Управление защитой информации (окончание)
«BEST OF SECURITY», №26 (апрель, 2008)
bos.dn.ua
В. Домарев
При выборе надежных средств защиты информации и информационной системы (ИС) в целом необходимо построить иерархию допусков и привилегий пользователей и организовать комплекс мониторинга функционирования ИС.
Способы разделения субъектов
Существует множество вариантов одних и тех же способов разделения субъектов, они могут иметь разную реализацию в различных средствах защиты.
Группирование. Это объединение множества субъектов под одним групповым именем; всем субъектам, принадлежащим к одной группе, предоставляются равные права. Принципы объединения пользователей в группы могут быть самые разные: ссылки на одни и те же объекты, одинаковый характер вычислений, работа над совместным проектом и т. д. При этом один и тот же субъект может входить в несколько групп и, соответственно, иметь различные права по отношению к одному и тому же объекту.
Механизм группирования может быть иерархическим. То есть каждый субъект является членом нескольких групп, упорядоченных по отношению «быть подмножеством». Контроль над состоянием необходим, поскольку члены одной группы имеют доступ к большому числу объектов, что не способствует усилению их безопасности. Создание групп и присвоение групповых привилегий должно производиться администратором безопасности, руководителем группы или каким-либо другим лицом, ответственным за сохранность групповых объектов.
Правила умолчания. При назначении привилегий следует уделять внимание правилам умолчания, принятым в данных средствах защиты; это необходимо для соблюдения политики безопасности. Во многих системах, например, субъект, создавший объект и являющийся его владельцем, по умолчанию получает все права на него. Кроме того, он может эти права передавать.
В различных средствах защиты используются свои правила умолчания, однако принципы назначения привилегий по умолчанию в большинстве систем одни и те же. Если в системе используется древовидная файловая структура, то необходимо принимать во внимание правила умолчания для каталогов. Корректное использование правил умолчания способствует поддержанию целостности политики безопасности.
Минимум привилегий. Это один из основных принципов реализации любой политики безопасности. Каждый пользователь и процесс должны иметь минимальное число привилегий, достаточное для работы. Определение числа привилегий для всех пользователей, с одной стороны, позволяющих осуществлять быстрый доступ ко всем необходимым для работы объектам, а с другой, запрещающих доступ к чужим объектам — проблема достаточно сложная. От ее решения во многом зависит корректность реализации политики безопасности.
Объединение критичной информации. Во многих системах сбор, хранение и обработка информации одного уровня производятся в одном месте (узле сети, устройстве, каталоге). Это объясняется тем, что проще защитить одним и тем же способом большой массив информации, чем организовывать индивидуальную защиту для каждого набора.
Для реализации этого принципа могут быть разработаны специальные программы, управляющие обработкой таких наборов данных. Это — простейший способ построения защищенных областей.
Иерархия привилегий. Контроль объектов системы может иметь иерархическую организацию. Такая организация принята в большинстве коммерческих систем. При этом схема контроля имеет вид дерева, где узлы — субъекты системы, ребра — право контроля привилегий согласно иерархии, корень — администратор системы, имеющий право изменять привилегии любого пользователя. Достоинство такой структуры — точное копирование схемы организации, обслуживаемой ИС. Поэтому легко составить множество субъектов, имеющих право контролировать данный объект. Недостаток иерархии привилегий — сложность управления доступом при большом количестве субъектов и объектов, а также возможность получения доступа администратора системы (как высшего по иерархии) к любому набору данных.
Привилегии владельца. При таком контроле каждому объекту соответствует единственный субъект с исключительным правом контроля объекта — владелец (owner). Как правило, это его создатель. Владелец обладает всеми разрешенными для этого типа данных правами на объект, может разрешать доступ любому другому субъекту, но не имеет права кому-либо передать привилегию на корректировку защиты. Однако такое ограничение не касается администраторов системы — они имеют право изменять защиту любых объектов.
Главным недостатком принципа привилегий владельца является то, что при обращении к объекту пользователь должен предварительно получить разрешение у владельца (или администратора). Это может привести к сложностям в работе (например, в отсутствие владельца или при его нежелании разрешить доступ). Поэтому такой принцип обычно используется при защите личных объектов пользователей.
Свободная передача привилегий. При такой схеме субъект, создавший объект, может передать любые права на него любому другому субъекту вместе с правом корректировки этого объекта. Тот, в свою очередь, может передать все эти права другому субъекту.
Естественно, при этом возникают трудности в определении круга субъектов, имеющих в данный момент доступ к объекту (права на объект могут быстро распространяться и так же быстро исчезать), поэтому такой объект легко подвергается несанкционированной обработке.
В чистом виде рассмотренные принципы реализации политики безопасности применяются редко. Обычно используются их комбинации. Ограничение доступа к объектам в ОС включает в себя ограничение доступа к некоторым системным возможностям, например, ряду команд, программам и другим средствам, если при использовании их нарушается политика безопасности.
Вообще набор полномочий каждого пользователя должен быть тщательно продуман, должны быть исключены возможные противоречия и дублирование, поскольку многие нарушения происходят именно по этим причинам. Не исключена утечка информации и без нарушения защиты, если плохо спроектирована или реализована политика безопасности.
Предотвращение угроз информации
НСД может быть обнаружен с помощью средств контроля или явиться побочным эффектом другого нарушения (например, вирусной атаки), но причины его гораздо глубже. Во всяком случае, говорить о возможности НСД можно только в том случае, если строго определено понятие «несанкционированный».
Когда систему пытаются атаковать, умышленно или неумышленно, информацию об этом можно получить из следующих источников:
— от пользователей — о состоянии защиты личных наборов данных отдельных пользователей;
— при мониторинге функционирования ИС — о состоянии общих характеристик системы;
— из системного журнала — о состоянии защиты различных наборов данных.
Рассмотрим подробнее, как на основе информации каждого из перечисленных источников распознать угрозу.
Пользователи. В случае, когда средства защиты функционируют некорректно, пользователи обязаны известить об этом администратора защиты. Это могут быть следующие ситуации:
— потеря набора данных или ошибки при обращении к нему;
— неудовлетворительное содержание сообщения о последнем входе (зафиксирован более поздний вход в систему, чем в действительности);
— неудача при входе в систему — возможно, изменен пароль;
— зафиксирована попытка проникновения и, как следствие, невозможность входа в систему;
— наличие наборов данных, которые никогда не создавались;
— неожиданные изменения защиты личных объектов пользователя;
— появление листингов, сообщений и другой информации под именем пользователя, который их не генерировал;
— истощение ресурсов пользователя (например, памяти на диске).
Каждая возникающая ситуация нуждается в тщательном анализе, результаты которого должны быть известны соответствующим пользователям.
Мониторинг функционирования ИС. Под мониторингом системы подразумеваются получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля. Такими средствами могут быть различные системные утилиты или прикладные программы, выводящие информацию непосредственно на системную консоль или другое, определенное для этой цели, устройство. Отличительная особенность мониторинга — получение и анализ информации, осуществляемые в реальном времени.
Приведем перечень ситуаций возможного нарушения защиты, информацию о которых можно получить с помощью мониторинга:
— в списке пользователей упомянуты такие, которые не должны в настоящее время работать в системе;
— неожиданные события при загрузке системы;
— нарушения физической защиты — неработоспособны или утеряны носители информации;
— изменения в списке пользователей, допущенных к защищенным файлам;
— появление в системных библиотеках выполняемых модулей, которые не были проверены;
— обнаружение выполнения неизвестных программ при контроле системы;
— добавление неизвестных имен к списку привилегированных пользователей;
— во время сеанса работы пользователей зафиксировано чрезмерно большое время использования процессора — возможно, вследствие НСД;
— в очереди пакетных заданий находятся неизвестные или подозрительные;
— в ИС обнаружены неизвестные устройства;
— наблюдается повышенный уровень загруженности системы;
— неожиданное изменение характеристик системы (средств) защиты;
— изменение характера работы пользователей.
Этот список может быть дополнен еще множеством других ситуаций. Для каждой ИС такой список индивидуален. Здесь приведены лишь наиболее часто встречающиеся ситуации, которые могут сигнализировать об угрозе. Появление каждой из них должно быть тщательно и своевременно проанализировано во избежание потенциальной опасности.
Кроме того, средства контроля, как правило, фиксируют сведения о прошедшем событии. Например, большинство систем имеет средства протоколирования сеансов работы отдельных пользователей. Отчеты об этом помогут обнаружить:
— неизвестные имена пользователей;
— настораживающие характеристики сеансов — неурочные часы или дни работы, например, чрезмерное использование ресурсов системы, источники некорректных входов в систему, узлы сети, удаленные терминалы и др.
Системный журнал. Для того чтобы своевременно выявлять и предотвращать опасные события, необходим системный журнал. Работа с ним — частный случай мониторинга функционирования ИС, однако его обычно считают самостоятельным средством контроля. Дело в принципиальном различии их целей: в процессе мониторинга осуществляется слежение за общими характеристиками системы оператором, а системный журнал регистрирует состояние средств защиты и управляется администратором безопасности.
По ряду причин системный журнал представляет собой одно из основных средств контроля, способствующее предотвращению возможных нарушений.
В журнале оперативно фиксируются происходящие в системе события, например:
— вводимые команды и имена выполняемых программ;
— доступ к определенным наборам данных или устройствам и его параметры;
— вход/выход пользователей из системы;
— имя терминала или другого устройства, с которого был осуществлен ввод команды или запуск программы;
— случались ли похожие события ранее и кто (что) был их причиной;
— другие события.
Анализ содержимого системного журнала может помочь выявить средства и априорную информацию, использованные злоумышленником для осуществления нарушения. Ведь очевидно, что без предварительной информации любая сознательная попытка нарушения почти наверняка обречена на провал. К такой информации можно отнести:
— данные об ИС;
— сведения о структуре организации;
— знание параметров входа в систему (имена и пароли);
— информацию об используемом оборудовании и программном обеспечении;
— характеристики сеансов работы и т. д.
Кроме того, анализ содержимого системного журнала может помочь определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации.
Естественно, с помощью одного системного журнала не всегда удается определить источник нарушения, однако он, несомненно, позволяет значительно сузить круг подозреваемых.
В дополнение к перечисленным мерам рекомендуется обязательный контроль следующих событий с помощью системного журнала:
1. События типа «ошибка входа» или «попытка проникновения» (если «ошибка входа» фиксируется слишком часто — больше трех раз подряд). Это лучший способ распознавания попыток проникновения в систему.
2. События типа «вход в систему». Помогает контролировать работу, особенно при доступе к узлу из сети. Такой доступ является источником повышенной опасности.
3. События типа «ошибка при доступе к набору данных». Дает возможность обнаружить попытки преодоления защиты наиболее ценных объектов ИС.
4. Запись (доступ типа WRITE) в наборы данных. Помогает предотвратить их несанкционированную модификацию. При этом необходимо учитывать особенности модификации некоторых системных наборов.
5. Осуществление действий, на которые необходимы различного рода привилегии. Дает возможность выявить злоупотребления ими.
Мониторинг функционирования системы и системный журнал дают умелому администратору мощное средство слежения за функционированием системы. Однако изобилие информации, поступающее в результате мониторинга и анализа системного журнала, может быть эффективно обработано лишь при наличии у администратора специальных средств работы с этой информацией.