Управление защитой информации (продолжение)
«BEST OF SECURITY», №25 (март, 2008)
bos.dn.ua
В. Домарев
Для того, чтобы предотвратить угрозу безопасности или устранить ее последствия, прежде всего необходимо ясно представлять, какие вообще возможны угрозы информационной системе. Для большинства ИС перечень угроз, которые могут повлечь за собой частичную или полную потерю информации или работоспособности системы и которые будем называть опасными, один и тот же.
Опасные события и их предупреждение
К событиям, являющимся угрозами информационным системам, можно отнести:
1. Перехват информации из линии связи.
2. Перехват паролей.
3. Попытка проникновения в систему.
4. Создание или изменение записей базы данных защиты.
5. Несанкционированное получение и использование привилегий.
6. Несанкционированный доступ к наборам данных.
7. Установка непроверенных выполняемых модулей и командных процедур, где могут таиться «троянские кони», «черви» и т. д.
8. «Сборка мусора» на диске или в оперативной памяти.
9. Использование узлов сети как портов для проникновения в другие узлы сети ЭВМ.
В каждом из этих случаев должны предприниматься немедленные меры для предотвращения нарушения работоспособности ИС и сохранения данных.
При этом необходимо остановиться на таком опасном нарушении, как несанкционированный доступ (НСД). Дело в том, что понятие «несанкционированный» достаточно трудно определить.
Чаще всего под НСД понимают проникновение пользователя к информации, которая ему не должна быть доступна. Это возможно в двух случаях:
1. В программно-аппаратных средствах поддержки политики безопасности есть ошибки, приводящие к возможности действий, позволяющих их обход. В этом случае единственный выход — смена средств защиты (внести исправления в рабочем порядке обычно не представляется возможным).
2. Когда НСД оказался возможен в результате некорректно сформулированной или реализованной политики безопасности для данной конфигурации технических и программных средств системы.
Для исключения случаев НСД следует пересмотреть политику безопасности или способы ее реализации, проверить полноту и однозначность сформулированных требований. Этот вопрос больше относится к проектированию и реализации средств защиты или политики безопасности, но никак не к управлению защитой.
По мнению специалистов фирмы «Информ-защита», для того, чтобы корректно воплотить в жизнь разработанную политику безопасности, необходимо иметь надежные механизмы ее реализации.
Естественно предположить, что все средства, ответственные за реализацию политики безопасности, сами должны быть защищены от любого вмешательства в их работу. В противном случае говорить о надежности защиты будет трудно. Можно изменять их параметры, но в своей основе они должны оставаться в неприкосновенности.
Поэтому все средства защиты и управления должны быть объединены в так называемую достоверную вычислительную базу. Достоверная вычислительная база (ДВБ) — это абстрактное понятие, обозначающее полностью защищенный механизм вычислительной системы (включая аппаратные и программные средства), отвечающий за поддержку реализации политики безопасности.
Средства защиты должны создавать ДВБ для обеспечения надежной защиты ИС. В различных средствах защиты ДВБ может быть реализована по-разному. Способность реализации ДВБ к безотказной работе зависит от ее устройства и корректного управления, а ее надежность является залогом соблюдения политики безопасности в защищаемой системе.
Таким образом, ДВБ выполняет двойную задачу — поддерживает реализацию политики безопасности и является гарантом целостности механизмов защиты,
т. е. самой себя. ДВБ совместно используется всеми пользователями ИС, однако ее модификация разрешена только пользователям со специальными полномочиями. К ним относятся администраторы системы и другие привилегированные сотрудники организации.
Процесс, функционирующий от имени ДВБ, достоверен. Это означает, что система защиты безоговорочно доверяет этому процессу и все его действия санкционированы политикой безопасности. Именно поэтому задача номер один защиты ДВБ — поддержание собственной целостности; все программы и наборы данных ДВБ должны быть надежно защищены от несанкционированных изменений.
Для поддержки политики безопасности и собственной защиты ДВБ должна обеспечить защиту субъектов (процессов) системы и защиту объектов системы в оперативной памяти и на внешних носителях.
Защита ДВБ строится на основе концепции иерархической декомпозиции системы.
Особенности применения концепции иерархической декомпозиции заключаются в следующем:
1. Каждый компонент должен выполнять строго определенную функцию.
2. Каждая функция с помощью операции декомпозиции может быть разбита на ряд подфункций, которые реализуются и защищаются отдельно. Этот процесс может насчитывать несколько этапов.
3. Основная «тяжесть» защиты приходится на межуровневый интерфейс, связывающий декомпозированные подфункции в единое целое; горизонтальные ссылки должны быть сведены до минимума.
Помимо защиты самой себя ДВБ также должна обеспечить надежную защиту пользователей системы (в частности, друг от друга). Для защиты пользователей используются те же механизмы, что и для защиты ДВБ. Неизменны и цели защиты субъектов и объектов пользователей, в оперативной памяти и на внешних носителях.
Доступ к информации на внешних носителях осуществляется с помощью подсистемы ввода/вывода; программы этой подсистемы являются компонентами нижних и средних уровней ДВБ. При получении имени файла (адреса записи) в первую очередь проверяются полномочия пользователя на доступ к запрашиваемым данным. Решение на осуществление доступа принимается на основе информации, хранящейся в базе данных защиты. Сама база данных представляет собой часть ДВБ, доступ к которой также контролируется.
Одним из необходимых условий реализации ДВБ в средствах защиты является наличие мультирежимного процессора (т. е. процессора, имеющего привилегированный и обычный режимы работы) с аппаратной поддержкой механизма переключения режимов и различных способов реализации виртуальной памяти.
Достоверная вычислительная база состоит из ряда механизмов защиты, позволяющих ей обеспечивать поддержку реализации политики безопасности.
Основой ДВБ является ядро безопасности — элементы аппаратного и программного обеспечения, защищенные от модификации и проверенные на корректность, которые разделяют все попытки доступа субъектов к объектам.
Ядро безопасности представляет собой реализацию концепции монитора ссылок (reference monitor) — абстрактной концепции механизма защиты.
Помимо ядра безопасности ДВБ содержит другие механизмы, отвечающие за жизнедеятельность системы. К ним относятся планировщики процессов, диспетчеры памяти, программы обработки прерываний, примитивы ввода/вывода и другие программно-аппаратные средства, а также системные наборы данных.
Под монитором ссылок понимают концепцию контроля доступа субъектов к объектам в абстрактной машине.
Под базой данных защиты понимают базу данных, хранящую информацию о правах доступа субъектов системы к объектам. Основу базы данных защиты составляет матрица доступа (МД) или ее представления, которая служит основой избирательной политики безопасности.
Любая операционная система, поддерживающая избирательное управление доступом (ИУД), использует МД и операции над ней, поскольку МД — удобный инструмент контроля использования и передачи привилегий.
Монитор ссылок должен выполнять следующие функции:
1. Проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты и положений политики безопасности (избирательной или полномочной).
2. При необходимости регистрировать факт доступа и его параметры в системном журнале.
Реализующее монитор ссылок ядро безопасности должно соответствовать следующим требованиям:
— контролировать все попытки доступа субъектов к объектам;
— иметь защиту от модификации, подделки, навязывания;
— быть протестировано и верифицировано для получения гарантий надежности;
— иметь небольшой размер и компактную структуру.
Идентификация, аутентификация и авторизация
Эти функции необходимы для подтверждения подлинности субъекта, законности его прав на данный объект или на определенные действия, а также для обеспечения работы субъекта в системе.
Идентификация — процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой априорной информации; каждый субъект или объект должен быть однозначно идентифицируем.
Аутентификация — проверка идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа), а также проверка целостности данных при их хранении или передаче для предотвращения несанкционированной модификации.
Авторизация — предоставление субъекту прав на доступ к объекту.
При входе в систему и вводе имени пользователя осуществляется идентификация, при вводе пароля — аутентификация, и если пользователь с данными именем и паролем зарегистрирован в системе, ему разрешается доступ к определенным объектам и ресурсам (авторизация).
Как показывает практика, вход пользователя в систему — одно из наиболее уязвимых мест защиты, известно множество случаев взлома пароля, входа без пароля, его перехвата и т. д. Поэтому при выполнении входа и пользователь, и система должны быть уверены, что они работают непосредственно друг с другом, между ними нет других программ и вводимая информация истинна.
Достоверный маршрут реализуется привилегированными процедурами ядра безопасности, работа которого обеспечивается механизмами ДВБ, а также некоторыми другими механизмами, выполняющими вспомогательные функции.
Регистрация и протоколирование. Эти функции обеспечивают получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных администрацией потенциально опасными для системы.
Такими средствами могут быть различные системные утилиты или прикладные программы, выводящие информацию непосредственно на системную консоль или другое определенное для этой цели устройство, а также системный журнал. Кроме того, почти все эти средства контроля могут не только обнаружить какое-либо событие, но и фиксировать его.
Например, большинство систем имеет средства протоколирования сеансов работы отдельных пользователей (всего сеанса или его отдельных параметров).
Большинство систем защиты имеет в своем распоряжении средства управления системным журналом (audit trail). Это одно из основных средств контроля, помогающее администратору предотвращать нарушения благодаря способностям:
— оперативно фиксировать происходящие в системе события;
— выявлять средства и априорную информацию, использованные злоумышленником для нарушения;
— определять степень нарушения, подсказывать метод его расследования и способы исправления ситуации.
Содержимое системного журнала и других наборов данных, хранящих информацию о результатах контроля, должны подвергаться периодическому пересмотру и анализу (аудит) с целью проверки соблюдения политики безопасности.
Контроль доступа. Под контролем доступа следует понимать ограничение возможностей использования ресурсов системы программами, процессами или другими системами (для сети) в соответствии с политикой безопасности. Под доступом понимается выполнение некоторой операции над объектом из множества разрешенных для данного типа. Примеры таких операций — чтение, открытие, запись набора данных, обращение к устройству и т. д.
Контроль должен осуществляться при доступе к:
— оперативной памяти;
— устройствам прямого доступа;
— устройствам последовательного доступа;
— программам и подпрограммам;
— наборам данных.
Основным объектом внимания средств контроля доступа являются совместно используемые наборы данных и ресурсы системы. Совместное использование объектов порождает ситуацию «взаимного недоверия», при которой разные пользователи одного объекта не могут до конца доверять друг другу. Тогда, если с этим объектом что-нибудь случится, все они попадают в круг подозреваемых.
Существует четыре основных способа разделения субъектов к совместно используемым объектам:
— физический — субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.);
— временной — субъекты с различными правами доступа к объекту получают его в разное время;
— логический — субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, но под контролем средств разграничения доступа, которые моделируют виртуальную операционную среду «один субъект — все объекты»;
— криптографический — все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.
(Продолжение следует)