Духан Е.И. и др. Применение программно-аппаратных средств защиты компьютерной информации, 2008
.pdf
•Пароли должны отвечать требованиям сложности1;
•Блокировка учетной записи на 30 минут;
•Пороговое значение блокировки — 3 ошибки входа;
•Сброс счетчика блокировки — через 30 минут.
Группа «Назначение прав пользователя» описывает возможности, которые предоставляются той или иной категории пользователей. Для защищенной рабочей станции рекомендуется назначить наиболее опасные с точки зрения безопасности права следующим категориям пользователей:
•Архивирование файлов и каталогов — операторы архива;
•Восстановление файлов и каталогов — операторы архива;
•Доступ к компьютеру по сети — удалить всех;
•Завершение работы системы — администраторы;
•Загрузка и выгрузка драйверов устройств — администраторы;
•Изменение системного времени — администраторы;
•Локальный вход в систему — администраторы, операторы архива, пользователи;
•Овладение файлами или иными объектами — администраторы;
•Профилирование загруженности системы — администраторы;
•Профилирование одного процесса — администраторы;
•Создание страничного файла — администраторы;
•Управление аудитом и журналом безопасности — администраторы.
Рис. 1.16. Оснастка «Локальная политика безопасности»
1 Под требованиями сложности понимается недопустимость применения в качестве пароля словарных слов, обязательность использования в пароле различных групп символов (цифробуквенный пароль), верхнего и нижнего регистров, специальных символов, т.е. существенное затруднение простого лобового и оптимизированного перебора паролей.
41
В группе «Параметры безопасности» обязательно рекомендуется включать параметры:
•Не отображать последнего имени пользователя;
•Очистка страничного файла виртуальной памяти;
•Разрешить доступ к НГМД только локальным пользователям;
•Запретить перезагрузку без регистрации.
Всвязи с большим количеством настраиваемых параметров в ОС Windows 2000/XP предлагается технология настройки параметров безопасности с использованием шаблонов. Шаблоном является конфигурационный текстовый файл, содержащий типичные настройки для различных уровней защищенности: базового, защищенного и высоко защищенного. Имеющиеся стандартные шаблоны могут быть доработаны, в дополнение к ним могут быть созданы иные шаблоны. Просмотр, создание и редактирование шаблонов безопасности осуществляется с помощью оснастки «Шаблоны безопасности» (рис. 1.17). Осна-
стку необходимо добавить в новую консоль, выполнив команду Пуск Вы-
полнить mmc.
Рис. 1.17. Оснастка «Шаблоны безопасности»
1.2.8.Уничтожение остаточной информации
Впроцессе выполнения ПЭВМ санкционированных запросов, связанных с обработкой легальными пользователями конфиденциальной информации, в оперативной памяти компьютера и на его магнитных носителях неизбежно остаются следы, именуемые «технологическим мусором». В защищенных компьютерных системах должны быть предусмотрены контроль, своевременная и на-
42
дежная очистка областей оперативной и постоянной памяти, связанных с конфиденциальным процессом. СЗИ должно контролировать и управлять всеми обращениями конфиденциального процесса к внешним носителям и жесткому диску.
Согласно руководящим документам [6] в зависимости от класса защищенности СВТ система защиты должна затруднять (предотвращать) доступ пользователей к остаточной информации при первоначальном назначении или при перераспределении внешней памяти, а также осуществлять очистку оперативной и внешней памяти (см. требования № 2 и 7, п. 1.1). Очистка производится путем записи маскирующей информации (последовательности случайных данных) в память при ее освобождении (перераспределении).
Наличие «технологического мусора» в АС обосновано сервисными функциями операционных систем. Особенно «грешит» этим продукция компании Microsoft. ОС семейства MS Windows и пакет чрезвычайно удобных программ Microsoft Office по праву называют «фабрикой технологического мусора» [29]. Можно перечислить следующие причины его образования:
•особенности организации файловой структуры и хранения файлов на жестких дисках (в любых операционных системах при обычном удалении файлов информация из области данных не стирается);
•резервирование информации на случай порчи и сбоя работы АС (резервные (*.wbk) и временные (*.tmp) файлы, файлы автосохранения (*.asd);
•создание временных файлов спулинга (*.spl), файлов печати (*.prn) и факсмодемной связи (*.shd);
•создание буферных и «теневых» областей памяти с целью обеспечения необходимой производительности компьютерной системы;
•функционирование механизма виртуальной памяти, расширяющего объем оперативной памяти за счет внешней;
•обеспечение удобства пользователя (организация списков «недавних» программ, документов, слов);
•использование буфера обмена данными между приложениями.
Исходя из причин образования опасной остаточной информации, к объектам, подлежащим контролю со стороны системы защиты информации, обычно относят:
•отдельные удаляемые файлы;
•временные файлы;
•свободную область диска «free space»;
•неиспользуемые элементы каталогов;
•«хвосты» файлов (file slacks);
•файлы виртуальной памяти «swap file» — win386.swp, pagefile.sys.
Для борьбы с остаточной информацией СЗИ имеют в своем составе ряд специальных утилит, которые по запросу пользователя (например, после окончания работы с конфиденциальными документами) осуществляют очистку всех свободных областей НЖМД, хвостов файлов и неиспользуемых каталогов.
43
Специальная утилита может автоматически перед выключением ПЭВМ очистить файл подкачки.
Особая функция СЗИ — гарантированное удаление данных. Надежное стирание (уничтожение) критичных файлов осуществляется путем 3-х и более кратной записи случайных символов в область данных, где ранее размещался удаляемый файл.
СЗИ могут предложить организацию специального зашифрованного каталога для хранения временных и вспомогательных файлов, создаваемых операционной системой при редактировании данных, работе с конфиденциальными программами и т. д. При этом ОС для создания временных и вспомогательных файлов пользуется специальным каталогом, работающим в режиме прозрачного шифрования и вся остаточная информация, размещаемая на жестком диске, оказывается закодированной.
1.2.9. Комплексный подход к защите информации
Мы уже отмечали, что защита информации предполагает комплексный и системный подход. Только взаимообусловленный, основанный на тщательном анализе самой компьютерной системы, комплекс защитных мер может обеспечить достаточный уровень безопасности обрабатываемой в АИС информации. Любое происшествие или успешная атака являются, как правило, следствием совокупности причин, реализацией нескольких угроз. Требования, перечисленные в п. 1.1. пособия, способны противостоять большинству угроз компьютерной информации, связанных с несанкционированным доступом злоумышленника на программном и аппаратном уровнях. Было бы интересно определить, насколько предложенный в п. 1.2. набор защитных методов соответствует вышеупомянутым требованиям. Проследить это соответствие можно с помощью табл. 1.3. В таблице не учитываются методы защиты, которые не связаны непосредственно с выполнением указанных требований: антивирусная защита, резервирование данных, сетевая защита, защита от утечки и перехвата информации по техническим каналам.
В таблице символом 9 обозначено, какие требования позволяет обеспечить тот или иной метод защиты. Из таблицы видно, что нет требований, которые не обеспечиваются ни одним из рассмотренных выше методов защиты. Хотя бы один из методов защиты реализует каждое из требований.
Наиболее важные требования обеспечиваются выполнением одновременно нескольких методов. В этом проявляется комплексный подход к защите компьютерной информации. Необходимость комплексного и системного подхода наглядно иллюстрируется на примере требования 2 — без регистрации никто не должен получать доступ к конфиденциальной информации. Методы, обеспечивающие выполнение этого требования, взаимосвязаны. Без достоверной аутентификации субъекта АИС не допустима загрузка операционной системы. Без идентификации и аутентификации пользователя также не имеют смысла регистрация сеанса его работы и реализация той или иной модели разграничения доступа.
44
Таблица 1.3 Требования к системе защиты информации и меры по их реализации
|
|
|
Методы защиты информации |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
Требования к системе |
идентификация и аутентификация |
|
ограничение доступа на вход в систему |
разграничение доступа |
регистрация событий (аудит) |
криптографическая защита |
контроль целостности |
управление политикой безопасности |
уничтожение «технологического мусора» |
|
защиты |
|
||||||||
|
компьютерной системы |
|
||||||||
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
1. |
Только зарегистрированные пользователи |
9 |
|
9 |
|
|
|
|
9 |
|
в разрешенное время могут загрузить ОС |
|
|
|
|
|
|
|
|
|
|
2. |
Без регистрации никто не должен получать |
9 |
|
9 |
9 |
|
9 |
|
9 |
9 |
доступ к конфиденциальной информации |
|
|
|
|
|
|
|
|
|
|
3. |
Пользователь должен быть уверен в |
|
|
9 |
9 |
|
|
9 |
9 |
|
«чистоте» компьютерной системы |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
4. |
Пользователи должны получать доступ |
|
|
|
|
|
|
|
|
|
только к той информации и с теми возможно- |
|
|
|
9 |
|
|
|
9 |
|
|
стями, которые соответствуют их функцио- |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
||
нальным обязанностям |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5. |
Пользователям разрешается применение |
|
|
|
|
|
|
|
|
|
только необходимых для обработки информа- |
|
|
|
9 |
|
|
|
9 |
|
|
ции программных средств |
|
|
|
|
|
|
|
|
|
|
6. |
Для хранения конфиденциальных данных |
|
|
|
|
|
|
|
|
|
должны использоваться только учтенные носи- |
|
|
|
9 |
|
|
|
9 |
|
|
тели |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
7. |
Конфиденциальная информация, в том |
|
|
|
|
|
|
|
|
|
числе ее фрагменты в виде «технологического |
9 |
|
9 |
9 |
|
9 |
|
9 |
9 |
|
мусора», не должна быть доступна иному субъ- |
|
|
|
|||||||
екту |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
8. |
В АИС автоматически должна вестись |
9 |
|
9 |
|
9 |
|
|
9 |
|
регистрация наиболее важных событий |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
9. |
При печати документов на бумажные |
|
|
|
|
|
|
|
|
|
носители автоматически должны фиксировать- |
|
|
|
|
9 |
|
|
9 |
|
|
ся факт распечатки в специальном журнале |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
||
и выводиться штамп на сам документ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
10. |
В АИС должен быть администратор безо- |
|
|
|
|
|
|
|
|
|
пасности, который обязан воплощать в жизнь |
|
|
|
|
|
|
|
9 |
|
|
политику безопасности |
|
|
|
|
|
|
|
|
|
|
45
В то же время, если злоумышленник получит физический доступ, например, к жесткому диску, то с помощью низкоуровневых дисковых редакторов он сумеет считать приватные данные в обход системы разграничения доступа. Противодействием атакам наиболее подготовленных злоумышленников может стать криптографическая защита информации. С другой стороны, правомерность обращения субъекта к самим программам шифрования, процесс ввода ключевой (аутентифицирующей) информации, блокирование вредоносных программ — перехватчиков паролей, находятся под контролем систем ограничения
иразграничения доступа. Таким образом, криптографическое преобразование конфиденциальных данных только в тесной взаимосвязи с механизмами ограничения и разграничения доступа способны гарантировать надежную защиту компьютерной информации от НСД. Этот же комплект методов защиты противодействует «программной» утечке конфиденциальной информации, обусловленной несовершенством операционных систем, в том числе наличием «технологического мусора» (требование 7).
Не менее показательным является требование аудита критических событий в АИС. На первый взгляд это требование может показаться обособленным
инезависимым от других требований и методов, их реализующих. Однако каким образом регистрировать, например, попытки несанкционированного входа в систему, если вход в нее не ограничен? Безусловно, само знание факта злоумышленных (подозрительных) действий в АИС важно для их пресечения. Фиксация конкретного лица, совершившего эти действия, позволит расследовать правонарушения и вести их профилактику более эффективно. Как выявлять злоумышленников, если в системе не ведутся идентификация и аутентификация пользователей?
Система защиты информации АИС — совокупность разнообразных средств и методов, взаимообусловливающих и дополняющих друг друга. Разумная, взвешенная, комплексная их реализация — непростая и творческая задача. Программно-аппаратные средства защиты информации помогают решить ее более целенаправленно и эффективно.
Осуществляя построение и эксплуатацию защищенной компьютерной системы, необходимо базироваться на принятой в организации политике безопасности, на представлении методов защиты компьютерной информации, с помощью которых могут быть реализованы требования политики безопасности, и на этой основе выбирать, устанавливать и администрировать специализированные программно-аппаратные средства защиты информации.
46
1.3.Классификация и общая характеристика программно-аппаратных средств защиты информации
Средства защиты информации (СЗИ) — технические, криптографические, программные и другие средства, предназначенные для реализации совокупности взаимосвязанных требований безопасности АС, а также средства контроля эффективности защиты информации. СЗИ являются надстройкой над программно-аппаратной средой защищаемой компьютерной системы и самостоятельно или совместно со встроенными возможностями АС реализуют некоторый набор защитных механизмов.
Классифицировать средства защиты можно по разным признакам. Однако основным критерием, по которому принято подразделять средства защиты информации, является их функциональность. Обычно по критерию функциональности выделяют три класса СЗИ (рис. 1.18). Средства криптографической защиты (СКЗИ) — средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности [7].
Средства защиты от несанкционированного доступа (СЗИ НСД) — средства,
реализующие комплекс организационных мер и программно-технических средств защиты от несанкционированного доступа к информации в автоматизированных системах [7]. В отдельный класс СЗИ можно выделить средства за-
щиты информации сетевого действия.
СЗИ
СЗИ |
|
СЗИ |
|
|
сетевого |
||
НСД |
|
||
СКЗИ |
действия |
||
|
Рис. 1.18. СЗИ различного назначения
К сожалению, СЗИ, реализующих полный набор подсистем безопасности, который удовлетворял бы требованиям руководящих документов [1–9], на сегодняшний день не существует. Представленные на рынке информационной безопасности и описываемые в данном пособии средства, как правило, располагают ограниченным (неполным) комплектом методов защиты и имеют свою
47
«специализацию». Типичный набор функциональных подсистем, который могут иметь в своем составе комплексные СЗИ, приведен на рис. 1.19.
Программно-аппаратное средство защиты информации от НСД
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
система |
|
|
|
|
|
система |
|
|
|
|
|
|
|
|
||||||||
система |
|
регистрации |
|
|
|
|
|
|
|
|
|
|
система |
|||||||||||||||
|
|
|
|
|
контроля |
|
|
|
|
|
||||||||||||||||||
управления |
|
|
и контроля |
|
|
|
|
|
|
криптографической |
||||||||||||||||||
|
|
|
|
целостности |
|
|
||||||||||||||||||||||
доступом |
|
|
критичных |
|
|
|
|
|
|
|
защиты |
|||||||||||||||||
|
|
|
|
|
|
|
данных |
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
событий |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подсистема |
|
|
подсистема |
|
|
|
|
подсистема |
|
|
|
|
|
|
||||||||||||||
доверенной |
|
разграничения |
|
|
|
|
замкнутой |
|
|
|
|
|
|
|||||||||||||||
загрузки |
|
|
|
доступа |
|
программной среды |
|
|
|
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
подсистема |
|
|
|
|
|
подсистема |
контроля |
|
|
|
|
|
|
|
|
|
|||||||||||
идентификации и |
|
|
|
|
|
целостности |
|
|
|
|
|
|
|
|
|
|||||||||||||
аутентификации |
|
|
|
|
|
системного ПО |
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
подсистема |
|
|
|
подсистема |
|
|
|
|
подсистема |
|
|
|
|
открытый |
||||||||||||||
сетевой |
|
|
уничтожения |
|
|
|
|
|
|
|
|
интерфейс |
||||||||||||||||
защиты |
|
|
|
остаточной |
|
|
|
|
шифрования |
|
|
|
подсистемы |
|||||||||||||||
(трафика) |
|
|
информации |
|
|
|
|
|
данных |
|
|
|
криптозащиты |
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 1.19. Защитные подсистемы СЗИ
СКЗИ предназначены для защиты конфиденциальной информации, хранящейся и обрабатываемой на персональных компьютерах, работающих, как правило, под управлением ОС семейства Microsoft Windows в многопользовательском режиме, когда организация доверенной загрузки АС нецелесообразна. Средства криптографической защиты гарантируют недоступность личных данных пользователей для остальных легальных субъектов, зарегистрированных в АС, и обеспечивают:
•шифрование информации с организацией индивидуального для каждого пользователя (группы пользователей) виртуального логического диска;
48
•шифрование по требованию отдельных документов, каталогов, томов и разделов жесткого диска;
•защиту от несанкционированного доступа к зашифрованным данным (в том числе со стороны системного администратора);
•двухфакторную аутентификацию пользователя для доступа к защищенным данным (на основе ввода парольной информации и сканирования внешних устройств памяти);
•разграничение и контроль доступа к зашифрованной информации;
•многопользовательскую и коллективную работу с защищенными данными;
•безопасное надежное «уничтожение» документов, в которых может храниться остаточная информация, при их удалении;
•очистку критичных областей памяти (свободных областей диска и хвостов файлов, файлов виртуальной памяти);
•организацию безопасного хранения «временных файлов», создаваемых ОС, путем переадресации каталога «ТЕМР» на шифруемый налету диск;
•защитные действия при возникновении «экстренных» ситуаций.
При шифровании информации СКЗИ применяют встроенные в ОС симметричные алгоритмы криптопреобразования (например, RC4) или имеющиеся в составе самого средства стандартные алгоритмы шифрования (3DES; CAST128; SAFER; Blowfish). СКЗИ предоставляют пользователю возможность подключать внешние программные модули, реализующие наиболее криптостойкие алгоритмы, в том числе по российскому ГОСТ 28147–89, например, эмулятор криптографической платы «Криптон» фирмы «Анкад».
Типичными представителями СКЗИ являются аппаратно-программные средства защиты информации «StrongDisk» (ООО «Физтех-Софт», г. Санкт-
Петербург) и «Secret Disk» (компания ALADDIN Software Security R.D.,
г. Москва), предназначенные для создания на дисковом пространстве локаль-
ной рабочей станции (Strong Disk Pro, Secret Disk NG) и сервера (Strong Disk Server, Secret Disk Server) защищенных дисков с ограниченным (многопользовательским) доступом. СКЗИ «Strong Disk» предоставляет пользователю возможность шифровать данные на лету с организацией виртуального диска. В состав средства входят удобные встраиваемые в оболочку Windows утилиты очистки остаточной информации: безопасного удаления файлов, очистки неиспользуемых областей жестких дисков, очистки «хвостов» файлов и файла виртуальной памяти (win386.swp). «Strong Disk» предлагает расширенные возможности при возникновении «форс-мажорных» ситуаций. Одна из последних разработок ООО «Физтех-Софт» обеспечивает криптографическую защиту информации на «карманных» персональных компьютерах (КПК). Средство рассчитано на индивидуальное пользование зашифрованными логическими дисками но, к сожалению, не использует отечественный ГОСТ шифрования.
СКЗИ «Secret Disk» (рис. 1.20) ориентировано на многопользовательский режим обработки приватных данных, хранящихся на зашифрованных виртуальных дисках или разделах винчестеров. «Secret Disk» реализует ролевую мо-
49
дель разграничения доступа. Средство позволяет зашифровывать «по требованию» отдельные каталоги и документы. «Secret Disk» имеет свой собственный встроенный алгоритм шифрования на основе 128-битного ключа и позволяет подключать внешние криптомодули.
Ключи зашифрования и расшифрования данных СКЗИ формируются только при подключении виртуального диска на основании пароля, вводимого пользователем, ключевой информации, хранящейся в файле-ключе и во внешнем носителе (электронные ключи Touch memory — «Strong Disk», ключи eToken — «Secret Disk»). Ключ шифрования хранится только в оперативной памяти ПЭВМ и никогда не выгружается на устройства постоянной памяти.
СКЗИ зашифровывают разделы винчестера целиком или организовывают виртуальные логические диски в виде непрерывного файла-образа. Прочитать файловую структуру таких дисков, не вводя ключевой информации, невозможно. Поэтому средства криптографической защиты не скрывают своего присутствия в компьютерной системе, но обеспечивают сокрытие наличия в ней конфиденциальных данных.
Рис. 1.20. СЗИ «Secret Disk»
Мы уже не раз отмечали, что СЗИ предназначены для защиты АС от несанкционированного доступа злоумышленника. «СЗИ от НСД» носят общее название, однако в первую очередь подразумевают организацию доверенной загрузки компьютерной системы. Такие СЗИ, как правило, имеют аппаратную составляющую и обеспечивают идентификацию и аутентификацию пользовате-
50