Введение.

Современными тенденциями развития информационных технологий явля­ется ярко выраженный переход в сторону создания корпоративных инфор­мационных систем. При этом основной характеристикой этих систем явля­ется разграничение доступа сотрудникам корпорации к информационным и иным ресурсам вычислительной системы. Причем данные тенденции про­являются практически для всех уровней иерархии современных информа­ционных технологий, начиная с архитектурного уровня в целом (Iniemet и Intranet), включая сетевые технологии (например, IP v.4.0 и IP Sec), и за­канчивая уровнем общесистемных средств (ОС, СУБД) и приложений.

Масштабы применения и приложения информационных технологий стали таковы, что наряду с проблемами производительности, надежности и устойчивости функционирования информационных систем, остро встает проблема защиты циркулирующей в системах информации от несанкцио­нированного доступа. Статистика фактов несанкционированного досту­па к информации (НСД) показывает, что большинство современных ин­формационных систем достаточно уязвимо с точки зрения безопасности. ♦ Средняя стоимость финансовых потерь компании от НСД составляет

от $5 тыс. до $12 тыс. (CSI, 2002 г.). » Общий ущерб, который понесли компании в 2002 году от НСД,

оценивается в $24 млрд. (Forrest Research, 2002 г.). » В 80% утечка информации из компании происходит непосредственно по вине ее сотрудников (IDC, 2002 г.).

И это несмотря на устойчивую тенденцию к усилению встроенных в них механизмов зашиты.

Другой аспект приведенной статистики — это возможность локализации угроз корпоративной информации, так как большая их часть связана с уг­розой НСД, исходящей от самих сотрудников компании. При этом сле­дует учитывать и сетевые ресурсы (прежде всего в составе ЛВС), к кото­рым сотрудник имеет доступ со своего компьютера в рамках своей служебной деятельности.

В связи с этим именно компьютер (особенно находящийся в составе сети) следует в первую очередь рассматривать в качестве объекта защиты, а конечного пользователя ~ в качестве ее наиболее вероятного потенци­ального нарушителя. Как следствие, под сомнение ставится обоснованность концепции реализованной системы защиты в современных универсальных ОС. Эта система защиты заключается в построении распределенной схемы администрирования механизмов зашиты, элементами которой, помимо администратора, выступают пользователи, имеющие возможность назна­чать и изменять права доступа к создаваемым ими файловым объектам. На практике сегодня существует два подхода к обеспечению компьютер­ной безопасности:

1. Использованиетолько встроенных в ОС и приложения средств зашиты.

2. Применение, наряду со встроенными, дополнительных механиз­мов зашиты. Этот подход заключается в использовании так назы­ваемых технических средств добавочной зашиты -- программных, либо программно-аппаратных комплексов, устанавливаемых на защищаемые объекты.

Существующая статистика ошибок, обнаруженных в ОС, а также сведения о недостаточной эффективности встроенных в ОС и приложения механиз­мов защиты, заставляет специалистов сомневаться в достижении гаранти­рованной зашиты от НСД, при использовании встроенных механизмов, и все большее внимание уделять средствам добавочной зашиты информации.

1.1. Общие положения

Естественным ходом развитии информационных технологий является прин­ципиальный переход от открытости к защищенности при построении информационных систем. На сегодняшний день большинство программ­ных продуктов, применяющихся для построения информационных сис­тем, обладают встроенными средствами зашиты. Это касаетсн не только ОС, но СУБД и других приложений. Например, взамен протокола IP \4.0, изначально созданного для реализации единого открытого сетевого про­странства, предлагается версия протокола IPSec, содержащая развитые возможности обеспечения информационной безопасности. Таким обра­зом, наблюдается общая тенденция усиления роли механизмов зашиты в современных информационных и сетевых технологиях.

Данную тенденцию наглядно иллюстрирует развитие ОС MS Windows. Можно четко проследить развитие встроенных в ОС механизмов защиты ОТ Windows 3.I (где механизмы зашиты практически отсутствовали), к Windows NT (где механизмы защиты интегрированы в ядро ОС) и к Windows 2000 (где интеграция захватывает и внешние по отношению к разработчикам технологии зашиты, такие как Kcrbcros, IP-тунелирование и тл.>. То же самое можно сказать и о других семействах ОС Например, в ОС Free BSD в каждой из новых версий ПОЯВЛЯЮТСЯ новые механизмы защиты (firewall, nal). Такое же развитие средств защиты касается и при­кладного программного обеспечения (ПО). В СУБД (Oracle) развитие за­щитных механизмов выражается в шифровании трафика, усложнении ав­торизации, добавлении разграничения доступа к элементам таблиц и т.п.

Используемые в настоящее время на практике (а, естественно, именно это нас и будет интересовать) подходы к защите компьютерной инфор­мации определяются следующим характеристиками:

* формализованными требованиями к набору и параметрам механизмов защиты, регламентирующими современные требования к обеспече­нию компьютерной безопасности (требованиями, определяющими что должно быть);

» реальными механизмами защиты, реализуемыми при защите компью­терной информации. К таковым относятся прежде всего средства защиты ОС, т.к. большинство приложений используют встроенные в ОС механизмы защиты (определяющими, что есть);

« существующей статистикой угроз компьютерной безопасности — суще­ствующими успешными атаками на информационные компьютерные ресурсы (определяющими, насколько эффективно то, что есть и даю­щими оценку достаточности требований к тому, что должно быть).

С учетом сказанного построим свое изложение и анализ существующих подходов к защите компьютерной информации следующим образом. Для начала рассмотрим формализованные требования, то есть требования со­ответствующих нормативных документов, регламентирующих требования к защите компьютерной информации от несанкционированного досту­па. Далее рассмотрим механизмы защиты, реализованные в современных ОС и проанализируем, в какой мере ими выполняются требования соот­ветствующих нормативных документов.

Такой анализ необходим, чтобы определиться с причиной низкой защи­щенности компьютерной информации. Если встроенные в современные ОС механизмы защиты в полной мере соответствуют формализованным требованиям к ним, то, следовательно, эти требования необходимо уси­ливать. В противном случае необходимо усиливать механизмы защиты с целью выполнения соответствующих требований.

Классификация требований к системам защиты

В общем случае следует говорить о необходимости учета двух (дополня­ющих друг друга) групп требований к системе защиты.

Первая группа требований (необходимые требования) заключается в необ­ходимости реализации системой зашиты формализованных мер безопас­ности (то есть мер, заданных соответствующими нормативными докумен­тами в области защиты информации).

Формализованные требования к необходимым механизмам защиты ин­формационных систем, в части их защиты от НСД, сформулированы в руководящих документах ГОСТЕХКОМИССИИ РОССИИ (для нашей страны). Для других стран эти требования сформулированы в докумен­тах соответствующих организации, например:

* «Оранжевая книга» КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ КОМ­ПЬЮТЕРНЫХ СИСТЕМ Министерства обороны США » Согласованные критерии оценки безопасности информационных тех­нологий. Information Technology Security Evaluation Criteria, ITSEC, Европейские страны. При этом отметим, что данные документы носят общий характер. В них не в полной мере предусматривается классификация объектов, для кото­рых должна быть реализована зашита. Да наверное, это и невозможно в рамках одного документа. В частности, эти документы предъявляют еди­ные требования для все\ семейств ОС. И это несмотря на то, что ОС различных семейств имени принципиально отличные принципы постро­ения, а значит, для них различаются и способы НСД

В указанных руководящих документах не дается рекомендаций по спо­собам построения и администрирования защищенных систем, то есть не сказано, как их строить. В этих документах лишь сформулированы требования (что должно быть реализовано) к механизмам зашиты инфор­мации и, отчасти, требования к их количественным характеристикам.

Данный подход к заданию формализованных требований, наверное, в целом оправдан, т.к. невозможно учесть в нормативных документах все тонкости построения и проектирования средств защиты сложных инфор­мационных систем, особенно при существующей динамике их развития.

Далее в работе по понятным причинам будут рассматриваться формализо­ванные требования, принятые в нашей стране на момент написания книги.

Вторая группа требований (дополнительные требования) заключается в необходимости учета существующей (текущей) статистики угроз для кон­кретного типа защищаемого объекта, а также потенциально возможных угроз (на данный момент отсутствующих в опубликованных угрозах, но гипотетически возможных). Необходимость этой группы требований обус­ловлена тем, что формализованные требования не могут учитывать все возможные угрозы объектам всех типов, требующих защиты. Также формализованные требования не могут соперничать по скорости обнов­ления со скоростью изменения статистики угроз.

С учетом сказанного может быть сделан вывод о целесообразности рас­смотрения условий необходимости и достаточности требований к защи­те информации. Необходимыми являются формализованные требования, определяемые соответствующими нормативными документами в области защиты информации. Достаточной является совокупность формализован­ных и дополнительных требований, формулируемых на основе анализа текущей статистики угроз защищаемом)' объекту, а также потенциально возможных угроз (на данный момент отсутствующих в опубликованных угрозах, но гипотетически возможных).

1.2.1. Формализованные требования к защите и их классификация

Как было сказано ранее, общие подходы в системах зашиты целесооб­разно рассматривать относительно соответствия их принятым формали­зованным требованиям. Эти требования предъявляются к механизмам зашиты, которые в той или иной мере реализуются современными ОС, приложениями и добавочными средствами зашиты.

Защиту информации от НСД в нашей стране на сегодняшний день регла­ментируют нормативные документы (I, 2| ГОСТЕХКОМИССИИ РОССИИ:

• Требования к защите средств вычислительной техники (СВТ) [1), фор­мализуют условия защищенности отдельно взятого средства — ОС, СУБД, приложения.

* Требования к защите автоматизированных систем (АС) [2), формализу­ют условия защищенности объекта с учетом:

• совокупности механизмов защиты, реализуемых установленны­ми на защищаемом объекте средствами, включая ОС, СУБД (если есть), приложениями, добавочными механизмами защиты (если есть);

* дополнительных организационных мер, принимаемых для безо­пасного функционирования АС.

При этом отметим, что, как правило, приложения используют механизмы защиты ОС. Что касается СУБД, то механизмы защиты СУБД дополняют защитные механизмы ОС, так как возникает необходимость защиты до­полнительных объектов доступа — «таблиц». И действительно, для ОС защищаемыми файловыми объектами являются: логические диски (тома), каталоги, файлы. При работе с базами данных сложность обусловлена тем, что таблицы рапнчных пользователей, к которым должен разграничиваться доступ, могут находиться в одном файле. Таким образом, получается, что в общем случае невозможно управлять доступом к базам данных только механизмами защиты ОС. Однако это относится только к СУБД. Осталь­ные приложения обычно довольствуются защитными механизмами ОС То есть, можно сказать, что, как правило, все механизмы зашиты автоматизи­рованных систем (АС) но умолчанию реализуются собственно ОС.

В общем случае формализованные требования к обеспечению зашиты компьютерной информации от НСД (т.е. к средствам защиты ОС) задаются формализованными требованиями к защите средств вычислитель­ной техники (СВТ> (1J. Однако, в связи с вышесказанным, будем для оиенки эффективности защитных механизмов ОС также использовать формализованные требования из документа (2|. применяемые к автома­тизированным системам (АС). Это следует делать, потому что именно защитные механизмы ОС призваны обеспечивать необходимый уровень защиты автоматизированной системы (АС) в целом. Аналогичные рассуждения могут быть проведены и относительно сред-ствадобавочной защиты. При этом, во-первых, ономожетрассматривать-ся как отдельное СВТ, выполняющее формализованные требования до­кумента |1|. В этом случае встроенные в ОС механизмы защиты не должны рассматриваться. А во-вторых, оно может рассматриваться как средство в составе АС (наряду с механизмами ОС, дополняя их). В этом случае встроенные в ОС и добавочные механизмы защиты должны в со­вокупности выполнять формализованные требования документа [2], Кроме того, для определенных классов защиты встроенные механизмы защиты должны быть сертифицированы.

Рассмотрим формализованные требования к защите компьютерной ин­формации АС в соответствии с документом (2|. При этом будем рассмат­ривать первую группу АС (в соответствии с используемой в (2| класси­фикацией), как включающую в себя наиболее распространенные многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Причем не все пользователи имеют право доступа ко всей информации АС.

Первая группа АС содержит пять классов — 1Д 1Г, 1В, 1Б и 1 А. Деление АС на соответствующие классы по условиям их функционирования сточки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты. Дифферен­циация подхода к выбору методов и средств защиты определяется важнос­тью обрабатываемой информации, а также различием АС по своему соста­ву, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала |2|.

Требования к АС первой группы сведены в табл. 1.1. При этом исполь­зуются следующие обозначения:

« — »..........нет требований к данному классу;

« + »...........есть требования к данному классу.

Кжвидим,рассматриваемымитре(>ованиямивыделяютсяследующие основные группы механизмов зашиты:

- механизмы управления доступом;

• механизмы регистрации и учета;

• механизмы криптографическойзащиты;

• механизмы контроля целостности.

Отметим, что первая группа «Подсистема управления доступом» являет­ся основополагающей для реализации зашиты от НСД, т.к. именно ме­ханизмы зашиты данной группы призваны непосредственно противодей­ствовать несанкционированному доступу к компьютерной информации.

Остатьные же группы механизмов реализуются в предположении, ЧТО механизмы зашиты первой группы могут быть преодолены злоумышлен­ником. В частности они могут использоваться:

* для контроля действий пользователя —группа «Подсистема регистра­ции и учета»;

« для противодействия возможности прочтения похищенной информа­ции (например, значений паролей и данных)— группа -Криптогра­фическая подсистема»;

•для контроля осуществленных злоумышленником изменений защи­щаемых объектов (исполняемых файлов и файлов данных) при осу­ществлении к ним ПС Л и лля восстановления защищаемой информа­ции из резервных копий • • группа «Подсистема обеспечения целостности».

Кроме того, эти группы механизмов могут использоваться для проведе­ния расследования по факту НСД.

Рассмотрим более подробно требования различных групп (согласно (21), а также соответсвующие им основные подходы к защите компьютерной информации, реатизуемые на сегодняшний день на практике. При этом имеет смысл остановиться лишь на двух классах:

-

1Г, задающим необходимые (минимальные) требования для обработ­ки конфиденциатьной информации;

IB, задающим необходимые (миниматьные) требования для обработ­ки информации, являющейся собственностью государства и отнесен­ной к категории секретной.