3. Основы противодействий нарушению конфиденциальности информации

Требования безопасности определяют набор средств защиты КС на всех этапах ее существования: от разработки спецификации на проектирование аппаратных и программных средств до их списания. Рассмотрим комплекс средств защиты КС на этапе ее эксплуатации.

На этапе эксплуатации основной задачей защиты информации в КС является предотвращение НСД к аппаратным и программным средствам, а также контроль целостности этих средств. НСД может быть предотвращен или существенно затруднен при организации следующего комплекса мероприятий:

• идентификация и аутентификация пользователей;

• мониторинг несанкционированных действий — аудит;

• разграничение доступа к КС;

• криптографические методы сокрытия информации;

• защита КС при работе в сети.

При создании защищенных КС используют фрагментарный и комплексный подход. Фрагментарный подход предполагает последо­вательное включение в состав КС пакетов защиты от отдельных клас­сов угроз. Например, незащищенная КС снабжается антивирусным пакетом, затем системой шифрования файлов, системой регистрации действий пользователей и т.д. Недостаток этого подхода в том, что внедряемые пакеты, произведенные, как правило, различными пользователями, плохо взаимодействуют между собой и могут всту­пать в конфликты друг с другом. При отключении злоумышленни­ком отдельных компонентов защиты остальные продолжают работать, что значительно снижает ее надежность

Комплексный подход предполагает введение функций защиты в КС на этапе проектирования архитектуры аппаратного и системно­го программного обеспечения и является их неотъемлемой частью. Однако, учитывая вероятность появления новых классов угроз, мо­дули КС, отвечающие за безопасность, должны иметь возможность заменены их другими, поддерживающими общую концепцию за­щиты.

Организация надежной защиты КС невозможна с помощью только программно-аппаратных средств. Очень важным является ад­министративный контроль работы КС. Основные задачи админист­ратора по поддержанию средств защиты заключаются в следующем:

• постоянный контроль корректности функционирования КС и ее защиты;

• регулярный просмотр журналов регистрации событий;

• организация и поддержание адекватной политики безопасности;

• инструктирование пользователей ОС об изменениях в системе защиты, правильного выбора паролей и т.д.;

• регулярное создание и обновление резервных копий программ и данных;

• постоянный контроль изменений конфигурационных данных и политики безопасности отдельных пользователей, чтобы вовре­мя выявить взлом защиты КС.

Рассмотрим подробнее наиболее часто используемые методы за­щиты и принципы их действия.

3.1. Методы разграничения доступа

При организации доступа субъектов к объектам выполняются следующие действия:

• идентификация и аутентификация субъекта доступа;

• проверка прав доступа субъекта к объекту;

• ведение журнала учета действий субъекта.

Идентификация и аутентификация пользователей

При входе в КС, при получении доступа к программам и кон­фиденциальным данным субъект должен быть идентифицирован и аутентифицирован. Эти две операции обычно выполняются вместе, т.е., пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает сек­ретные сведения, подтверждающие, что он тот, за кого себя выдает.

Иногда проводится дополнительно авторизация субъекта, под которой понимается создание программной среды для его работы. Но основными средствами обеспечения безопасности являются иденти­фикация и аутентификация.

Обычно данные, идентифицирующие пользователя, не засекре­чены, но для усложнения проведения атак по НСД желательно хра­нить эти данные в файле, доступ к которому возможен только адми­нистратору системы.

Для аутентификации субъекта чаще всего используются атрибу­тивные идентификаторы, которые делятся на следующие категории:

• пароли;

• съемные носители информации;

• электронные жетоны;

• пластиковые карты;

• механические ключи.

Паролем называют комбинацию символов, которая известна только владельцу пароля или, возможно, администратору системы безопасности. Обычно пароль вводится со штатной клавиатуры пос­ле включения питания. Возможен ввод пароля с пульта управления или специального наборного устройства. При организации парольной защиты необходимо выполнять следующие рекомендации:

1. Пароль необходимо запоминать, а не записывать.

2. Длина пароля должна быть не менее девяти символов.

3. Пароли должны периодически меняться.

4. В КС должны фиксироваться моменты времени успешного по­лучения доступа и неудачного ввода пароля. Информация о по­пытках неверного ввода пароля должны подвергаться статистической обработке и сообщаться администратору.

5. Пароли должны храниться в КС так, чтобы доступ к ним был затруднен. Это достигается двумя способами:

• пароли хранятся в специальном ЗУ, запись в которое осуще­ствляется в специальном режиме;

• пароли подвергаются криптографическому преобразованию (шифрованию).

6. При вводе пароля не выдавать никаких сведений на экран, что­бы затруднить подсчет введенных символов.

7. Не использовать в качестве паролей имена и фамилии, дни рож­дения и географические или иные названия. Желательно менять при вводе пароля регистры, использовать специальные символы, набирать русский текст на латинском регистре, использовать парадоксальные сочетания слов.

В настоящее время аппаратура КС поддерживает ввод пароля до начала загрузки операционной системы. Такой пароль хранится в энергонезависимой памяти и обеспечивает предотвращение НСД до загрузки любых программных средств. Этот пароль считается эффек­тивным средством, если злоумышленник не имеет доступа к аппа­ратуре КС, так как отключение внутреннего питания сбрасывает этот пароль.

Другие способы идентификации (съемные носители, карты и др.) предполагают наличие технических средств, хранящих идентифика­ционную информацию. Съемный носитель, содержащий идентифи­кационную информацию — имя пользователя и его пароль, находится у пользователя КС, которая снабжена устройством для считывания информации с носителя.

Для идентификации и аутентификации часто используется стан­дартный гибкий диск или флэш-память. Достоинства такого иден­тификатора заключаются в том, что не требуется использования до­полнительных аппаратных средств и кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др.

Иногда, для повышения уровня защищенности, используются специальные переносные электронные устройства, подключаемые, например, к стандартным входам КС. К ним относится электронный жетон-генератор — прибор, вырабатывающий псевдослучайную сим­вольную последовательность, которая меняется примерно раз в ми­нуту синхронно со сменой такого же слова в КС. Жетон использует­ся для однократного входа в систему. Существует другой тип жетона, имеющего клавиатуру и монитор. В процессе идентификации КС вы­дает случайную символьную последовательность, которая набирает­ся на клавиатуре жетона, по ней на мониторе жетона формируется новая последовательность, которая вводится в КС как пароль.

К недостатку способа идентификации и аутентификации с помощью дополнительного съемного устройства можно отнести воз­можность его потери или хищения.

Одним из надежных способов аутентификации является биомет­рический принцип, использующий некоторые стабильные биометри­ческие показатели пользователя, например, отпечатки пальцев, ри­сунок хрусталика глаза, ритм работы на клавиатуре и др. Для снятия отпечатков пальцев и рисунка хрусталика требуются специальные устройства, которые устанавливаются на КС высших уровней защи­ты. Ритм работы при вводе информации проверяется на штатной клавиатуре КС и, как показывают эксперименты, является вполне стабильным и надежным. Даже подглядывание за работой пользова­теля при наборе ключевой фразы не дает гарантии идентификации злоумышленника при его попытке повторить все действия при на­боре фразы.

Методы ограничения доступа к информации

В модель информационной безопасности введены определения объекта и субъекта доступа. Каждый объект имеет некоторые опера­ции, которые над ним может производить субъект доступа, и которые могут быть разрешены или запрещены данному субъекту или множеству субъектов. Возможность доступа обычно выясняется на уровне операционной системы КС и определяется архитектурой операционной системы и текущей политикой безопасности. Для удоб­ства описания методов и средств разграничения доступа субъектов к объектам введем некоторые понятия.

Метод доступа к объекту — операция, определенная для данно­го объекта. Ограничение доступа к объекту связано именно с огра­ничением возможных методов доступа.

Владелец объекта — субъект, которому принадлежит (создан им) объект и который несет ответственность за конфиденциальность со­держащейся в объекте информации, а также за доступ к объекту.

Право доступа к объекту — право на доступ к объекту по одно­му или группе методов доступа.

Разграничение доступа — совокупность правил, определяющая для каждой тройки субъект-объект-метод наличие или отсутствие пра­ва доступа по указанному методу.

Существует несколько моделей разграничения доступа. Наибо­лее распространенными являются:

• дискреционная модель разграничения доступа;

• полномочная (мандатная) модель разграничения доступа. Дискреционная модель, или избирательное разграничение досту­па, характеризуется следующим набором правил:

• для любого объекта существует владелец;

• владелец может произвольно ограничивать доступ субъектов к данному объекту;

• для каждой тройки субъект-объект-метод возможность доступа определена однозначно;

• существует хотя бы один привилегированный пользователь (администратор), имеющий возможность обратиться к любому объекту по любому методу доступа.

В этой модели для определения прав доступа используется мат­рица доступа, строки которой — субъекты, а столбцы — объекты. В каждой ячейке хранится набор прав доступа данного субъекта к данному объекту. Типичный объем матрицы доступа для современ­ной операционной системы составляет десятки мегабайт.

Полномочная (мандатная) модель характеризуется следующим набором правил:

• каждый объект имеет гриф секретности. Чем выше его числовое значение, тем секретнее объект;

• каждый субъект доступа имеет уровень допуска.

Допуск субъекта к объекту в этой модели разрешен только в том случае, если субъект имеет значение уровня допуска не менее, чем значение грифа секретности объекта. Достоинством этой модели яв­ляется отсутствие необходимости хранить большие объемы инфор­мации о разграничении доступа. Каждый субъект хранит только зна­чение своего уровня доступа, а каждый объект — значение своего грифа секретности.

Отметим, что политика безопасности такой популярной опера­ционной системы, как Windows ХР, поддерживает обе модели разгра­ничения прав доступа.

Методы мониторинга несанкционированных действий

Политика безопасности предполагает контроль за работой КС и ее компонентов, который заключается в фиксировании и последую­щим анализе событий в специальных журналах — журналах аудита.

Периодически журнал просматривается администратором операци­онной системы или специальным пользователем — аудитором, кото­рые анализируют сведения, накопленные в нем.

Если обнаружится успешная атака, то очень важно выяснить, когда и как она была проведена, не исключено, что это можно будет сделать по журналу аудита.

К подсистеме аудита предъявляются следующие требования:

1. Только сама КС может добавлять записи в журнал аудита. Это исключит возможность компрометации аудитором других пользователей.

2. Ни один субъект доступа, в том числе и сама КС, не может ре­дактировать или удалять записи в журнале.

3. Журнал могут просматривать только аудиторы, имеющие соот­ветствующую привилегию.

4. Только аудиторы могут очищать журнал. После очистки в него обязательно вносится запись о времени и имени пользователя, очистившего журнал. Должна поддерживаться страховая копия журнала, создаваемая перед очисткой. При переполнении журнала операционная система прекращает работу, и дальнейшая работа может осуществляться до очистки журнала только аудитором.

5. Для ограничения доступа должны применяться специальные средства защиты, которые предотвращают доступ администрато­ра и его привилегии по изменению содержимого любого файла. Желательно страховую копию журнала сохранять на WORM-CD, исключающих изменение данных.

Для обеспечения надежной защиты операционной системы в журнале должны регистрироваться следующие события:

• попытки входа/выхода пользователей из системы;

• попытки изменения списка пользователей;

• попытки изменения политики безопасности, в том числе и политики аудита.

Окончательный выбор набора событий, фиксируемых в журна­ле, возлагается на аудитора и зависит от специфики информации, обрабатываемой системой. Слишком большой набор регистрируемых событий не повышает безопасность, а уменьшает, так как среди мно­жества записей можно просмотреть записи, представляющие угрозы безопасности