъекта к объекту
Последовательность операций по доступу субъекта к объекту
похожа на последовательность при создании объекта. Субъект не
может самостоятельно осуществить доступ, все запросы перехва-
тывает АРД
(A
rd
).
1.
CommiSj)—4^^0
;
.
2.
Authent(A
rd
)
->
S
t
.
3. Если результат положительный, то
Quest
s
.
0
.(A
rd
)
->
A
d
-
5. Если ответ положительный, то
Comm(S
i
)
a*4z—
>
O
i
.
Назовем активным объект, способный порождать субъекты.
Такие объекты могли бы самостоятельно контролировать доступ
к себе, но это противоречит предлагаемой модели безопасности
(все контролирует АРД). В таком случае АРД просто должен со-
общить объекту о разрешении к нему доступа субъекта.
11.5.3.
Взаимодействие с внешними сетями
Пусть субъект желает передать свои данные в другую локаль-
ную сеть.
1.
CommiSj)—^LL^A,,,
где
Л
т
-
ABC.
2.
Authent(A
rd
)
->
S
t
.
3. Если результат положительный, то
Quest
SiAcs
{A
rd
)
->
A
d
.
5. Если ответ положительный, то
Comm(Si)
^—>Д,
5
.
Таким образом, при посредничестве АРД и АУД субъект полу-
чил доступ к ABC. Теперь он начинает взаимодействовать с этим
администратором. АУД уже сообщил ABC права и атрибуты без-
опасности субъекта. Атрибуты безопасности нужны для того, что-
бы ABC самостоятельно выполнил аутентификацию, иначе суще-
ствует опасность атаки с перехватом сессии после аутентифика-
ции.
6.
QuestiA
)
—>
S-.
7.
Rpl(Si)
-»
A
vs
\
Quest(S
t
)—4^—^
(одновременно с отве-
том на запрос аутентификации субъект посылает запрос на вы-
полнение действий).
266
8. Если результат аутентификации положительный и запрос
субъекта соответствует его правам, то ABC дает разрешение на
выполнение передачи данных (или, например, на доступ к серве-
ру электронной почты):
9.
Rpl{A
m
)^S
t
.
Если пользователь желает передать данные в другую локаль-
ную сеть, то перед этим ABC устанавливает безопасное соедине-
ние с ABC другой локальной сети, которую запросил пользова-
тель. При этом выполняется протокол взаимной аутентификации,
возможно, с выработкой сессионного ключа, который здесь не
рассматривается.
10.
ABC
передает ABC другой сети адрес вызываемого субъекта:
IP_addr(AJ
4
A
VSj
.
11.
ABC другой сети находит в своей базе нужного пользовате-
ля, устанавливает с ним связь, аутентифицирует его и дает под-
тверждение ABC «нашей» сети о готовности к приему данных:
Rpljp_addr\A
vs
J
—>
A
vs
^.
12.
Пользователь посылает данные ABC, а ABC —по зашифро-
ванному каналу
ABC
другой сети. ABC другой сети расшифровы-
вает данные и пересылает их пользователю. В обратную сторону
идут квитанции, подтверждающие прием пакетов сообщения.
Примерно так же происходит прием сообщений из внешней
сети. Вначале аутентифицируется ABC другой сети (без участия
АУД, АРД), затем проверяется субъект «нашей сети» (с участием
АРД, АУД), устанавливаются защищенные соединения и прини-
маются данные.
11.5.4.
Удаление субъекта
—
объекта
При удалении может не происходить полного уничтожения
субъекта и объекта, записи о них переносятся в резервную об-
ласть памяти, где хранятся в течение обусловленного времени.
Конечно, чаще всего фактически выполняется удаление только
субъекта или только объекта, но и эти случаи можно рассматри-
вать как удаление пары субъект
—
объект.
Опишем сценарий удаления субъекта, который является по
существу обратным последовательности его создания.
1. Вначале выполняется уничтожение объектов, ассоциирован-
ных только с этим субъектом и не являющихся нужными другим.
Например, таким объектом может стать личная папка (файлы)
пользователя. Данная операция осуществляется под управлением
администратора сети
Modify(A
s
)
-»
0, где 0 означает пустой объект.
267
2. Удаление у субъекта атрибутов информационной безопасно-
сти и прав доступа осуществляет АУД после получения управле-
ния от администратора сети, подтверждающего факт обнуления
объекта:
DelAttribs
[A
d
)
—^—>5,-.
3. Удаление «нулевой» пары
субъект—объект
(модификация
базы данных АУД) производится АУД:
Modify{A
s
)
->
О
м
.
С помощью введенных формальных операций можно описать
поведение АС в соответствии с разработанной политикой без-
опасности. При выполнении требований обеспечения информа-
ционной безопасности, предъявляемых к объектам и субъектам, а
также к процедурам взаимодействия с ними, АС будет находиться
в безопасном состоянии, в рамках выполнения описанного набо-
ра операций. В итоге использования модели удается сформулиро-
вать набор априорно неочевидных требований к компонентам сети
и системе защиты. Совокупности этих требований должны отве-
чать компоненты сети и проектируемая система защиты.
..;•• ...,.••
...
Гл
а в
a
12
Технологическое
и организационное построение КСЗИ
12.1.
Общее содержание работ
по организации КСЗИ
Как говорилось ранее (см. гл. 5), при создании комплексной
системы защиты информации ограниченного доступа защищать
необходимо все компоненты информационной структуры пред-
приятия — документы, сети связи, персонал и т.д.
Основные организационно-методические мероприятия по со-
зданию и поддержанию функционирования комплексной систе-
мы защиты:
•
создание службы защиты информации, включая подбор, рас-
становку и обучение ее персонала;
• создание основных нормативных и организационно-распо-
рядительных документов, необходимых для организации комп-
лексной системы защиты информации.
КСЗИ предприятия целесообразно строить с учетом реальных
угроз, в результате осуществления которых предприятию (или в
отношении государственной тайны — государству) может быть
нанесен ущерб.
Наиболее значимыми угрозами информационной безопасно-
сти предприятия являются (в порядке, соответствующем частоте
проявления):
• непреднамеренные ошибочные действия сотрудников пред-
приятия;
• злоумышленные действия сотрудников предприятия;
• неправомерные действия третьих лиц (в том числе государ-
ственных органов, контрагентов, клиентов предприятия);
• проявления ошибок в программном обеспечении, отказы и
сбои технических средств, аварии.
КСЗИ предприятия необходимо строить с учетом того, что:
•
основной задачей обеспечения ЗИ должна быть защита инте-
ресов предприятия, его персонала, контрагентов и
клиентов
от
нанесения им ущерба (материального, морального, физического
и др.) путем неправомерного использования информации или
воздействия
на нее;
269