Завгородний В.И. Комплексная защита информации в компьютерных системах

Подождите немного. Документ загружается.

В этом случае датчики с нормально замкнутыми контактами всех

защитных конструкций устройства соединяются последовательно.

По возможности проводные линии СКВУ желательно маски-

ровать под линии информационных трактов устройств.

Факт снятия разъема может быть легко зафиксирован. Для

этого достаточно выделить один контакт разъема на цели контро-

ля. При снятии разъема линия СКВУ разрывается.

7.4.4. Контроль целостности программной структуры

в процессе эксплуатации

Контроль целостности программ и данных выполняется одни-

ми и теми же методами. Исполняемые программы изменяются

крайне редко на этапе их эксплуатации. Существует достаточно

широкий класс программ, для которых все исходные данные или

их часть также изменяются редко. Поэтому контроль целостности

таких файлов выполняется так же, как и контроль программ.

Контроль целостности программных средств и данных осуще-

ствляется путем получения (вычисления) характеристик и сравне-

ния их с контрольными характеристиками. Контрольные характе-

ристики вычисляются при каждом изменении соответствующего

файла. Характеристики вычисляются по определенным алгорит-

мам. Наиболее простым алгоритмом является контрольное сум-

мирование. Контролируемый файл в двоичном виде разбивается

на слова, обычно состоящие из четного числа байт. Все двоичные

слова поразрядно суммируются с накоплением по mod2, образуя в

результате контрольную сумму. Разрядность контрольной суммы

равняется разрядности двоичного слова. Алгоритм получения

контрольной суммы может отличаться от приведенного, но, как

правило, не является сложным и может быть получен по имею-

щейся контрольной сумме и соответствующему файлу.

Другой подход к получению характеристик целостности свя-

зан с использованием циклических кодов [63]. Суть метода состоит

в следующем. Исходная двоичная последовательность

представляется в виде полинома F(x) степени п -1, где п - число

бит последовательности. Для выбранного порождающего поли-

нома Р(х) можно записать равенство:

ПО

где m - степень порождающего полинома, G(x) - частное, a R(x) -

остаток от деления F(x) • х

на Р(х).

Из приведенного соотношения можно получить новое выра-

I жение:

Из последнего выражения можно сделать вывод: если исход-

ный полином увеличить на х

(сдвинуть в сторону старших раз-

рядов на m разрядов) и сложить с остатком R(x) по модулю 2, то

полученный многочлен разделится без остатка на порождающий

полином Р(х).

При контроле целостности информации контролируемая по-

следовательность (сектор на диске, файл и т. д.), сдвинутая на m

разрядов, делится на выбранный порождающий полином, и запо-

минается полученный остаток, который называют синдромом.

Синдром хранится как эталон. При контроле целостности к поли-

ному контролируемой последовательности добавляется синдром и

осуществляется деление на порождающий полином. Если остаток

от деления равен нулю, то считается, что целостность контроли-

руемой последовательности не нарушена. Обнаруживающая спо-

собность метода зависит от степени порождающего полинома и

не зависит от длины контролируемой последовательности. Чем

выше степень полинома, тем выше вероятность определения из-

менений d, которая определяется из соотношения: d =l/2

Использование контрольных сумм и циклических кодов, как и

других подобных методов, имеет существенный недостаток. Ал-

горитм получения контрольных характеристик хорошо известен, и

поэтому злоумышленник может произвести изменения таким об-

разом, чтобы контрольная характеристика не изменилась (напри-

мер, добавив коды).

Задача злоумышленника усложнится, если использовать пере-

менную длину двоичной последовательности при подсчете кон-

трольной характеристики, а характеристику хранить в зашифро-

ванном виде или вне КС (например, в ЗУ Touch Memory).

Рассмотрим пример использования циклических кодов для

контроля целостности двоичной последовательности.

Пусть требуется проконтролировать целостность двоичной

последовательности А=1010010. Используется порождаемый по-

лином вида: Р(х)=х

+х+1.

111

А. Получение контрольной характеристики.

При вычислении синдрома RA(X) действия выполняются по

правилам деления полиномов, заменяя операцию вычитания опе-

рацией сложения по модулю:

Двоичная последовательность с синдромом имеет вид :

А' = 1010010011 (синдром подчеркнут). Последовательность

А' хранится и(или) передается в КС.

Б. Контроль целостности информации.

Если изменений последовательности А' = 1010010011 не про-

изошло, то соответствующий ей полином должен разделиться на

порождающий полином без остатка:

Результат произведенных вычислений свидетельствует о це-

лостности информации.

112

Если синдром отличен от нуля, то это означает, что произошла

ошибка при хранении (передаче) двоичной последовательности.

Ошибка определяется и в контрольных разрядах (в синдроме).

Существует метод, который позволяет практически исключить

возможность неконтролируемого изменения информации в КС.

Для этого необходимо использовать хэш-функцию. Под хэш-

функцией понимается процедура получения контрольной харак-

теристики двоичной последовательности, основанная на кон-

трольном суммировании и криптографических преобразованиях.

Алгоритм хэш-функции приведен в ГОСТ Р34.11-94. Алгоритм не

является секретным, так же как и алгоритм используемого при

получении хэш-функции криптографического преобразования,

изложенного в ГОСТ 28147-89 [9].

Исходными данными для вычисления хэш-функции являются

исходная двоичная последовательность и стартовый вектор хэши-

рования. Стартовый вектор хэширования представляет собой дво-

ичную последовательность длиной 256 бит. Он должен быть не-

доступен злоумышленнику. Вектор либо подвергается зашифро-

ванию, либо хранится вне КС.

Итерационный процесс вычисления хэш-функции Н преду-

сматривает:

генерацию четырех ключей (слов длиной 256 бит);

шифрующее преобразование с помощью ключей текущего

значения Н методом простой замены (ГОСТ 28147-89);

перемешивание результатов;

поразрядное суммирование по mod2 слов длиной 256 бит ис-

ходной последовательности;

вычисление функции Н.

В результате получается хэш-функция длиной 256 бит. Значе-

ние хэш-функции можно хранить вместе с контролируемой ин-

формацией, т. к., не имея стартового вектора хэширования, зло-

умышленник не может получить новую правильную функцию

хэширования после внесения изменений в исходную последова-

тельность. А получить стартовый вектор по функции хэширова-

ния практически невозможно.

Для каждой двоичной последовательности используются две

контрольные характеристики: стартовый вектор и хэш-функция.

При контроле по стартовому вектору и контролируемой последо-

113

вательности вычисляется значение хэш-функции и сравнивается с

контрольным значением.

Контрольные вопросы

1. Назовите основные принципы разработки алгоритмов, про

грамм и технических средств.

2. В чем заключается суть современных технологий программи

рования?

3. Дайте характеристику автоматизированной системы разработки

программных средств.

4. Каким образом достигается защита от несанкционированного

изменения структур КС на этапах разработки и эксплуатации?

5. Как осуществляется контроль целостности информации?

ГЛАВА 8

Защита информации в КС

от несанкционированного доступа

Для осуществления НСДИ злоумышленник не применяет ни-

каких аппаратных или программных средств, не входящих в со-

став КС. Он осуществляет НСДИ, используя:

знания о КС и умения работать с ней;

сведения о системе защиты информации;

сбои, отказы технических и программных средств;

ошибки, небрежность обслуживающего персонала и поль-

зователей.

Для защиты информации от НСД создается система разграни-

чения доступа к информации. Получить несанкционированный

доступ к информации при наличии системы разграничения досту-

па (СРД) возможно только при сбоях и отказах КС, а также ис-

пользуя слабые места в комплексной системе защиты информа-

ции. Чтобы использовать слабости в системе защиты, злоумыш-

ленник должен знать о них.

Одним из путей добывания информации о недостатках систе-

114

мы защиты является изучение механизмов защиты. Злоумышлен-

ник может тестировать систему защиты путем непосредственного

контакта с ней. В этом случае велика вероятность обнаружения

системой защиты попыток ее тестирования. В результате этого

службой безопасности могут быть предприняты дополнительные

меры защиты.

Гораздо более привлекательным для злоумышленника являет-

ся другой подход. Сначала получается копия программного сред-

ства системы защиты или техническое средство защиты, а затем

производится их исследование в лабораторных условиях. Кроме

того, создание неучтенных копий на съемных носителях инфор-

мации является одним из распространенных и удобных способов

хищения информации. Этим способом осуществляется несанк-

ционированное тиражирование программ. Скрытно получить тех-

ническое средство защиты для исследования гораздо сложнее, чем

программное, и такая угроза блокируется средствами и методами

обеспечивающими целостность технической структуры КС.

Для блокирования несанкционированного исследования и ко-

пирования информации КС используется комплекс средств и мер

защиты, которые объединяются в систему защиты от исследова-

ния и копирования информации (СЗИК).

Таким образом, СРД и СЗИК могут рассматриваться как под-

системы системы защиты от НСДИ.

8.1. Система разграничения доступа к информации в КС

8.1.1. Управление доступом

Исходной информацией для создания СРД является решение

владельца (администратора) КС о допуске пользователей к опре-

деленным информационным ресурсам КС. Так как информация в

КС хранится, обрабатывается и передается файлами (частями

файлов), то доступ к информации регламентируется на уровне

файлов (объектов доступа). Сложнее организуется доступ в базах

данных, в которых он может регламентироваться к отдельным ее

частям по определенным правилам. При определении полномочий

доступа администратор устанавливает операции, которые разре-

шено выполнять пользователю (субъекту доступа).

115

Различают следующие операции с файлами):

• чтение (R); запись;

выполнение программ (Е).

Операция записи в файл имеет две модификации. Субъекту

доступа может быть дано право осуществлять запись с изменени-

ем содержимого файла (W). Другая организация доступа предпо-

лагает разрешение только дописывания в файл, без изменения

старого содержимого (А).

В КС нашли применение два подхода к организации разграни-

чения доступа [6]: матричный:

полномочный (мандатный).

Матричное управление доступом предполагает использование

матриц доступа. Матрица доступа представляет собой таблицу, в

которой объекту доступа соответствует столбец Oj, а субъекту

доступа - строка Si. На пересечении столбцов и строк записыва-

ются операция или операции, которые допускается выполнять

субъекту доступа i с объектом доступа] (рис. 12).

Рис. 12.Матрицадоступа

Матричное управление доступом позволяет с максимальной

детализацией установить права субъекта доступа по выполнению

разрешенных операций над объектами доступа. Такой подход на-

гляден и легко реализуем. Однако в реальных системах из-за

116

большого количества субъектов и объектов доступа матрица дос-

тупа достигает таких размеров, при которых сложно поддержи-

вать ее в адекватном состоянии.

Полномочный или мандатный метод базируется на много-

уровневой модели защиты. Такой подход построен по аналогии с

«ручным» конфиденциальным (секретным) делопроизводством.

Документу присваивается уровень конфиденциальности (гриф

секретности), а также могут присваиваться метки, отражающие

категории конфиденциальности (секретности) документа. Таким

образом, конфиденциальный документ имеет гриф конфиденци-

альности (конфиденциально, строго конфиденциально, секретно,

совершенно секретно и т. д.) и может иметь одну или несколько

меток, которые уточняют категории лиц, допущенных к этому

документу («для руководящего состава», «для инженерно-

технического состава» и т. д.). Субъектам доступа устанавливает-

ся уровень допуска, определяющего максимальный для данного

субъекта уровень конфиденциальности документа, к которому

разрешается допуск. Субъекту доступа устанавливаются также

категории, которые связаны с метками документа.

Правило разграничения доступа заключается в следующем:

лицо допускается к работе с документом только в том случае, ес-

ли уровень допуска субъекта доступа равен или выше уровня

конфиденциальности документа, а в наборе категорий, присвоен-

ных данному субъекту доступа, содержатся все категории, опре-

деленные для данного документа.

В КС все права субъекта доступа фиксируются в его мандате.

Объекты доступа содержат метки, в которых записаны признаки

конфиденциальности. Права доступа каждого субъекта и характе-

ристики конфиденциальности каждого объекта отображаются в

виде совокупности уровня конфиденциальности и набора катего-

рий конфиденциальности.

Мандатное управление позволяет упростить процесс регули-

рования доступа, так как при создании нового объекта достаточно

создать его метку. Однако при таком управлении приходится за-

вышать конфиденциальность информации из-за невозможности

детального разграничения доступа.

Если право установления правил доступа к объекту предос-

тавляется владельцу объекта (или его доверенному лицу), то та-

117

кой метод контроля доступа к информации называется дискреци

онным.

8.1.2. Состав системы разграничения доступа

Система разграничения доступа к информации должна содер-

жать четыре функциональных блока:

блок идентификации и аутентификации субъектов досту-

па;

диспетчер доступа;

блок криптографического преобразования информации

при ее хранении и передаче;

блок очистки памяти.

Идентификация и аутентификация субъектов осуществляется

в момент их доступа к устройствам, в том числе и дистанционного

доступа.

Диспетчер доступа реализуется в виде аппаратно-

программных механизмов (рис.13) и обеспечивает необходимую

дисциплину разграничения доступа субъектов к объектам доступа

(в том числе и к аппаратным блокам, узлам, устройствам). Дис-

петчер доступа разграничивает доступ к внутренним ресурсам КС

субъектов, уже получивших доступ к этим системам. Необходи-

мость использования диспетчера доступа возникает только в мно-

гопользовательских КС.

Запрос на доступ i-ro субъекта и j-му объекту поступает в блок

управления базой полномочий и характеристик доступа и в блок

регистрации событий. Полномочия субъекта и характеристики

объекта доступа анализируются в блоке принятия решения, кото-

рый выдает сигнал разрешения выполнения запроса, либо сигнал

отказа в допуске. Если число попыток субъекта допуска получить

доступ к запрещенным для него объектам превысит определен-

ную границу (обычно 3 раза), то блок принятия решения на осно-

вании данных блока регистрации выдает сигнал «НСДИ» админи-

стратору системы безопасности. Администратор может блокиро-

вать работу субъекта, нарушающего правила доступа в системе, и

выяснить причину нарушений. Кроме преднамеренных попыток

НСДИ диспетчер фиксирует нарушения правил разграничения,

явившихся следствием отказов, сбоев аппаратных и программных

118

Рис. 13 Диспетчер доступа

Следует отметить, что в распределенных КС криптографиче-

ское закрытие информации является единственным надежным

способом защиты от НСДИ. Сущность криптографического за-

крытия информации изложена в главе 9.

В СРД должна быть реализована функция очистки оператив-

ной памяти и рабочих областей на внешних запоминающих уст-

ройствах после завершения выполнения программы, обрабаты-

вающей конфиденциальные данные. Причем очистка должна про-

изводиться путем записи в освободившиеся участки памяти опре-

деленной последовательности двоичных кодов, а не удалением

только учетной информации о файлах из таблиц ОС, как это дела-

ется при стандартном удалении средствами ОС.

8.1.3. Концепция построения систем разграничения доступа

В основе построения СРД лежит концепция разработки защи-

щенной универсальной ОС на базе ядра безопасности [6]. Под

ядром безопасности понимают локализованную, минимизиро-

ванную, четко ограниченную и надежно изолированную совокуп-

119

средств, а также вызванных ошибками персонала и пользователей.