Учебное пособие 1469
.pdfАнализ применимости описанных услуг на различных уровнях модели ВОС приводит к следующим основным выводам по каждому из 7 уровней.
Физический уровень Услуги безопасности, предлагаемые на физическом уров-
не, обычно обеспечивают защиту каналов «точка-точка», например, между двумя конечными системами или между конечной и промежуточной системами. Действие этой услуги заканчивается в точке окончания канала перед устройством приема или коммутации пакетов.
Однако средства и устройства, обеспечивающие безопасность на этом уровне, обычно привязаны к конкретной технологии передачи сигналов и интегрированы с физическим интерфейсом, что приводит к необходимости использовать идентичные устройства на обоих концах физического и/или виртуального соединения. Применение средств защиты Физического уровня ограничивается услугами Конфиденциальности для коммуникаций с установлением связи и для защиты от контроля трафика. Другим ограничением использования средств защиты на Физическом уровне является сложность управления ими.
Бит-ориентированный интерфейс физического уровня не позволяет реализовать услуги целостности и аутентификации из-за невозможности выполнять преобразование данных. Однако использование подходящей техники шифрования на этом уровне может создать хорошую базу для использования услуг на более высоких уровнях.
Канальный уровень (уровень данных)
Услуги безопасности канального уровня реализуются для соединений «точка-точка» аналогично физическому уровню. Действие этой услуги заканчивается в точке приема (конечная система) или коммутации пакетов (включая транслирующие и инкапсулирующие мосты) в пределах использования единого интерфейса управления доступом к среде (УДС, МАСинтерфейса). Преимуществом применения услуг безопасности
30
на этом уровне является их независимость от протоколов более высокого уровня. Однако здесь также существует сильная зависимость практической реализации услуги от используемой технологии физического уровня.
Согласно рекомендациям стандарта ISO 7498-2, услуги, предлагаемые на этом уровне, включают конфиденциальность для систем с установлением и без установления связи. Возможность использования этого уровня для обеспечения услуг целостности ограничивается недостаточным размером контрольных полей LLCпакетов.
Сетевой уровень Безопасность на сетевом уровне обеспечивается между
конечными системами, независимо от промежуточных межсетевых коммутаторов и мостов канального уровня. Если услуги безопасности основываются полностью на протоколах сетевого уровня, это обеспечивает безопасность коммуникаций между конечными системами вдоль разнородных сетей, формирующих интерсеть (Internet). Стандарт ISO 7498-2 рекомендует применение нескольких услуг безопасности на сетевом уровне: конфиденциальность (для систем с установлением и без установления связи, для защиты от контроля трафика), контроль доступа, целостность в системах с установлением связи и без установления, а также аутентификации источника данных и объекта коммуникации.
Согласно рекомендациям ISO 7498-2 услуги безопасности должны быть совместимы с соответствующими коммуникационными услугами на каждом уровне и, по возможности, их использовать, что часто приводит к зависимости реализуемых услуг безопасности от протоколов сетевого уровня или делает невозможным их применение. Такая ситуация, в частности, наблюдается в сетях Х.25, которые имеют свой собственный протокол нумерации последовательностей с установлением связи, но не имеют средств обеспечения целостности отдельных пакетов, что делает невозможным применение стандартных услуг безопасности. В этом случае возможно применение соответствующих услуг на более высоких уров-
31
нях, но приводит к зависимости услуг безопасности от соответствующей технологии Сетевого уровня.
Услуги безопасности, полностью использующие протоколы сетевого уровня, т.е. реализуемые «поверх» сетевого уровня, могут обеспечивать защищенность коммуникаций в многопротокольных интерсетях. При этом услуги безопасности могут быть реализованы в межсетевых (или «промежуточных» – intermediate) системах или устройствах. Это дает ряд преимуществ, связанных с тем, что межсетевые устройства часто служат шлюзами или портами между различными локальными или локальными и глобальными сетями. Обеспечение услуг безопасности и защищенности в таких пограничных устройствах эффективно с точки зрения минимальной модернизации существующих систем. Дополнительные средства безопасности могут быть обеспечены между межсетевыми устройствами и конечными системами, используя те же протоколы и услуги.
Независимая реализация услуг безопасности на сетевом уровне позволяет применять эти услуги только в отношении таких объектов, как сети, что является достаточно «грубым» подходом. Для отдельных групп сетевых протоколов существуют возможности обеспечить избирательность таких услуг, основываясь на адресации конкретных конечных систем или при использовании дополнительных средств для адресации протоколов более высокого уровня в протоколах сетевого уровня, как это сделано в протоколах TCP/IP с адресацией вышестоящих протоколов и портов в пакетах сетевого и транспортного уровня. Однако это нарушает принцип уровневости и, в общем случае, неприменимо.
Дополнительная возможность для обеспечения избирательности услуг безопасности на сетевом уровне может быть реализована через параметр «качества услуги» безопасности, определяемый конечной системой и обрабатываемый промежуточными системами. В частности, разрабатываемый стандарт безопасного протокола Сетевого уровня (NLSP – Network Layer Security Protocol) предполагает такую возможность.
32
Включение услуг безопасности сетевого уровня в состав функций конечной системы, как правило, требует модификации ядра операционной системы, так как большинство сетевых операционных систем включают функции сетевого уровня в ядро в целях достижения большей производительности и безопасности системы. Отсюда следует, что включение услуг безопасности сетевого уровня является задачей поставщиков программных и аппаратных средств конечных и промежуточных систем.
Транспортный уровень.
На транспортном уровне стандарт ISO 7498-2 определяет набор услуг безопасности, очень близкий по составу с сетевым уровнем: конфиденциальность (для систем с установлением и без установления связи), контроль доступа, целостность в системах с установлением связи и без, а также аутентификации источника данных и объекта коммуникации. Отличием является то, что услуги безопасности транспортного уровня обеспечиваются только в конечных системах, в отличие от возможности реализации услуг на базе сетевого уровня в промежуточных системах.
Услуги безопасности транспортного уровня с установлением связи, в общем случае, обеспечивают более высокую защищенность коммуникаций по сравнению с реализацией таких же услуг на более высоких уровнях с использованием протоколов и услуг более низкого уровня. Но при правильном использовании коммуникационных возможностей транспортного уровня такие отличия могут быть несущественными.
Так же как и для сетевого уровня, многие механизмы безопасности транспортного уровня интегрированы в состав сетевых операционных систем и определяется их разработчиками.
Сеансовый и представительский уровень
Стандарт ISO 7498-2 не рекомендует применение услуг безопасности на сеансовом и представительском уровнях. Это вызвано тем, что эти уровни не имеют хорошо определенных коммуникационных услуг и функций. Кажущаяся уместность
33
применения многих услуг на основе шифрования на уровне представления данных нецелесообразна из-за того, что функции этого уровня обычно интегрированы в состав прикладного уровня.
Прикладной уровень
Стандарт ISO 7498-2 разрешает применение всех услуг безопасности на прикладном уровне, а применение услуги причастности рекомендуется только на этом уровне. Однако использование услуг безопасности только на прикладном уровне не позволяет полностью защитить системы коммуникаций от всех возможных атак, поэтому рекомендуется обеспечивать поддержку конкретных услуг также на более низких уровнях совместно с прикладным.
При этом очевидно, что приложения типа обмена сообщениями или службы директорий могут быть реализованы только на прикладном уровне. В частности, обмен сообщениями требует использования услуг безопасности на этом уровне по следующими причинам:
некоторые услуги обеспечения защиты сообщений разработаны только для прикладного уровня, как например, контроль причастности;
сообщения обычно могут быть адресованы нескольким адресатам, при этом анализ адресов выполняется только на уровне сообщения (Агентом Передачи Со-
общения, MTA – Message Transfer Agent).
Услуги безопасности более низких уровней обеспечиваются в реальном времени при обработке потоков данных «точ- ка-точка» (или между MTA, согласно рекомендациям Х.400), в то время как обработка сообщений на уровне «отправитель– получатель» требует полной функциональности сервисов Х.400.
Полная защищенность услуг директорий согласно Х.500 также не может быть обеспечена только использованием услуг более низких уровней. Например, принятие решения о доступе пользователя к серверу директорий или дальнейшая передача запроса должна выполняться только самим сервером.
34
Наиболее привлекательной чертой применения услуг безопасности на Прикладном уровне является их независимость от операционной системы и возможность реализовать эти услуги в составе приложений, но при этом используемые механизмы становятся специфическими для конкретного приложения.
1.5. Обзор требований РД ГТК РФ
Руководящие документы Гостехкомиссии при Президенте Российской федерации (РД ГТК РФ) содержат систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем. В силу выраженной ориентированности на компьютерные системы, а также относительной «несовременности»4, целесообразно ограничиться лишь кратким обзором Руководящих документов.
С точки зрения разработчиков РД ГТК основная (и едва ли не единственная) задача средств безопасности – защита от несанкционированного доступа5 (НСД) к информации. При этом некоторое внимание также уделяется средствам контроля и обеспечения целостности, однако вопросы поддержки работоспособности систем обработки информации (как мера защиты от угроз работоспособности) вообще не рассматриваются. Впрочем, определенный уклон в сторону поддержания секретности объясняется тем, что РД были разработаны в расчете на применение в информационных системах министерства обороны и спецслужб РФ, а также недостаточно высоким уровнем
4 Опубликованы в 1992 году.
5 Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. При этом п од штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
35
информационных технологий этих систем по сравнению с современным.
Руководящие документы предлагают 2 группы критериев безопасности: показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизированных систем (АС) обработки данных. Первая группа позволяет оценить степень защищенности от НСД отдельно поставляемых потребителю компонентов вычислительной системы, а вторая рассчитана на полнофункциональные системы обработки данных. При этом основное отличие СВТ от АС заключается в том, что СВТ не содержат защищаемых пользовательских данных, то есть защищенность СВТ есть, по сути, потенциальная защищенность.
Руководящие документы устанавливают классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Установлено 7 классов защищенности СВТ от НСД (табл. 3).
Наименование показателя |
Класс защищенности |
||||||||
6 |
5 |
4 |
3 |
2 |
1 |
||||
|
|
|
|||||||
Дискреционный |
принцип кон- |
+ |
+ |
+ |
= |
+ |
= |
||
троля доступа |
|
|
|||||||
|
|
|
|
|
|
|
|
||
Мандатный принцип |
контроля |
- |
- |
+ |
= |
= |
= |
||
доступа |
|
|
|||||||
|
|
|
|
|
|
|
|
||
Очистка памяти |
|
|
- |
+ |
+ |
+ |
= |
= |
|
Изоляция модулей |
|
- |
- |
+ |
= |
+ |
= |
||
Маркировка документов |
|
- |
- |
+ |
= |
= |
= |
||
Защита ввода и вывода на отчуж- |
|
|
|
|
|
|
|||
даемый физический |
носитель |
- |
- |
+ |
= |
= |
= |
||
информации |
|
|
|
|
|
|
|
|
|
Сопоставление |
пользователя с |
- |
- |
+ |
= |
= |
= |
||
устройством |
|
|
|||||||
|
|
|
|
|
|
|
|
||
Идентификация |
и аутентифика- |
+ |
= |
+ |
= |
= |
= |
||
ция |
|
|
|||||||
|
|
|
|
|
|
|
|
||
|
|
36 |
|
|
|
|
|
|
|
Гарантии проектирования |
|
- |
+ |
+ |
+ |
+ |
+ |
Регистрация |
|
- |
+ |
+ |
+ |
= |
= |
Взаимодействие пользователя |
с |
- |
- |
- |
+ |
= |
= |
КСЗ |
|
||||||
|
|
|
|
|
|
|
|
Надежное восстановление |
|
- |
- |
- |
+ |
= |
= |
Целостность КСЗ |
|
- |
+ |
+ |
+ |
= |
= |
Контроль модификации |
|
- |
- |
- |
- |
+ |
= |
Контроль дистрибуции |
|
- |
- |
- |
- |
+ |
= |
Гарантии архитектуры |
|
- |
- |
- |
- |
- |
+ |
Тестирование |
|
+ |
+ |
+ |
+ |
+ |
= |
Руководство для пользователя |
|
+ |
= |
= |
= |
= |
= |
Руководство по КСЗ |
|
+ |
+ |
= |
+ |
+ |
= |
Тестовая документация |
|
+ |
+ |
+ |
+ |
+ |
= |
Конструкторская (проектная) до- |
+ |
+ |
+ |
+ |
+ |
+ |
|
кументация |
|
||||||
|
|
|
|
|
|
|
|
Табл. 3. Распределение показателей защищенности по классам СВТ
В таблице использованы следующие обозначения: "-" – нет требований к данному классу; "+" – новые или дополнительные требования,
"=" – требования совпадают с требованиями к СВТ предыдущего класса.
Руководящие документы устанавливают 9 классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на 3 группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:
наличие в АС информации различного уровня конфиденциальности; уровень полномочий пользователей АС на доступ к
конфиденциальной информации;
37
режим обработки данных в АС: коллективный или индивидуальный.
При этом третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и/или хранимой в АС на носителях различного уровня конфиденциальности. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация различных уровней конфиденциальности; не все пользователи имеют равные права доступа.
В табл. 4 приведены требования к подсистемам защиты для каждого класса.
|
|
|
|
|
Классы |
|
|
|
||
Подсистемы и требования |
3 |
3 |
2 |
2 |
1 |
1 |
1 |
1 |
1 |
|
|
|
|||||||||
|
|
Б |
А |
Б |
А |
Д |
Г |
В |
Б |
А |
1. Подсистема управления досту- |
|
|
|
|
|
|
|
|
|
|
пом |
|
|
|
|
|
|
|
|
|
|
1.1. Идентификация, |
проверка |
|
|
|
|
|
|
|
|
|
подлинности и контроль |
доступа |
|
|
|
|
|
|
|
|
|
субъектов: |
|
|
|
|
|
|
|
|
|
|
- в систему |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
- к терминалам, ЭВМ, узлам сети |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
|
ЭВМ, каналам связи, внешним |
|
|
|
|
|
|
|
|
|
|
устройствам ЭВМ |
|
|
|
|
|
|
|
|
|
|
- к программам |
|
|
|
|
+ |
|
+ |
+ |
+ |
+ |
- к томам, каталогам, файлам, за- |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
|
писям, полям записей |
|
|
|
|
|
|
|
|
|
|
1.2. Управление потоками инфор- |
|
|
|
+ |
|
|
+ |
+ |
+ |
|
мации |
|
|
|
|
|
|
|
|
|
|
2. Подсистема регистрации и учета |
|
|
|
|
|
|
|
|
|
|
2.1. Регистрация и учет: |
|
|
|
|
|
|
|
|
|
|
|
38 |
|
|
|
|
|
|
|
|
|
- входа (выхода) субъектов досту- |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|||
па в (из) систему (узел сети) |
|
|
|
|
|
|
|
|
|
|||
- выдачи печатных (графических) |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
|||
выходных документов |
|
|
|
|
|
|
|
|
|
|
||
- запуска (завершения) программ |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
|||
и процессов (заданий, задач) |
|
|
|
|
|
|
|
|
|
|||
- |
доступа |
программ |
субъектов |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
доступа к защищаемым файлам, |
|
|
|
|
|
|
|
|
|
|||
включая их создание и удаление, |
|
|
|
|
|
|
|
|
|
|||
передачу по линиям и каналам свя- |
|
|
|
|
|
|
|
|
|
|||
зи |
|
|
|
|
|
|
|
|
|
|
|
|
- |
доступа |
программ |
субъектов |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
доступа к терминалам, ЭВМ, узлам |
|
|
|
|
|
|
|
|
|
|||
сети ЭВМ, каналам связи, внеш- |
|
|
|
|
|
|
|
|
|
|||
ним устройствам ЭВМ, програм- |
|
|
|
|
|
|
|
|
|
|||
мам, томам, каталогам, файлам, |
|
|
|
|
|
|
|
|
|
|||
записям, полям записей |
|
|
|
|
|
|
|
|
|
|
||
- изменения полномочий субъек- |
|
|
|
|
|
|
+ |
+ |
+ |
|||
тов доступа |
|
|
|
|
|
|
|
|
|
|
|
|
- создаваемых защищаемых объ- |
|
|
|
+ |
|
|
+ |
+ |
+ |
|||
ектов доступа |
|
|
|
|
|
|
|
|
|
|
||
2.2. Учет носителей информации |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|||
2.3. Очистка (обнуление, обезли- |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
|||
чивание) освобождаемых областей |
|
|
|
|
|
|
|
|
|
|||
оперативной памяти ЭВМ и внеш- |
|
|
|
|
|
|
|
|
|
|||
них накопителей |
|
|
|
|
|
|
|
|
|
|
||
2.4. Сигнализация попыток нару- |
|
|
|
|
|
|
+ |
+ |
+ |
|||
шения защиты |
|
|
|
|
|
|
|
|
|
|
||
3. Криптографическая подсистема |
|
|
|
|
|
|
|
|
|
|||
3.1. Шифрование конфиденциаль- |
|
|
|
+ |
|
|
|
+ |
+ |
|||
ной информации |
|
|
|
|
|
|
|
|
|
|
||
3.2. Шифрование информации, |
|
|
|
|
|
|
|
|
+ |
|||
принадлежащей различным субъ- |
|
|
|
|
|
|
|
|
|
|||
ектам доступа (группам субъектов) |
|
|
|
|
|
|
|
|
|
|||
|
|
|
39 |
|
|
|
|
|
|
|
|
|