4-1 Електрона комерція / Тимошенко А.А. Защита информации в специализированных информационно-телекоммуникационных системах
.pdf231
3.7.3 Угрозы информации, характерные для систем обработки ИсОД. Модель потенциального нарушителя в системах обработки ИсОД
3.7.3.1 Анализ системы обработки ИсОД как объекта защиты и определение защищаемых информационных ресурсов
Согласно НД ТЗИ 2.5-008-2002, основными информационными ресурсами, подлежащими защите в системе обработки ИсОД (информационными активами), являются:
-информационные объекты, содержащие требующую защиты открытую информацию и представляющие собой совокупность сильносвязанных объектов (под сильносвязанными объектами понимается совокупность наборов данных, которые характеризуются наличием
минимальной избыточности и допускают их оптимальное использование одним или несколькими процессами как одновременно, так и в разные промежутки времени и требуют безусловного обеспечения целостности этих наборов данных как совокупности, например, совокупность связанных таблиц БД);
-информационные объекты, содержащие требующую защиты открытую информацию и
представляющие собой слабосвязанные объекты различного вида представления (относительно независимые наборы данных, которые генерируются, модифицируются,
сохраняются и обрабатываются в системе и требуют обеспечения своей целостности каждый в отдельности);
-информационные объекты, содержащие ИсОД и представляющие собой совокупность сильносвязанных объектов;
-информационные объекты, содержащие ИсОД и представляющие собой совокупность слабосвязанных объектов различного вида представления.
Информационные объекты, содержащие ИсОД или требующую защиты открытую информацию и представляющие собой совокупность сильносвязанных объектов, могут быть представлены в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки).
Вштатном режиме функционирования системы к данным информационным объектам возможен разделяемый доступ с целью просмотра/ модификации.
Информационные объекты, содержащие ИсОД или требующую защиты открытую информацию и представляющие собой слабосвязанные объекты, могут быть представлены в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
232
-неструктурированные файлы в процессе сохранения и обработки на РС клиента;
-информационных объектов в оперативной памяти компьютеров (ФС, РС - в процессе обработки).
Вштатном режиме функционирования системы к данным информационным объектам возможен разделяемый доступ с целью просмотра/ модификации.
Особенности системы обработки ИсОД как объекта защиты (согласно НД ТЗИ 2.5-008- 2002) определяются особенностью архитектуры АС, способами применения средств вычислительной техники для выполнения функций сбора, хранения, обработки, передачи и использования данных, требованиями к обеспечению различных свойств информации.
Сучетом характеристик и особенностей представления обрабатываемой информации, особенностей процессов, которые применяются для ее обработки, а также порядка работы пользователей и требований к обеспечению защиты информации в АС класса 2 определяются такие технологии обработки информации:
-обработка без активного диалога со стороны пользователя слабосвязанных объектов, при которой требуется защита конфиденциальности обрабатываемой информации, или конфиденциальности и целостности обрабатываемой информации. Обработка без активного
диалога со стороны пользователя слабосвязанных объектов в общем случае представляет собою обработку отдельного набора данных (или определенного их множества, но последовательно одного за другим) в фоновом режиме, который обеспечивается операционными системами, используемыми на рабочих станциях и серверах АС;
-обработка без активного диалога со стороны пользователя сильносвязанных объектов, при которой требуется защита конфиденциальности и целостности обрабатываемой информации.
Обработка без активного диалога со стороны пользователя сильносвязанных объектов представляет собой решение в фоновом режиме комплексов функциональных задач, которые взаимодействуют с базами данных с использованием СУБД, а также реализацию любых других процессов, которые осуществляют одновременную обработку определенного множества наборов данных, имеющих между собою логические связи;
-обработка в активном диалоговом режиме со стороны пользователя слабосвязанных объектов,
при которой требуется защита конфиденциальности и доступности обрабатываемой информации, или конфиденциальности и целостности обрабатываемой информации.
Обработка в активном диалоговом режиме со стороны пользователя слабосвязанных объектов представляет собой обработку отдельного набора данных в режиме реального времени в диалоге между пользователем и прикладным процессом, который эту обработку осуществляет (например, создание и редактирование текстов, и потому подобное);
233
-обработка в активном диалоговом режиме со стороны пользователя сильносвязанных объектов, при которой требуется защита конфиденциальности, целостности и доступности
обрабатываемой информации. Обработка в активном диалоговом режиме со стороны
пользователя сильносвязанных объектов представляет собой процессы реализации в режиме реального времени взаимодействия между пользователем и БД с сильносвязанными объектами с использованием СУБД.
Определенные выше технологии обработки информации могут быть реализованы как в системе в целом, так и в отдельных ее компонентах или процессах. Одновременно в системе могут применяться несколько технологий.
Наиболее значимыми (с точки зрения наносимого информационным активам ущерба) в системе обработки ИсОД (согласно НД ТЗИ 2.5-008-2002) являются угрозы с целью нарушения:
-конфиденциальности по отношению к информационным объектам, содержащим ИсОД,
представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, путем несанкционированного ознакомления;
-целостности по отношению к информационным объектам, содержащим как ИсОД, так и требующую защиты открытую информацию, представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, путем несанкционированной модификации;
-доступности разделяемых ресурсов сервера приложений (реализующего бизнес-логику), ФС, сервера СУБД (реализующего функции управления хранилищем базы данных сильносвязанных объектов) при доступе пользователей к информационным объектам,
представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, содержащим как ИсОД, так и открытую информацию.
3.7.3.2 Модель потенциального нарушителя в системе обработки ИсОД (АС класса 2)
В качестве потенциального нарушителя в системе обработки ИсОД (согласно НД ТЗИ 2.5- 008-2002) должен рассматриваться любой сотрудник организации, использующей систему обработки ИсОД, который:
-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов ФС информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов (с целью их просмотра, модификации, удаления);
-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим ИсОД,
234
представленным в виде совокупности сильносвязанных объектов (с целью их просмотра, модификации, удаления);
-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов ФС информационным объектам, содержащим требующую защиты открытую информацию, представленным в виде слабосвязанных объектов (с целью их модификации, удаления);
-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим требующую защиты открытую информацию, представленным в виде совокупности сильносвязанных объектов (с целью их модификации, удаления);
-может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым на РС пользователя информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов (с целью их просмотра, модификации, удаления);
-с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов системы (ФС, серверов СУБД, серверов приложений) и активного сетевого оборудования (устройств коммутации пакетов);
-обладает всеми возможностями пользователя системы по вводу и обработке ИсОД и
требующей защиты открытой информации.
Таким образом, потенциальный нарушитель имеет возможность реализации всех типов угроз (конфиденциальности, целостности и доступности) с использованием штатных средств системы обработки ИсОД, штатных и нештатных средств ОС используемых ФС, штатных и нештатных средств серверов СУБД, штатных и нештатных средств серверов приложений, штатных и нештатных средств управления активным сетевым оборудованием.
3.7.4 Особенности построения систем защиты информации в системах обработки
ИсОД
3.7.4.1 Функциональные спецификации КСЗ СЗИ в системах обработки ИсОД для различных технологий обработки информации
Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности обрабатываемой информации:
КД-2 – базовая доверительная конфиденциальность
235
КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов НР-2 – защищенный журнал
НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте
Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности и целостности обрабатываемой информации:
КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ЦД-1 – минимальная доверительная целостность ЦА-2 - базовая административная целостность ЦО-1 – ограниченный откат НР-2 – защищенный журнал
НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте
Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности и
доступности обрабатываемой информации КД-2 – базовая доверительная конфиденциальность
КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ДР-1 - квоты ДС-1 – устойчивость при ограниченных отказах
ДЗ-1 - модернизация ДВ-1 – ручное восстановление
236
НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация
НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте
Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности,
целостности и доступности обрабатываемой информации КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ЦД-1 – минимальная доверительная целостность ЦА-2 - базовая административная целостность ЦО-1 – ограниченный откат ДР-1 - квоты
ДС-1 – устойчивость при ограниченных отказах ДЗ-1 - модернизация ДВ-1 – ручное восстановление
НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация
НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте
3.7.4.2 Политика функциональных услуг безопасности и используемые механизмы защиты
КД-2 – базовая доверительная конфиденциальность
Должна быть реализована при необходимости в качестве дополнения к услуге КА-2 при
условии наличия в АС групп пользователей с одинаковыми полномочиями доступа к ИсОД внутри этих групп.
Политика данной услуги должна быть реализована относительно:
237
-информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки).
Политика услуги должна обеспечивать предотвращение реализации угроз конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения).
Средства реализации услуги должны функционировать в таких компонентах ИТС:
-ФС ЛВС;
-РС ЛВС;
-серверах СУБД;
-серверах приложений.
Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом или меток доступа).
КА-2 – базовая административная конфиденциальность
Политика данной услуги должна быть реализована относительно:
-информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки);
-программных средств системы в виде файлов.
238
Политика услуги должна обеспечивать предотвращение реализации угроз конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения), а также к файлам программных средств (предотвращая возможность их несанкционированного запуска).
Средства реализации услуги должны функционировать в таких компонентах ИТС:
-ФС ЛВС;
-РС ЛВС;
-серверах СУБД;
-серверах приложений.
Для реализации услуги должны использоваться такие механизмы: - управление доступом (на основе списков управления доступом).
КО-1 – повторное использование объектов
Политика данной услуги должна быть реализована относительно:
-информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки).
Политика услуги должна обеспечивать предотвращение реализации угроз конфиденциальности путем выполнения операций "Сбора мусора".
Средства реализации услуги должны функционировать в таких компонентах ИТС:
-ФС ЛВС;
-РС ЛВС;
-серверах СУБД;
-серверах приложений.
Для реализации услуги должны использоваться такие механизмы:
-очистка дисковой и оперативной памяти после удаления информационных объектов/ перед предоставлением памяти под размещение других объектов;
-удаление атрибутов доступа (списков управления доступом) при удалении объекта.
239
ЦД-1 – минимальная доверительная целостность
Должна быть реализована при необходимости в качестве дополнения к услуге ЦА-2 при
условии наличия в АС групп пользователей с одинаковыми полномочиями доступа к защищаемой информации внутри этих групп.
Политика данной услуги должна быть реализована относительно:
-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой слабосвязанные объекты в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки).
Политика услуги должна обеспечивать предотвращение реализации угроз целостности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного создания, модификации или удаления).
Средства реализации услуги должны функционировать в таких компонентах ИТС:
-ФС ЛВС;
-РС ЛВС;
-серверах СУБД;
-серверах приложений.
Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом или меток доступа).
ЦА-2 – базовая административная целостность
Политика данной услуги должна быть реализована относительно:
-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой слабосвязанные объекты в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-неструктурированных файлов в процессе сохранения и обработки на РС клиента;
240
-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки);
-программных средств системы в виде файлов.
Политика услуги должна обеспечивать предотвращение реализации угроз целостности путем несанкционированного доступа к файлам данных и записям БД, а также к файлам программных средств (предотвращая возможность их несанкционированного создания, модификации или удаления).
Средства реализации услуги должны функционировать в таких компонентах ИТС:
-ФС ЛВС;
-РС ЛВС;
-серверах СУБД;
-серверах приложений.
Для реализации услуги должны использоваться такие механизмы: - управление доступом (на основе списков управления доступом).
ЦО-1 – ограниченный откат
Политика данной услуги должна быть реализована относительно:
-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой слабосвязанные объекты в виде:
-неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде:
-структурированных записей при сохранении в БД (сервер СУБД);
-структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-информационных объектов в оперативной памяти компьютеров (сервер приложений,
сервер СУБД, ФС - в процессе обработки).
Политика данной услуги должна обеспечивать предотвращение угроз нарушения целостности путем обеспечения возврата информационных объектов, целостность которых была нарушена, в предыдущее известное состояние.
Средства реализации услуги должны функционировать в таких компонентах ИТС: