Учебное пособие 1469
.pdf
1.3. Понятие информационной безопасности
Под информационной безопасностью в наиболее общем смысле следует понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности ТКС начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием этих систем. Угрозы информационной безопасности – это, по сути, оборотная сторона использования в ТКС новейших информационных технологий. Из этого довольно очевидного положения можно сделать два вывода.
Во-первых, трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов существенно различается: достаточно сопоставить режимные государственные организации и коммерческие структуры. Вовторых, информационная безопасность в ряде случаев не сводится исключительно к защите информации, это более широкое понятие. Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита информации стоит по важности отнюдь не на первом месте. С другой стороны, для силовых или коммерческих структур можно с уверенностью утверждать обратное.
Спектр интересов субъектов, связанных с использованием ТКС, можно подразделить на следующие основные категории:
доступность (возможность за приемлемое время получить требуемую информационную услугу);
10
целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
конфиденциальность (защита от несанкционированного ознакомления).
При этом для защиты интересов субъектов информационных отношений (в контексте настоящего пособия, пользователей ТКС) в рамках комплексного обеспечения информационной безопасности необходимо сочетать меры следующих уровней:
законодательного (законы, нормативные акты, стандарты);
административного (действия общего характера, предпринимаемые руководством организации);
процедурного (меры безопасности, имеющие отношение к людям);
программно-технического (технические меры).
При этом с точки зрения построения и эксплуатации защищенных систем особый интерес представляют, прежде всего, стандарты информационной безопасности, обзору которых посвящены следующие разделы.
1.4. Обзор рекомендаций ISO 7498-2
Стандарт ISO 7498-2 посвящен архитектурным вопросам построения открытых информационных сетей на основе модели взаимодействия открытых систем (ВОС). В его состав включены обзор вопросов безопасности, определение услуг и механизмов обеспечения безопасности, а также анализ существующих опасностей (угроз) нарушения работы информационных сетей. Стандарт также приводит рекомендации по контролю или оценке предлагаемых средств обеспечения безопасно-
11
сти для открытых сетей на основе модели ВОС3 (ISO 7498-1). В частности, предлагается соответствие между используемых механизмов обеспечения безопасности и конкретных услуг безопасности, а также рекомендации, какие услуги безопасности могут быть реализованы конкретными протоколами на каждом из семи уровней модели ВОС.
Архитектурная концепция безопасности ISO включает пять основных компонентов:
определение услуг безопасности;
определение механизмов безопасности;
уровневая модель построения услуг безопасности;
соотнесение услуг безопасности к уровневой модели;
соотнесение механизмов безопасности к услугам. Услуги безопасности представляют собой абстрактные
понятия, которые могут быть использованы для характеристики требований безопасности. Услуги отличаются от механизмов безопасности, которые являются конкретными мерами для реализации этих услуг. Важнейшим архитектурным элементом стандарта является определение, какие услуги безопасности должны обеспечиваться на каждом уровне эталонной модели. Основой для такого определения являются следующие принципы построения уровневой модели безопасности.
1.Число альтернативных способов обеспечения безопасности должно быть минимизировано. Стандарт не устанавливает строгие рекомендации следовать этому прин-
3 Модель ВОС является базовой для разработки уровневых и межуровневых протоколов, а также различных аппаратных и программных средств сетевого и межсетевого взаимодействия. Модель ВОС содержит 7 уровней: физический уровень (Physical Layer) - битовые протоколы передачи информации; канальный или уровень данных (Data Link Layer) - формирование пакетов и фреймов данных, управление доступом к среде; сетевой уровень (Network Layer) - маршрутизация и управление потоками данных; транспортный уровень (Transport Layer) - обеспечение взаимодействия удаленных процессов; сеансовый уровень (Session Layer) - поддержка диалога между удаленными процессами; уровень представления данных (Presentation Layer) - преобразование форматов данных; прикладной уровень (Application Layer) - прикладные задачи, пользовательское управление данными.
12
ципу, однако данная рекомендация направлена на минимизацию стоимости разработки как самих безопасных услуг и протоколов, так и приложений на основе их.
2.Услуги безопасности могут работать более чем на одном уровне при построении безопасной системы, то есть услуги могут появляться на многих уровнях в уровневой модели безопасности. Этот принцип является противоположным первому принципу и в реальной системе должен достигаться обоснованный баланс или компромисс.
3.Функции безопасности по возможности не должны дублировать существующие аналогичные коммуникационные функции, то есть использовать эти функции, где это возможно без нарушения безопасности системы.
4.Рекомендуется не нарушать независимость уровней. Опасность, возникающая в случае несоблюдения этого принципа, состоит в том, что, если разработчик протокола будет предполагать наличие определенного протокола (сервиса) безопасности на соседнем уровне, но потом это предположение окажется ошибочным, то это приведет к нарушению архитектурной (уровневой) целостности системы безопасности. Это не запрещает использовать для обеспечения безопасности механизмы более низкого уровня, однако это должно производиться в рамках хорошо специфицированных межуровневых интерфейсов. Такая проблема особенно явно проявляется в маршрутизаторах и мостах, которые могут анализировать информацию о протоколах более высокого уровня для лучшего контроля трафика и доступа. Эти функции могут быть серьезно нарушены, если используется криптография или изменяются протоколы высшего уровня.
5.Количество неконтролируемых (доверительных, trusted) функций должно быть минимизировано. Следуя этому принципу, необходимо выделять компоненты, которые
13
собственно определяют безопасность системы, т.е. на которых основана безопасность системы. Этот принцип инициирует обеспечение безопасных услуг между конечными точками быстрее, чем с использованием доверительных промежуточных компонентов. Это стимулирует использование средств безопасности на более высоких уровнях. Однако принципы 1 и 3 возражают против исключения безопасных услуг на промежуточных уровнях. Следствием этого является появление элементов обеспечения безопасности для различных приложений на межсетевом и транспортном уровнях, что в дальнейшем приводит к естественной интеграции протоколов обеспечения безопасности в саму операционную систему и порождает свой собственный набор проблем.
6.Если какой-либо защитный механизм одного уровня базируется на использовании услуг более низкого уровня, то не должно существовать никаких промежуточных уровней, запрещающих или не гарантирующих такую связь. Этот принцип апеллирует к принципу 4, так как невозможность установить независимость уровней может легко нарушить межуровневую безопасность. Эта рекомендация определенным образом соотносится с некоторыми другими. Так, минимизация доверительной функциональности (Принцип 5) рекомендует перемещение безопасных услуг на более высокие уровни, но использование механизмов безопасности на одном уровне для обеспечения безопасных услуг на более высоких уровнях позволяет избежать дублирования (Принципы 1 и 3).
7.Безопасные услуги, реализуемые на каждом уровне, должны быть определены таким образом, чтобы допускать модульное дополнение к базовым коммуникационным услугам. Этот принцип ориентирован на очень практичный подход, так как не все реализации уровневых протоколов и сервисов требуют и/или предлагают
14
все безопасные услуги. Таким образом, модульность должна способствовать облегчению разработки конечных приложений. Этот принцип имеет особое значение для Интернет, где уже имеется огромная база установленного оборудования и существующих услуг, в которые необходимо внедрять средства обеспечения безопасности.
Стандарт ISO 7498-2 определяет пять базовых услуг для обеспечения безопасности компьютерных систем и сетей: конфиденциальность (Confidentiality), аутентификация
(Authentication), целостность (Integrity), контроль доступа
(Access Control), причастность (буквально "неотпирательство", Nonrepudiation). Для всех этих услуг определены также варианты, как например, для коммуникаций с установлением соединения и без установления соединения, или обеспечения безопасности на уровнях коммуникации, пакетов или отдельных полей. Этот набор услуг не является единственно возможным, однако он является общепринятым. Далее описаны услуги и варианты их реализации, а также их соотношение между собой и в контексте модели ВОС.
Конфиденциальность
В стандарте ISO 7498-2 конфиденциальность определена как «свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавторизованных (неуполномоченных) личностей, объектов или процессов». Вопросам обеспечения конфиденциальности уделяется наибольшее внимание в системах, где раскрытие информации возможно во многих точках по пути передачи.
Для этой услуги определяется четыре версии: для систем с установлением связи; для систем без установления связи; защита отдельных информационных полей; защита от контроля трафика. Первые две версии относятся к соответствующим протоколам с установлением или без установления связи. Конфиденциальность с установлением связи может быть обеспе-
15
чена на любом уровне, кроме сеансового или представительного. Это согласуется с моделью ВОС, где коммуникационные услуги предлагаются на всех уровнях. Конфиденциальность без установления связи может реализовываться на всех уровнях, кроме физического, сеансового и представительного, причем физический уровень исключен потому, что он по своей природе требует установления связи.
Третья версия конфиденциальных услуг, предназначенных для защиты отдельных информационных полей, используется для обоих типов сетей (с установлением связи и без) и требует, чтобы только отдельные поля в пакетах были защищены. Эта услуга предлагается только для прикладного уровня, где необходимое поле может иметь другой способ кодирования, чем обеспечивает стандартный протокол.
Защита от контроля трафика должна предотвращать возможность анализа и контроля трафика. Это достигается за счет кодирования информации об источнике-назначении, количестве передаваемых данных и частоты передачи. Эти внешние характеристики могут быть доступны для злоумышленника, даже если пользовательские данные будут защищены. Например, легко различить трафик Telnet и FTP в зависимости от размера пакетов, даже если информация о порте сервиса и данных выше уровня IP будут защищены. Наиболее легко данная услуга реализуется на физическом уровне, но отдельные компоненты данной услуги могут предлагаться и на Сетевом и Прикладном уровнях. В этом плане естественную большую защищенность имеет широко внедряющаяся сейчас технология ATM (Asynchronous Transfer Mode), которая обеспечивает фиксиро-
ванный размер пакетов и стандартную инкапсуляцию пакетов протоколов различного уровня.
Аутентификация
В стандарте ISO 7498-2 определяется два типа услуг аутентификации: достоверность происхождения (источника) данных и достоверность собственно источника соединения или объекта коммуникации (peer-entity).
16
Достоверность источника данных предполагает подтверждение того, что «источник полученных данных именно тот, который указан или объявлен». Эта услуга существенна для коммуникации без установления связи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантировано с точки зрения аутентификации – это то, что источник пакета именно тот, который указан в заголовке пакета. Эта услуга очень близка к обеспечению целостности данных (смотрите ниже) в сетях без установления связи, когда установление подлинности источника не очень существенно, если нарушена целостность данных.
В системах с установлением связи, аутентификация объекта коммуникаций является необходимой функцией, определенной как «подтверждение того, что объект коммуникации при соединении именно тот который объявлен». Эта форма аутентификации подразумевает установление своевременности или фактора времени за счет включению идентификации объекта коммуникации для конкретного случая соединения, которые недостижимы при помощи простой проверки происхождения данных. Таким образом, атака, использующая воспроизведение данных, связанных с другим сеансом связи, даже между теми же объектами коммуникации, может быть нарушена/предотвращена, благодаря использованию этой услуги.
Обе формы аутентификации определены для сетевого, транспортного и прикладного уровней, на которых реализуются протоколы с установлением связи и без установления связи. Существует расхождение между стандартами IEEE и ISO в вопросах применения аутентификации на уровне данных. Коми-
тет IEEE 802.10 Secure Interoperable LAN Standards (SLIS) по стандартизации вопросов безопасности для локальных вычислительных сетей (ЛВС) определил Безопасный протокол Об-
мена Данными (БОД, SDESecure Data Exchange), который ра-
ботает между подуровнем управления логическим звеном
(УЛЗ, LLC - Logical Link Control) и подуровнем Управления Доступом к Среде (УДС, MAC - Media Access Control) и обес-
печивает услугу контроля происхождения данных.
17
Благодаря тому, что SDE может быть использован с различными протоколами более высокого уровня – OSI, TCP/IP, а также нестандартными, – многие специалисты считают целесообразным применение этой услуги на уровне МАС, так как этот уровень является одинаковым для протоколов IEEE/ISO (802.3, 802.5, 802.6). Это один из случаев, когда стандарты ISO входят в противоречие с существующим опытом и целесообразностью.
Целостность
Согласно стандарту ISO 7498-2 целостность имеет две базовые реализации: для сетей с установлением связи и без установления связи, каждая из которых может применяться для избранных групп информационных полей. Однако услуги защиты целостности в сетях с установлением связи могут дополнительно включать функции восстановления данных в случае, если нарушена их целостность. Таким образом, обеспечение целостности данных в сетях с установлением связи предполагает обнаружение «любой модификации, включения, удаления, или повторной передачи данных в последовательности (пакетов)». Использование услуг обеспечения целостности данных в сетях с установлением связи совместно с идентификацией объекта коммуникаций (peer-entity) позволяет достичь высокой степени защищенности. Эта услуга используется на следующих уровнях: сетевом, транспортном и прикладном, при этом средства восстановления данных возможны только на двух верхних уровнях.
Целостность в сетях без установления связи ориентирована на определение модификаций каждого пакета, без анализа большего объема информации, например, сеанса или цикла передачи. Таким образом, эта услуга не предотвращает умышленное удаление, включение или повторную передачу пакетов и является естественным дополнением аутентификации источника данных. Эта услуга также доступна на уровнях сетевом, транспортном и прикладном. Здесь также возможно применение протокола IEEE802.10 SDE для обеспечения целостности на уровне данных при коммуникации без установления связи.
18
Контроль доступа
В стандарте ISO 7498-2 контроль доступа определен как «предотвращение неавторизованного использования ресурсов, включая предотвращение использования ресурсов недопустимым способом». То есть данная услуга не только обеспечивает доступ только авторизованных пользователей (и процессов), но
игарантирует только указанные права доступа для авторизованных пользователей. Таким образом, эта услуга предотвращает неавторизованный доступ как «внутренних», так и «внешних» пользователей.
Контроль доступа часто путается с аутентификацией и конфиденциальностью, но на самом деле эта услуга предоставляет более широкие возможности. Услуга контроля доступа используется для установления политики контроля/ограничения доступа. Политика контроля доступа (или авторизации) согласно ISO7498-2 устанавливается в двух измерениях: критерии для принятия решения о доступе и средства, при помощи которых регулируется контроль. Два типа политики доступа в зависимости от используемых критериев принятия решения могут быть основаны на идентичности явлений
иобъектов (identity-based) или на правилах (последовательности) доступа (rule-based). Первый тип политики контроля доступа основан на использовании услуги аутентификации для проверки идентичности субъекта доступа (пользователя, процесса, промежуточной или конечной системы, или сети) прежде, чем предоставить им доступ к ресурсам. Форма идентичности зависит от различия и типа аутентификации для различных уровней, на которых эта услуга обеспечивается. Так, например, пользователь и процесс является объектом контроля доступа на прикладном уровне, но не на сетевом уровне.
Политика, использующая регламентированные правила доступа, предполагает принятие решения о доступе на основе последовательности правил, которые соотносят аутентификацию с точностью. Например, правила могут быть выражены в терминах времени и даты доступа или «благонадежности», которую имеет данный пользователь.
19