- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
У справі забезпечення інформаційної безпеки успіх може принести тільки комплексний підхід. Ми вже вказували, що для захисту інтересів суб'єктів інформаційних відносин необхідно поєднувати заходи наступних рівнів:
законодавчого;
адміністративного (накази та інші дії керівництва організацій, пов'язаних з захищеними інформаційними системами);
процедурного (заходи безпеки, орієнтовані на людей);
програмно-технічного.
Законодавчий рівень є найважливішим для забезпечення інформаційної безпеки. Більшість людей не роблять протиправних дій не тому, що це технічно неможливо, а тому, що це засуджується і / або карається суспільством, тому, що так чинити не прийнято.
Ми будемо розрізняти на законодавчому рівні дві групи заходів:
заходи, спрямовані на створення і підтримку в суспільстві негативного (в тому числі із застосуванням покарань) відношення до порушень і порушників інформаційної безпеки (назвемо їх заходами обмежувальної спрямованості);
направляючі і координуючі заходи, що сприяють підвищенню освіченості суспільства в області інформаційної безпеки, які допомагають у розробці та розповсюдженні засобів забезпечення інформаційної безпеки (заходи творчої спрямованості).
На практиці обидві групи заходів важливі в рівній мірі, але нам хотілося б виділити аспект усвідомленого дотримання норм і правил ІБ. Це важливо для всіх суб'єктів інформаційних відносин, оскільки розраховувати тільки на захист силами правоохоронних органів було б наївно. Необхідно це і тим, у чиї обов'язки входить карати порушників, оскільки забезпечити доказовість при розслідуванні та судовому розгляді комп'ютерних злочинів без спеціальної підготовки неможливо.
Найважливіше (і, ймовірно, найважче) на законодавчому рівні - створити механізм, що дозволяє погодити процес розробки законів з реаліями і прогресом інформаційних технологій. Закони не можуть випереджати життя, але важливо, щоб відставання не було занадто великим, тому що на практиці, крім інших негативних моментів, це веде до зниження інформаційної безпеки.
8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
Основні поняття
Ми приступаємо до огляду стандартів і специфікацій двох різних видів:
оціночних стандартів, спрямованих на класифікацію інформаційних систем і засобів захисту за вимогами безпеки;
технічних специфікацій, що регламентують різні аспекти реалізації засобів захисту.
Важливо відзначити, що між цими видами нормативних документів немає глухої стіни. Оціночні стандарти виділяють найважливіші, з точки зору ІБ, аспекти ІВ, граючи роль архітектурних специфікацій. Інші технічні специфікації визначають, як будувати ІС продиктованої архітектури.
Історично першим оцінним стандартом, отримав широке розповсюдження і зробив величезний вплив на базу стандартизації ІБ в багатьох країнах, став стандарт Міністерства оборони США "Критерії оцінки довірених комп'ютерних систем".
Дана праця, званий найчастіше за кольором обкладинки "Помаранчевої книгою", була вперше опублікована в серпні 1983 року. Вже одне його назва потребує коментаря. Мова йде не про безпечні, а про довірених системах, тобто системах, яким можна надати певну ступінь довіри.
"Помаранчева книга" пояснює поняття безпечної системи, яка "управляє, з допомогою відповідних засобів, доступом до інформації, так що тільки належним чином авторизовані особи або процеси, що діють від їхнього імені, отримують право читати, записувати, створювати і видаляти інформацію".
Очевидно, однак, що абсолютно безпечних систем не існує, це абстракція. Є сенс оцінювати лише ступінь довіри, який можна надати тій чи іншій системі.
У "Помаранчевої книзі" довірена система визначається як "система, що використовує достатні апаратні і програмні засоби, щоб забезпечити одночасну обробку інформації різного ступеня секретності групою користувачів без порушення прав доступу".
Звернемо увагу, що в розглянутих Критеріях і безпека, і довіра оцінюються виключно з точки зору управління доступом до даних, що є одним із засобів забезпечення конфіденційності і цілісності (статичної). Питання доступності "Помаранчева книга" не зачіпає.
Ступінь довіри оцінюється за двома основними критеріями.
1. Політика безпеки - набір законів, правил і норм поведінки, що визначають, як організація обробляє, захищає і поширює інформацію. Зокрема, правила визначають, у яких випадках користувач може оперувати конкретними наборами даних. Чим вище ступінь довіри системі, тим суворіше і різноманітніше повинна бути політика безпеки. У залежності від сформульованої політики можна вибирати конкретні механізми забезпечення безпеки. Політика безпеки - це активний аспект захисту, що включає в себе аналіз можливих загроз і вибір заходів протидії.
2. Рівень гарантованості - міра довіри, яка може бути надана архітектурі та реалізації ІС. Довіра безпеки може виникати як з аналізу результатів тестування, так і з перевірки (формальної чи ні) загального задуму і реалізації системи в цілому і окремих її компонентів. Рівень гарантованості показує, наскільки коректні механізми, що відповідають за реалізацію політики безпеки. Це пасивний аспект захисту.
Важливим засобом забезпечення безпеки є механізм підзвітності (протоколювання). Довірена система повинна фіксувати всі події, що стосуються безпеки. Ведення протоколів має доповнюватися аудитом, тобто аналізом реєстраційної інформації.
Концепція довіреної обчислювальної бази є центральною при оцінці ступеня довіри безпеки. Довірена обчислювальна база - це сукупність захисних механізмів ІС (включаючи апаратне і програмне забезпечення), що відповідають за проведення в життя політики безпеки. Якість обчислювальної бази визначається виключно її реалізацією і коректністю вихідних даних, які вводить системний адміністратор.
Взагалі кажучи, компоненти поза обчислювальної бази можуть не бути довіреними, однак це не повинно впливати на безпеку системи в цілому. У результаті, для оцінки довіри безпеки ІС досить розглянути тільки її обчислювальну базу, яка, як можна сподіватися, достатньо компактна.
Основне призначення довіреної обчислювальної бази - виконувати функції монітора звернень, тобто контролювати допустимість виконання суб'єктами (активними сутностями ІС, що діють від імені користувачів) певних операцій над об'єктами (пасивними сутностями).Монітор перевіряє кожне звернення користувача до програм або даними на предмет узгодженості з набором дій, допустимих для користувача.
Монітор звернень повинен володіти трьома якостями:
1. Ізольованість. Необхідно попередити можливість відстежування роботи монітора.
2. Повнота. Монітор повинен викликатися при кожному зверненні, не повинно бути способів обійти його.
3. Верифіковані. Монітор повинен бути компактним, щоб його можна було проаналізувати та протестувати, будучи впевненим у повноті тестування.
Реалізація монітора звернень називається ядром безпеки. Ядро безпеки - це основа, на якій будуються всі захисні механізми. Крім перерахованих вище властивостей монітора звернень, ядро має гарантувати власну незмінність.
Кордон довіреної обчислювальної бази називають периметром безпеки. Як вже вказувалося, компоненти, що лежать поза периметром безпеки, взагалі кажучи, можуть не бути довіреними. З розвитком розподілених систем поняттю "периметр безпеки" все частіше надають інший сенс, маючи на увазі кордон володінь певної організації. Те, що знаходиться всередині володінь, вважається довіреною, а те, що поза, - ні.
Механізми безпеки
Згідно з "Помаранчевої книзі", політика безпеки повинна обов'язково включати в себе наступні елементи:
• довільне керування доступом;
• безпека повторного використання об'єктів;
• мітки безпеки;
• примусове управління доступом.
Довільне керування доступом (зване іноді дискреційним) - це метод розмежування доступу до об'єктів, заснований на обліку особистості суб'єкта або групи, в яку суб'єкт входить. Довільність управління полягає в тому, що деякий особа (звичайно власник об'єкта) може на власний розсуд надавати іншим суб'єктам господарювання чи відбирати у них права доступу до об'єкта.
Безпека повторного використання об'єктів - важливе доповнення засобів управління доступом, що охороняє від випадкового або навмисного вилучення конфіденційної інформації з "сміття". Безпека повторного використання повинна гарантуватися для областей оперативної пам'яті (зокрема, для буферів з образами екрану, розшифрованими паролями і т.п.), для дискових блоків і магнітних носіїв в цілому.
Як ми вказували раніше, сучасний об'єктно-орієнтований підхід різко звужує область дії даного елемента безпеки, ускладнює його реалізацію. Те ж вірно і для інтелектуальних пристроїв, здатних буферизувати великі обсяги даних.
Для реалізації примусового управління доступом з суб'єктами і об'єктами асоціюються мітки безпеки. Мітка суб'єкта описує його благонадійність, мітка об'єкта - ступінь конфіденційності міститься в ньому інформації.
Згідно з "Помаранчевої книзі", мітки безпеки складаються з двох частин - рівня секретності і списку категорій. Рівні секретності утворюють упорядкований безліч, категорії - невпорядковане. Призначення останніх - описати предметну область, до якої відносяться дані.
Примусове (або мандатну) управління доступом грунтується на зіставленні міток безпеки суб'єкта та об'єкта.
Суб'єкт може читати інформацію з об'єкта, якщо рівень секретності суб'єкта не нижче, ніж в об'єкта, а всі категорії, перераховані в мітці безпеки об'єкта, присутні в мітці суб'єкта. У такому випадку говорять, що мітка суб'єкта домінує над міткою об'єкта. Сенс сформульованого правила зрозумілий - читати можна тільки те, що належить.
Суб'єкт може записувати інформацію в об'єкт, якщо мітка безпеки об'єкта домінує над міткою суб'єкта. Зокрема, "конфіденційний" суб'єкт може записувати дані в секретні файли, але не може - в несекретні (зрозуміло, повинні також виконуватися обмеження на набір категорій).
Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб'єктів (навіть системних адміністраторів). Після того, як зафіксовані мітки безпеки суб'єктів і об'єктів, виявляються зафіксованими і права доступу.
Якщо розуміти політику безпеки вузько, тобто як правила розмежування доступу, то механізм підзвітності є доповненням подібної політики. Мета підзвітності - у кожен момент часу знати, хто працює в системі і що робить. Засоби підзвітності діляться на три категорії:
ідентифікація та аутентифікація;
надання довіреної шляху;
аналіз реєстраційної інформації.
Звичайний спосіб ідентифікації - введення імені користувача при вході в систему. Стандартний засіб перевірки автентичності (аутентифікації) користувача - пароль.
Довірений шлях пов'язує користувача безпосередньо з довіреної обчислювальної базою, минаючи інші, потенційно небезпечні компоненти ІС. Мета надання довіреної шляху - дати користувачеві можливість переконатися в достовірності обслуговуючої його системи.
Аналіз реєстраційної інформації (аудит) має справу з діями (подіями), так чи інакше зачіпають безпеку системи.
Якщо фіксувати всі події, обсяг реєстраційної інформації, швидше за все, буде рости занадто швидко, а її ефективний аналіз стане неможливим."Помаранчева книга" передбачає наявність засобів вибіркового протоколювання, як щодо користувачів (уважно стежити тільки за підозрілими), так і щодо подій.
Переходячи до пасивних аспектів захисту, зазначимо, що в "Помаранчевої книзі" розглядається два види гарантованості - операційна і технологічна. Операційна гарантованість відноситься до архітектурних і реалізаційними аспектів системи, в той час як технологічна - до методів побудови і супроводу.
Операційна гарантованість включає в себе перевірку наступних елементів:
архітектура системи;
цілісність системи;
перевірка таємних каналів передачі інформації;
довірена адміністрування;
довірена відновлення після збоїв.
Операційна гарантованість - це спосіб переконатися в тому, що архітектура системи та її реалізація дійсно реалізують обрану політику безпеки.
Технологічна гарантованість охоплює весь життєвий цикл ІС, тобто періоди проектування, реалізації, тестування, продажу і супроводу. Усі перераховані дії повинні виконуватися відповідно до жорстких стандартів, щоб виключити витік інформації та нелегальні "закладки".
Класи безпеки
"Критерії ..." Міністерства оборони США відкрили шлях до ранжування інформаційних систем за ступенем довіри безпеки.
У "Помаранчевої книзі" визначається чотири рівня довіри - D, C, B і A. Рівень D призначений для систем, визнаних незадовільними. У міру переходу від рівня C до A до систем пред'являються все більш жорсткі вимоги. Рівні C і B поділяються на класи (C1, C2, B1, B2, B3) з поступовим зростанням ступеня довіри.
Всього є шість класів безпеки - C1, C2, B1, B2, B3, A1. Щоб у результаті процедури сертифікації систему можна було віднести до певного класу, її політика безпеки і рівень гарантованості повинні задовольняти заданим вимогам, з яких ми згадаємо лише найважливіші.
Клас C1:
довірена обчислювальна база повинна управляти доступом іменованих користувачів до іменованих об'єктів;
користувачі повинні ідентифікувати себе, перш ніж виконувати будь-які інші дії, контрольовані довіреної обчислювальної базою. Для аутентифікації повинен використовуватися будь-яких захисний механізм, наприклад паролі. Аутентифікаційні інформація повинна бути захищена від несанкціонованого доступу;
довірена обчислювальна база повинна підтримувати область для власного виконання, захищену від зовнішніх впливів (зокрема, від зміни команд та / або даних) і від спроб стеження за ходом роботи;
повинні бути в наявності апаратні і / або програмні засоби, що дозволяють періодично перевіряти коректність функціонування апаратних і мікропрограмних компонентів довіреної обчислювальної бази;
захисні механізми мають бути протестовані на предмет відповідності їх поведінки системної документації. Тестування має підтвердити, що у неавторизованого користувача немає очевидних способів обійти або зруйнувати засоби захисту довіреної обчислювальної бази;
повинні бути описані підхід до безпеки, що використовується виробником, і застосування цього підходу при реалізації довіреної обчислювальної бази.
Клас C2 (на додаток до C1):
права доступу повинні гранулювати з точністю до користувача. Всі об'єкти мають піддаватися контролю доступу;
при виділенні зберігається об'єкта з пулу ресурсів довіреної обчислювальної бази необхідно ліквідувати всі сліди його використання;
кожен користувач системи повинен унікальним чином ідентифікуватися. Кожне реєстроване дія повинна асоціюватися з конкретним користувачем;
довірена обчислювальна база повинна створювати, підтримувати і захищати журнал реєстраційної інформації, що відноситься до доступу до об'єктів,контрольованим базою;
тестування має підтвердити відсутність очевидних недоліків у механізмах ізоляції ресурсів та захисту реєстраційної інформації.
Клас B1 (на додаток до C2):
довірена обчислювальна база повинна управляти мітками безпеки, асоційованими з кожним суб'єктом і збереженим об'єктом;
довірена обчислювальна база повинна забезпечити реалізацію примусового управління доступом всіх суб'єктів до всіх збереженим об'єктах;
довірена обчислювальна база повинна забезпечувати взаємну ізоляцію процесів шляхом поділу їх адресних просторів;
група фахівців, повністю розуміють реалізацію довіреної обчислювальної бази, повинна піддати опис архітектури, вихідні і об'єктні коди ретельному аналізу і тестування;
повинна існувати неформальна або формальна модель політики безпеки, підтримуваної довіреної обчислювальної базою.
Клас B2 (на додаток до B1):
забезпечуватися мітками повинні всі ресурси системи (наприклад, ПЗУ), прямо або побічно доступні суб'єктам;
до довіреної обчислювальної базі має підтримуватися довірений комунікаційний шлях для користувача, що виконує операції початкової ідентифікації і аутентифікації;
повинна бути передбачена можливість реєстрації подій, пов'язаних з організацією таємних каналів обміну з пам'яттю;
довірена обчислювальна база повинна бути внутрішньо структурована на добре певні, відносно незалежні модулі;
системний архітектор повинен ретельно проаналізувати можливості організації таємних каналів обміну з пам'яттю і оцінити максимальну пропускну здатність кожного виявленого каналу;
повинна бути продемонстрована відносна стійкість довіреної обчислювальної бази до спроб проникнення;
модель політики безпеки повинна бути формальною. Для довіреної обчислювальної бази повинні існувати описові специфікації верхнього рівня, точно і повно визначають її інтерфейс;
в процесі розробки і супроводу довіреної обчислювальної бази повинна використовуватися система конфігураційного управління, що забезпечує контроль змін до описових специфікаціях верхнього рівня, інших архітектурних даних, реалізаційної документації, вихідних текстах,працюючої версії об'єктного коду,тестових даних і документації;
тести повинні підтверджувати дієвість заходів щодо зменшення пропускної здатності таємних каналів передачі інформації.
Клас B3 (на додаток до B2):
для довільного керування доступом повинні обов'язково використовуватися списки управління доступом з зазначенням дозволених режимів;
повинна бути передбачена можливість реєстрації появи або накопичення подій, що несуть загрозу політиці безпеки системи. Адміністратор безпеки повинен негайно сповіщені про спроби порушення політики безпеки, а система, у разі продовження спроб, має припиняти їх найменш болючим способом;
довірена обчислювальна база повинна бути спроектована і структурована таким чином, щоб використовувати повний і концептуально простий захисний механізм з точно визначеною семантикою;
процедура аналізу повинна бути виконана для тимчасових таємних каналів;
повинна бути специфікована роль адміністратора безпеки. Отримати права адміністратора безпеки можна тільки після виконання явних, протокольних дій;
повинні існувати процедури та / або механізми, що дозволяють зробити відновлення після збою або іншого порушення роботи без ослаблення захисту;
повинна бути продемонстрована стійкість довіреної обчислювальної бази до спроб проникнення.
Клас A1 (на додаток до B3):
тестування має продемонструвати, що реалізація довіреної обчислювальної бази відповідає формальним специфікаціям верхнього рівня;
крім описових, повинні бути представлені формальні специфікації верхнього рівня. Необхідно використовувати сучасні методи формальної специфікації та верифікації систем;
механізм конфігураційного управління повинен поширюватися на весь життєвий цикл і всі компоненти системи, що мають відношення до забезпечення безпеки;
повинне бути описано відповідність між формальними специфікаціями верхнього рівня і вихідними текстами.
Така класифікація, введена в "Помаранчевої книзі". Коротко її можна сформулювати так:
рівень C - довільне керування доступом;
рівень B - примусове керування доступом;
рівень A – верифікаційна безпека.
Звичайно, на адресу "Критеріїв ..." можна висловити цілий ряд серйозних зауважень (таких, наприклад, як повне ігнорування проблем, що виникають у розподілених системах).Тим не менш, слід підкреслити, що публікація "Помаранчевої книги" без жодного перебільшення стала епохальною подією в області інформаційної безпеки. З'явився загальновизнаний понятійний базис, без якого навіть обговорення проблем ІБ було б важким.
Відзначимо, що величезний ідейний потенціал "Помаранчевої книги" поки багато в чому залишається незатребуваним. Перш за все це стосується концепції технологічної гарантованості, що охоплює весь життєвий цикл системи - від вироблення специфікацій до фази експлуатації. При сучасної технології програмування результуюча система не містить інформації, яка присутня у вихідних специфікаціях, втрачається інформація про семантику програм. Важливість даної обставини ми плануємо продемонструвати далі, в лекції про управління доступом.