- •Введение
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам
- •Механизмы взаимодействия элементов иткс
- •1.2. Понятие угрозы информационной безопасности иткс
- •1.3. Уязвимости иткс
- •1.3.1. Уязвимости иткс в отношении угроз удаленного доступа
- •1.4. Классификация и описание процессов реализации угроз удаленного доступа к элементам иткс
- •1.4.1. Классификация атак
- •1.4.1.2. Классификация удаленных атак
- •1.4.2. Описание атак как процессов реализации угроз
- •1.4.2.1. Описание процессов реализации угроз удаленного доступа к элементам иткс
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс
- •2.1. Общее понятие о мерах и средствах защиты информации. Выбор актуальных направлений для защиты иткс от исследуемых атак
- •2.2. Криптографические меры
- •2.2.1. Применение криптографических протоколов
- •2.2.2. Создание виртуальных частных сетей
- •2.3. Применение межсетевых экранов
- •2.4.1. Виды межсетевых экранов
- •2.4.1.1. Фильтрующие маршрутизаторы
- •2.4.1.2. Шлюзы сеансового уровня
- •2.4.1.3. Шлюзы уровня приложений
- •2.4.2. Реализация функций межсетевых экранов
- •2.4.2.1. Механизм трансляции сетевых адресов
- •2.4.2.2. Дополнительная идентификация и аутентификация
- •2.4.3. Анализ достоинств и недостатков применения межсетевых экранов
- •2.5. Применение специфической конфигурации иткс для защиты от исследуемых атак
- •2.5.1. Применение коммутаторов в сети
- •2.5.2. Применение статических arp-таблиц
- •2.5.3. Специальные правила работы протоколов маршрутизации
- •2.5.4. Применение технологии «тонкого клиента»
- •Глава 3. Определение объектов защиты от угроз удаленного доступа
- •3.1. Определение множества объектов защиты
- •3.1.1. Определение множества типов иткс с учетом их назначения и специфики функционирования
- •3.1.2. Определение функциональных требований к иткс различных типов
- •3.1.3. Определение характеристик атак, реализуемых в отношении иткс различных типов
- •3.2.Определение множеств мер защиты, применимых для иткс различных типов
- •3.2.1. Обоснование требований безопасности для иткс различных типов
- •3.2.2. Рекомендации по реализации защиты иткс различных типов
- •3.3. Определение комплексов мер защиты иткс различных типов
- •3.3.1. Выявление соответствия применяемых мер защиты функциональным требованиям к иткс
- •3.3.2. Определение отношения рассматриваемых мер защиты к противодействию исследуемым атакам
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс
- •4.1.Моделирование процессов реализации сетевого анализа
- •4.1.1. Сниффинг пакетов в сети без коммутаторов
- •4.1.2. Сканирование сети
- •4.2. Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
- •4.3. Моделирование процессов реализации внедрения в сеть ложного объекта
- •4.3.1. Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-spoofing)
- •4.3.2. Внедрение в сеть ложного объекта путем навязывания ложного маршрута
- •4.4. Моделирование процессов реализации подмены доверенного объекта сети
- •4.4.1. Подмена доверенного объекта сети (ip-spoofing)
- •4.4.2. Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
- •4.5. Моделирование процессов реализации внедрения ложного dns-сервера
- •4.5.1. Внедрение ложного dns-сервера
- •4.5.2. Межсегментное внедрение ложного dns-сервера
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс
- •5.1. Выбор параметров для осуществления количественного анализа рисков иткс
- •5.1.1. Определение видов ущерба иткс при реализации угроз удаленного доступа к ее элементам
- •5.1.2. Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •5.2. Определение вероятностей реализации атак
- •5.2.1. Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •5.2.2. Расчет интенсивности возникновения атак
- •5.2.3. Расчет вероятности реализации атак
- •5.3. Расчет рисков реализации угроз удаленного доступа к элементам иткс
- •5.4. Расчет рисков реализации угроз, наносящих различный ущерб
- •5.4.1. Оценка ущерба от реализации атак
- •5.4.2. Оценка вероятностей реализации атак
- •5.4.3. Нахождение распределения вероятностей нанесения ущерба в условиях воздействия нескольких атак
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс
- •6.1. Понятие эффективности защиты информации
- •6.2. Алгоритм оценки эффективности применения комплексов мер
- •6.2.1. Введение функции соответствия исследуемого показателя требованиям
- •6.2.2. Расчет общей эффективности применения комплексов мер защиты иткс
- •6.3.Оценка соответствия функциональным требованиям при применении комплексов мер защиты
- •6.4. Оценка эффективности защиты иткс
- •6.4.1. Оценка вероятностных параметров реализации атак
- •6.4.1.1. Сниффинг пакетов в сети без коммутаторов
- •6.4.1.2. Сканирование сети
- •6.4.1.3. Отказ в обслуживании syn-flood
- •6.4.1.4. Внедрение ложного объекта (arp-спуфинг)
- •6.4.1.5.Внедрение ложного объекта (на основе недостатков протоколов маршрутизации)
- •6.4.1.6. Подмена доверенного объекта (ip-hijacking)
- •6.4.1.7. Подмена доверенного объекта (перехват сессии)
- •6.4.1.8. Внедрение ложного dns-сервера
- •6.4.2. Расчет рисков иткс при использовании мер противодействия угрозам удаленного доступа
- •6.4.3. Численная оценка эффективности защиты иткс
- •6.4.3.1.Оценка эффективности защиты иткс при фиксированной активности злоумышленника
- •6.4.3.2. Оценка защищенности иткс как функции от активности злоумышленника
- •6.5. Оценка общей эффективности применения комплексов мер защиты иткс
- •Заключение
- •Библиографический список
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам 6
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс 42
- •Глава 3. Определение объектов защиты от угроз удаленного доступа 87
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс 112
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс 158
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс 196
- •394026 Воронеж, Московский просп., 14
3.2.2. Рекомендации по реализации защиты иткс различных типов
Информационно-телекоммуникационные системы являются автоматизированными системами, требования к которым по защите информации от несанкционированного доступа устанавливаются в соответствии с руководящим документом Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г. [107].
Согласно этому документу, требования предъявляются преимущественно в интересах защиты информации от несанкционированного доступа. В документе подчеркивается, что комплекс средств защиты и организационных (процедурных) решений по защите информации от несанкционированного доступа должен реализовываться в рамках системы защиты информации от несанкционированного доступа, включающей в себя следующие четыре подсистемы:
1) управления доступом,
2) регистрации и учета,
3) криптографической,
4) обеспечения целостности.
Состав указанных подсистем зависит от класса защиты ИТКС. Выбор требуемого класса защиты определяется:
— перечнем защищаемых информационных ресурсов ИТКС и их уровнем конфиденциальности;
— перечнем лиц, имеющих доступ к штатным средствам ИТКС, с указанием их уровня полномочий;
— матрицей доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам ИТКС;
— режимом обработки данных в ИТКС.
В зависимости от указанных признаков может быть введен один из девяти классов защищенности информационно-телекоммуникационной системы, объединяемых в три группы:
— третья группа классифицирует ИТКС, в которых работает один пользователь, допущенный ко всей информации ИТКС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А;
— вторая группа классифицирует ИТКС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации ИТКС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А;
— первая группа классифицирует многопользовательские ИТКС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации ИТКС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
Исходя из описания исследуемых ИТКС, присвоим им следующие классы защищенности:
— изолированная — 2А,
— корпоративная (гос.) — 1Б.
В зависимости от установленного класса ИТКС в рамках указанных подсистем должен быть реализован определенный перечень требований по защите информации от несанкционированного доступа (НСД).
В подсистемах управления доступом должны быть реализованы:
1. Идентификация, проверка подлинности и контроль доступа субъектов:
— в систему;
— к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
— к программам;
— к томам, каталогам, файлам, записям, полям записей.
2. Управление потоками информации. При этом подсистемой управления доступом должна осуществляться идентификация и проверка подлинности субъектов доступа:
— для класса защищенности 2Б, 2А, 1Г, 1В — при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести символов;
— для класса защищенности 1Б при входе в систему по идентификатору (коду) и паролю временного действия длиной не менее восьми символов.
Кроме того, должны осуществляться:
— идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам);
— идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
— контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
— управление потоками информации с помощью меток конфиденциальности (при этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации);
— меток конфиденциальности (при этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации).
В подсистеме регистрации и учета должны быть реализованы:
1. Регистрация и учет:
— входа (выхода) субъектов доступа в (из) системы (узел сети);
— выдачи печатных (графических) выходных документов;
— запуска (завершения) программ и процессов (заданий, задач);
— доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
— доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
— изменения полномочий субъектов доступа;
— создаваемых защищаемых объектов доступа.
2. Учет носителей информации.
3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
4. Сигнализация попыток нарушения защиты.
При этом для класса защищенности 3Б должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или остановки не проводится в моменты аппаратурного отключения ИТКС. В параметрах регистрации указываются:
— время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/остановка системы;
— должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки с занесением учетных данных в журнал (учетную карточку);
Для класса защищенности 2А, 1Г подсистемой регистрации и учета: должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения ИТКС.
Должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами ИТКС с указанием на последнем листе документа общего количества листов (страниц).
Должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
Для класса защищенности 1В, 1Б, 1А подсистемой регистрации и учета: должна осуществляться те же функции, что и для класса 1Г, а также должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. При этом в параметрах регистрации указываются:
— дата и время изменения полномочий;
— идентификатор субъекта доступа (администратора), осуществившего изменения.
Кроме того, для класса 1Б и 1А должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.
В криптографической подсистеме должно быть реализовано:
1. Шифрование конфиденциальной информации.
2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.
3. Использование аттестованных (сертифицированных) криптографических средств.
Для класса 2А, 1Б криптографической подсистемой должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию. Кроме этого, доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом, и должны использоваться сертифицированные средства криптографической защиты.
В подсистеме обеспечения целостности должно быть реализовано:
1. Обеспечение целостности программных средств и обрабатываемой информации.
2. Физическая охрана средств вычислительной техники и носителей информации.
3. Наличие администратора (службы) защиты информации в ИТКС.
4. Периодическое тестирование системы защиты.
5. Наличие средств восстановления системы защиты.
6. Использование сертифицированных средств защиты.
Для классов 3Б, 3А, 2Б, 2А подсистемой обеспечения целостности должна быть обеспечена целостность программных средств системы защиты, обрабатываемой информации, а также неизменность программной среды. При этом:
— целостность системы защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонент системы защиты;
— целостность программной среды обеспечивается отсутствием в ИТКС средств разработки и отладки программ;
— должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ИТКС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений ИТКС;
— должно проводиться периодическое тестирование функций системы защиты при изменении программной среды и персонала ИТКС с помощью тест-программ, имитирующих попытки несанкционированного доступа;
— должны быть в наличии средства восстановления системы защиты от несанкционированного доступа, предусматривающие ведение двух копий программных средств защиты и их периодическое обновление и контроль работоспособности, а для класса 3А и 2А дополнительно должно выполняться требование использования сертифицированных средств защиты [3,8,107].
При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев целесообразно использовать руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации». Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
1) управление доступом,
2) идентификация и аутентификация,
3) регистрация событий и оповещение,
4) контроль целостности,
5) восстановление работоспособности.
На основании показателей защищенности определяется следующие пять классов защищенности МЭ:
— простейшие фильтрующие маршрутизаторы — класс 5,
— пакетные фильтры сетевого уровня — класс 4,
— простейшие МЭ прикладного уровня — класс 3,
— МЭ базового уровня — класс 2,
— продвинутые МЭ — класс 1.
МЭ первого класса защищенности могут использоваться в ИТКС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности ИТКС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п. Он применяется для безопасного взаимодействия ИТКС класса 1Д с внешней средой, четвертый — для 1Г, третий — для 1В, второй — для 1Б, самый высокий — первый — для 1А.
Для ИТКС класса 2Б, 3Б применяются МЭ не ниже пятого класса.
Для ИТКС класса 2А, 3А в зависимости от важности обрабатываемой информации применяются МЭ следующих классов:
— при обработке информации с грифом «секретно» — не ниже третьего класса,
— при обработке информации с грифом «совершенно секретно» — не ниже второго класса,
— при обработке информации с грифом «особой важности» — только первого класса [109].
В настоящее время описанные руководящие документы уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных ИТКС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).
Рекомендации ФСТЭК, устанавливающие требования к защите коммерческой тайны и персональных данных, являются документами для служебного пользования и выдаются организациям в случае необходимости.
Таким образом, сформулированы минимальные требования безопасности к исследуемым ИТКС. В любой рассматриваемый далее комплекс мер защиты соответствующего типа ИТКС эти необходимые меры должны быть включены обязательно.