Лабораторный практикум по НСД 2013
.pdfМинистерство образования и науки Российской Федерации
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»
УЧЕБНАЯ КНИГА ФАКУЛЬТЕТА «КИБЕРНЕТИКА И ИНФОРМАЦИОННАЯ БЕЗО-
ПАСНОСТЬ» НИЯУ МИФИ
В.С. ГОРБАТОВ, А.П. ДУРАКОВСКИЙ, Р.С. ЕНГАЛЫЧЕВ, КОНДРАТЬЕВА Т.А., В.С. ЛАВРЕНТЬЕВ, ЛАВРУХИН Ю.Н., В.Р. ПЕТРОВ
КОНТРОЛЬ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ
Москва 2013
2
УДК 004.056(076.5) +681.5(076.5) ББК 32.81я7 К65
Горбатов В.С., Дураковский А.П., Енгалычев Р.С., Кондратьева Т.А.,Лаврентьев В.С., Лаврухин Ю.Н., Петров В.Р. КОНТРОЛЬ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ. Лабораторный практикум. — М.: НИЯУ МИФИ, 2013. — 470 с.
Настоящий лабораторный практикум предназначен для совершенствования учебнометодического обеспечения практической профессиональной подготовки специалистов в области аттестации автоматизированных систем по требованиям безопасности информации в части контроля защищенности от несанкционированного доступа.
Для преподавателей высших учебных заведений, готовящих специалистов в области защиты информации, а также студентов для слушателей курсов повышения квалификации в области обеспечения комплексной безопасности.
Изд. № 004-1 от 12.06.2013
ISBN 978-5-7262-1924-0
Горбатов В.С., Дураковский А.П., Енгалычев Р.С.,Кондратьева Т.А., Лаврентьев В.С, Лаврухин Ю.Н., Петров В.Р., 2013
Национальный исследовательский ядерный университет
«МИФИ», 2013
|
3 |
|
|
СОДЕРЖАНИЕ |
|
Предисловие |
5 |
|
1. |
Вводная часть |
6 |
1.1. Понятие аттестации объекта информатизации |
7 |
|
1.2. Состав учебно-методических задач по аттестации объектов |
8 |
|
|
информатизации в части защиты от несанкционированного доступа |
|
1.3. Поддерживаемые специальности и учебные дисциплины |
12 |
|
1.4. |
Используемое учебно-методическое обеспечение |
13 |
1.5. |
Используемое учебно-лабораторное обеспечение |
15 |
2. Состав и краткие аннотации лабораторных практикумов |
16 |
3.Учебно-методические рекомендации по выполнению лабораторных 23 работ
4. Лабораторные практикумы |
25 |
4.1.Лабораторная работа № 1: Организация аттестации АС по требо25 ваниям безопасности информации в части защиты от НСД. Проверка документации
4.2.Лабораторная работа № 2: Инвентаризация актуального состава 37 технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения
4.3.Лабораторная работа № 3: Поиск отличий реально полученной ин78 формации от информации, заявленной в исходных данных на объекте информатизации
4.4.Группа из четырех лабораторных работ, объединенных тематикой: 82 поиск уязвимостей в составе и настройках системного и прикладного программного обеспечения
4.4.1. Лабораторная работа № 4: Контроль уязвимостей на уровне сети |
82 |
4.4.2.Лабораторная работа № 5: Контроль уязвимостей на уровне опе109 рационных систем и прикладного ПО
4.4.3.Лабораторная работа № 6: Контроль уязвимостей на уровне сис114 темы управления базами данных
4.4.4.Лабораторная работа № 7: Контроль настроек механизмов обнов147 ления системного и прикладного ПО
4.5. Лабораторная работа № 8: Контроль механизмов идентификации и 152 аутентификации пользователей» при работе со средствами защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», а также программными продуктами «НКВД 2.2» и «НКВД 2.3»
4.6. Группа и шести лабораторных работ, объединенных тематикой: 182 контроль прав доступа субъектов к объектам
4.6.1.Лабораторная работа № 9: Проверка организации контроля досту183 па к объекту с использованием специализированных средств доверенной загрузки
4.6.2.Лабораторная работа № 10: Проверка настроек разрешительной 217 системы доступа к файловым системам с использованием специализированных тестирующих средств и штатных средств из состава ОС
4
4.6.3.Лабораторная работа № 11: Проверка организации контроля дос256 тупа клиент-серверных приложений к объектам баз данных. Разграничение полномочий пользователей с использованием ролей и привилегий
4.6.4.Лабораторная работа № 12: Детальный контроль доступа пользо270 вателей к базам данных
4.6.5.Лабораторная работа № 13: Мандатный контроль доступа пользо281 вателей
4.6.6.Лабораторная работа № 14: Проверка настроек механизмов кон298 троля
4.7. Группа из двух лабораторных работ, объединенных тематикой: |
339 |
контроль подсистем аудита (регистрации и учета действий пользова- |
|
телей) |
|
4.7.1. Лабораторная работа № 15: Контроль аудита действий пользовате- |
339 |
лей средствами разработчика, встроенными средствами СУБД Oracle, |
|
аудит действий пользователя с привилегией «sysdba» |
|
4.7.2. Лабораторная работа № 16: Контроль детального аудита действий |
357 |
пользователей в СУБД Oracle |
|
4.8. Группа из четырех лабораторных работ, объединенных тематикой: |
374 |
контроль подсистемы обеспечения целостности |
|
4.8.1.Лабораторная работа № 17: Настройка средств контроля целостно374 сти на основе операций контрольного суммирования
4.8.2.Лабораторная работа № 18. Контроль настроек и работы антиви391 русных средств
4.8.3.Лабораторная работа № 19: Контроль восстановления базы данных 405 при разных сценариях потери/повреждения файлов, физического копирования и архивирования данных
4.8.4.Лабораторная работа № 20: Контроль восстановления базы данных 421 методами логического копирования
5. Ответы к тестовым заданиям |
437 |
6.Образцы типовых форм отчетной документации по аттестационным 441 испытаниям автоматизированных систем в части защиты от несанк-
ционированного доступа |
|
|
Приложение 1. Протокол испытаний АС на соответствие требованиям |
441 |
|
по защите информации от несанкционированного доступа |
|
|
Приложение 2. Результаты тестирования АС |
445 |
|
Приложение 3. Инструкция по проведению антивирусного контроля АС |
451 |
|
Приложение 4. Инструкция пользователю автоматизированной системы |
452 |
|
по работе с секретной информацией |
|
|
Приложение 5. |
Инструкция администратору защиты АС |
455 |
Приложение 6. |
Скрипт для лабораторных работ №11 и №15 |
458 |
Приложение 7. |
Скрипты для лабораторной работы №12 |
462 |
Приложение 8. |
Скрипт для лабораторной работы №13 |
468 |
5
ПРЕДИСЛОВИЕ
Практическая реализация поставленной задачи по разработке учебного пособия для подготовки специалистов по защите информации в области аттестации автоматизированных систем по требованиям безопасности информации в части контроля защищенности от несанкционированного доступа была осуществлена по заданию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) в содружестве ряда известных организаций: ГНИИИ ПТЗИ ФСТЭК России (г. Воронеж); Центра безопасности информации «МАСКОМ» (г. Москва); Центра безопасности информации (г. Юбилейный). Головную роль в данной разработке выполнял НИЯУ МИФИ.
Обобщение и разработка настоящего сборника проведены к.т.н., доцентом Горбатовым В.С., к.т.н., доцентом Дураковским А.П. и к.т.н., доцентом Петровым В.А. Непосредственное участие в разработке лабораторных работ принимали Енгалычев Р.С, Зайцев И.В. (работы №№ 1, 2, 3, 5), Петров В.А (работы №№ 4,7,8), Зинатулин Р.Р. (работы №№9,10,14), Лаврентьев В.С. (работы №,№ 6,11,12,13,15,16,19,20), Панов П.С. (работы №№17,18).
Все лабораторные работы предусматривают возможность самоконтроля студентов при подготовке к выполнению работ. Тестовые задания для самоконтроля перед выполнением лабораторной работы и после ее выполнения перед сдачей лабораторной работы преподавателю помещены сразу за описаниями лабораторных работ. Ответы к тестовым заданиям для самопроверки помещены после описаний всех лабораторных работ.
6
1.ВВОДНАЯ ЧАСТЬ
1.1.ПОНЯТИЕ АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестация объекта информатизации (ОИ) по требованиям безопасности информации. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа ‒ «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Федеральной службой по техническому и экпортному контролю (ФСТЭК) России.
Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
7
Аттестация поводится органом по аттестации в установленном законодательством порядке в соответствии с программой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
∙анализ исходных данных по аттестуемому объекту информатизации;
∙предварительное ознакомление с аттестуемым объектом информатиза-
ции;
∙проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
∙определение (уточнение) угроз безопасности информации и модели вероятного нарушителя применительно к конкретным условиям функционирования объекта;
∙разработка программы и методик проведения аттестационных испытаний
исогласование с Заказчиком;
∙проверка объекта информатизации на соответствие организационнотехническим требованиям по защите информации;
∙определение технических средств и систем, для которых рекомендуется проведение специальных лабораторных испытаний и специальных проверок. (проведение работ осуществляется по решению руководителя организации (Заказчика));
∙проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
∙проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
∙проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
∙подготовка отчетной документации по результатам аттестационных испытаний и разработка, при необходимости, предложений по совершенствованию системы защиты информации на объекте информатизации;
∙анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, утверждение заключения по результатам аттестации, оформление «Аттестата соответствия» на объект информатизации.
8
1.2. СОСТАВ УЧЕБНО-МЕТОДИЧЕСКИХ ЗАДАЧ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ В ЧАСТИ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
При проведении аттестационных испытаний ОИ в части защиты от несанкционированного доступа (НСД) помимо общего комплекса работ специалистыэксперты должны обладать дополнительными углубленными умениями и практическими навыками по целому ряду направлений работ, причем, каждое из направлений работ предполагает решение ряда частных задач, требующих от специали- ста-эксперта определенных умений и практических навыков, в том числе по применению специализированных программных средств.
На рис. 1 приведена последовательность задач, которые в дальнейшем рассматриваем в качестве основных учебно-методических задач при подготовке спе- циалиста-эксперта.
В рамках задачи проведения инвентаризации актуального состава технических и программных средств ОИ рассматриваются следующие подзадачи:
∙Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием стандартных средств операционных систем.
∙Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием специализированных средств системного сканирования ПЭВМ.
∙Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием стандартных средств операционных систем.
Задача проведения инвентаризации актуального состава технических и программных средств ОИ
Задача сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств
Задача поиска уязвимостей в составе и настройках системного и прикладного программного обеспечения
Задача контроля механизмов идентификации и аутентификации пользователей
Задача контроля прав доступа субъектов к объектам
Задача контроля подсистем систем аудита (регистрации и учета)
9
Задача контроля подсистемы обеспечения целостности
Рисунок 1 - Типовые учебно-методические задачи по аттестации объектов информатизации в части защиты от НСД.
∙Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием специализированных средств сетевого и системного сканирования ЛВС.
В рамках задачи сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств ОИ.
∙Поиск отличий реально полученной информации от информации, заявленной в исходных данных на ОИ.
В рамках задачи поиска уязвимостей в составе и настройках системного и прикладного программного обеспечения рассматриваются следующие подзадачи:
∙Контроль уязвимостей на уровне сети с использованием специализированных сетевых сканеров безопасности.
∙Контроль уязвимостей на уровне операционных систем и прикладного ПО с использованием специализированных системных сканеров.
∙Контроль уязвимостей на уровне СУБД с использованием специализированных сканеров баз данных.
∙Контроль настроек механизмов обновления системного и прикладного
ПО.
В рамках задачи контроля механизмов идентификации и аутентификации пользователей рассматриваются следующие подзадачи:
∙Контроль состава и параметров учетных записей пользователей.
∙Контроль настроек параметров парольной политики.
∙Проверка стойкости паролей.
Врамках задачи контроля прав доступа субъектов к объектам рассматриваются следующие подзадачи:
∙Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки.
∙Проверка организации контроля доступа к объекту с использованием стандартных средств из состава операционных систем.
∙Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием стандартных средств из состава операционных систем.
10
∙Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием специализированных тестирующих средств контроля доступа.
∙Проверка организации контроля доступа клиент-серверных приложений к объектам баз данных.
∙Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ изнутри ЛВС с использованием специализированных сетевых тестирующих средств.
∙Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ из-за периметра ЛВС с использованием специализированных сетевых тестирующих средств.
∙Проверка настроек механизмов контроля доступа специализированных средств защиты информации от несанкционированного доступа для автономных ПЭВМ.
∙Проверка настроек механизмов контроля доступа специализированных сетевых средств защиты информации от несанкционированного доступа.
∙Проверка установленных прав и привилегий пользователей при работе в системе.
∙Контроль доступа к съемным носителям информации с использованием специализированных средств.
∙Контроль настроек средств межсетевого экранирования.
∙Контроль возможности обхода механизмов доверенной загрузки систе-
мы.
Врамках задачи контроля подсистем систем регистрации и учета (аудита) рассматриваются следующие подзадачи:
∙Проверка настроек стандартных параметров аудита операционных систем. Анализ работы подсистем аудита на основе записей в системных журналах аудита.
∙Проверка настроек параметров аудита для коммуникационного оборудования. Анализ работы подсистем аудита коммуникационного оборудования на основе записей в соответствующих LOG-файлах.
∙Проверка настроек параметров аудита специализированных средств защиты информации от несанкционированного доступа. Анализ работы подсистем аудита специализированных средств защиты информации от несанкционированного доступа на основе записей в журналах аудита СЗИ от НСД.
∙Проверка параметров аудита стандартных средств СУБД.