Лабораторный практикум по НСД 2013

Министерство образования и науки Российской Федерации

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ»

УЧЕБНАЯ КНИГА ФАКУЛЬТЕТА «КИБЕРНЕТИКА И ИНФОРМАЦИОННАЯ БЕЗО-

ПАСНОСТЬ» НИЯУ МИФИ

В.С. ГОРБАТОВ, А.П. ДУРАКОВСКИЙ, Р.С. ЕНГАЛЫЧЕВ, КОНДРАТЬЕВА Т.А., В.С. ЛАВРЕНТЬЕВ, ЛАВРУХИН Ю.Н., В.Р. ПЕТРОВ

КОНТРОЛЬ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ

Москва 2013

2

УДК 004.056(076.5) +681.5(076.5) ББК 32.81я7 К65

Горбатов В.С., Дураковский А.П., Енгалычев Р.С., Кондратьева Т.А.,Лаврентьев В.С., Лаврухин Ю.Н., Петров В.Р. КОНТРОЛЬ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. АТТЕСТАЦИОННЫЕ ИСПЫТАНИЯ. Лабораторный практикум. — М.: НИЯУ МИФИ, 2013. — 470 с.

Настоящий лабораторный практикум предназначен для совершенствования учебнометодического обеспечения практической профессиональной подготовки специалистов в области аттестации автоматизированных систем по требованиям безопасности информации в части контроля защищенности от несанкционированного доступа.

Для преподавателей высших учебных заведений, готовящих специалистов в области защиты информации, а также студентов для слушателей курсов повышения квалификации в области обеспечения комплексной безопасности.

Изд. № 004-1 от 12.06.2013

ISBN 978-5-7262-1924-0

Горбатов В.С., Дураковский А.П., Енгалычев Р.С.,Кондратьева Т.А., Лаврентьев В.С, Лаврухин Ю.Н., Петров В.Р., 2013

Национальный исследовательский ядерный университет

«МИФИ», 2013

3.Учебно-методические рекомендации по выполнению лабораторных 23 работ

4.1.Лабораторная работа № 1: Организация аттестации АС по требо25 ваниям безопасности информации в части защиты от НСД. Проверка документации

4.2.Лабораторная работа № 2: Инвентаризация актуального состава 37 технических и программных средств объекта информатизации с использованием штатных средств операционной системы и программного обеспечения

4.3.Лабораторная работа № 3: Поиск отличий реально полученной ин78 формации от информации, заявленной в исходных данных на объекте информатизации

4.4.Группа из четырех лабораторных работ, объединенных тематикой: 82 поиск уязвимостей в составе и настройках системного и прикладного программного обеспечения

4.4.2.Лабораторная работа № 5: Контроль уязвимостей на уровне опе109 рационных систем и прикладного ПО

4.4.3.Лабораторная работа № 6: Контроль уязвимостей на уровне сис114 темы управления базами данных

4.4.4.Лабораторная работа № 7: Контроль настроек механизмов обнов147 ления системного и прикладного ПО

4.5. Лабораторная работа № 8: Контроль механизмов идентификации и 152 аутентификации пользователей» при работе со средствами защиты информации (СЗИ) от НСД «Аккорд» и «Соболь», а также программными продуктами «НКВД 2.2» и «НКВД 2.3»

4.6. Группа и шести лабораторных работ, объединенных тематикой: 182 контроль прав доступа субъектов к объектам

4.6.1.Лабораторная работа № 9: Проверка организации контроля досту183 па к объекту с использованием специализированных средств доверенной загрузки

4.6.2.Лабораторная работа № 10: Проверка настроек разрешительной 217 системы доступа к файловым системам с использованием специализированных тестирующих средств и штатных средств из состава ОС

4

4.6.3.Лабораторная работа № 11: Проверка организации контроля дос256 тупа клиент-серверных приложений к объектам баз данных. Разграничение полномочий пользователей с использованием ролей и привилегий

4.6.4.Лабораторная работа № 12: Детальный контроль доступа пользо270 вателей к базам данных

4.6.5.Лабораторная работа № 13: Мандатный контроль доступа пользо281 вателей

4.6.6.Лабораторная работа № 14: Проверка настроек механизмов кон298 троля

4.8.1.Лабораторная работа № 17: Настройка средств контроля целостно374 сти на основе операций контрольного суммирования

4.8.2.Лабораторная работа № 18. Контроль настроек и работы антиви391 русных средств

4.8.3.Лабораторная работа № 19: Контроль восстановления базы данных 405 при разных сценариях потери/повреждения файлов, физического копирования и архивирования данных

4.8.4.Лабораторная работа № 20: Контроль восстановления базы данных 421 методами логического копирования

6.Образцы типовых форм отчетной документации по аттестационным 441 испытаниям автоматизированных систем в части защиты от несанк-

5

ПРЕДИСЛОВИЕ

Практическая реализация поставленной задачи по разработке учебного пособия для подготовки специалистов по защите информации в области аттестации автоматизированных систем по требованиям безопасности информации в части контроля защищенности от несанкционированного доступа была осуществлена по заданию Федеральной службы по техническому и экспортному контролю (ФСТЭК России) в содружестве ряда известных организаций: ГНИИИ ПТЗИ ФСТЭК России (г. Воронеж); Центра безопасности информации «МАСКОМ» (г. Москва); Центра безопасности информации (г. Юбилейный). Головную роль в данной разработке выполнял НИЯУ МИФИ.

Обобщение и разработка настоящего сборника проведены к.т.н., доцентом Горбатовым В.С., к.т.н., доцентом Дураковским А.П. и к.т.н., доцентом Петровым В.А. Непосредственное участие в разработке лабораторных работ принимали Енгалычев Р.С, Зайцев И.В. (работы №№ 1, 2, 3, 5), Петров В.А (работы №№ 4,7,8), Зинатулин Р.Р. (работы №№9,10,14), Лаврентьев В.С. (работы №,№ 6,11,12,13,15,16,19,20), Панов П.С. (работы №№17,18).

Все лабораторные работы предусматривают возможность самоконтроля студентов при подготовке к выполнению работ. Тестовые задания для самоконтроля перед выполнением лабораторной работы и после ее выполнения перед сдачей лабораторной работы преподавателю помещены сразу за описаниями лабораторных работ. Ответы к тестовым заданиям для самопроверки помещены после описаний всех лабораторных работ.

6

1.ВВОДНАЯ ЧАСТЬ

1.1.ПОНЯТИЕ АТТЕСТАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Аттестация объекта информатизации (ОИ) по требованиям безопасности информации. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа ‒ «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Федеральной службой по техническому и экпортному контролю (ФСТЭК) России.

Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия».

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

7

Аттестация поводится органом по аттестации в установленном законодательством порядке в соответствии с программой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:

∙анализ исходных данных по аттестуемому объекту информатизации;

∙предварительное ознакомление с аттестуемым объектом информатиза-

ции;

∙проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

∙определение (уточнение) угроз безопасности информации и модели вероятного нарушителя применительно к конкретным условиям функционирования объекта;

∙разработка программы и методик проведения аттестационных испытаний

исогласование с Заказчиком;

∙проверка объекта информатизации на соответствие организационнотехническим требованиям по защите информации;

∙определение технических средств и систем, для которых рекомендуется проведение специальных лабораторных испытаний и специальных проверок. (проведение работ осуществляется по решению руководителя организации (Заказчика));

∙проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

∙проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

∙проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

∙подготовка отчетной документации по результатам аттестационных испытаний и разработка, при необходимости, предложений по совершенствованию системы защиты информации на объекте информатизации;

∙анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации, утверждение заключения по результатам аттестации, оформление «Аттестата соответствия» на объект информатизации.

8

1.2. СОСТАВ УЧЕБНО-МЕТОДИЧЕСКИХ ЗАДАЧ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ В ЧАСТИ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

При проведении аттестационных испытаний ОИ в части защиты от несанкционированного доступа (НСД) помимо общего комплекса работ специалистыэксперты должны обладать дополнительными углубленными умениями и практическими навыками по целому ряду направлений работ, причем, каждое из направлений работ предполагает решение ряда частных задач, требующих от специали- ста-эксперта определенных умений и практических навыков, в том числе по применению специализированных программных средств.

На рис. 1 приведена последовательность задач, которые в дальнейшем рассматриваем в качестве основных учебно-методических задач при подготовке спе- циалиста-эксперта.

В рамках задачи проведения инвентаризации актуального состава технических и программных средств ОИ рассматриваются следующие подзадачи:

∙Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием стандартных средств операционных систем.

∙Проведение инвентаризации состава технических и программных средств отдельного персонального компьютера с использованием специализированных средств системного сканирования ПЭВМ.

∙Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием стандартных средств операционных систем.

Задача проведения инвентаризации актуального состава технических и программных средств ОИ

Задача сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств

Задача поиска уязвимостей в составе и настройках системного и прикладного программного обеспечения

Задача контроля механизмов идентификации и аутентификации пользователей

Задача контроля прав доступа субъектов к объектам

Задача контроля подсистем систем аудита (регистрации и учета)

9

Задача контроля подсистемы обеспечения целостности

Рисунок 1 - Типовые учебно-методические задачи по аттестации объектов информатизации в части защиты от НСД.

∙Проведение инвентаризации состава технических и программных средств локальной вычислительной сети с использованием специализированных средств сетевого и системного сканирования ЛВС.

В рамках задачи сверки результатов инвентаризации с представленными исходными данными по составу технических и программных средств ОИ.

∙Поиск отличий реально полученной информации от информации, заявленной в исходных данных на ОИ.

В рамках задачи поиска уязвимостей в составе и настройках системного и прикладного программного обеспечения рассматриваются следующие подзадачи:

∙Контроль уязвимостей на уровне сети с использованием специализированных сетевых сканеров безопасности.

∙Контроль уязвимостей на уровне операционных систем и прикладного ПО с использованием специализированных системных сканеров.

∙Контроль уязвимостей на уровне СУБД с использованием специализированных сканеров баз данных.

∙Контроль настроек механизмов обновления системного и прикладного

ПО.

В рамках задачи контроля механизмов идентификации и аутентификации пользователей рассматриваются следующие подзадачи:

∙Контроль состава и параметров учетных записей пользователей.

∙Контроль настроек параметров парольной политики.

∙Проверка стойкости паролей.

Врамках задачи контроля прав доступа субъектов к объектам рассматриваются следующие подзадачи:

∙Проверка организации контроля доступа к объекту с использованием специализированных средств доверенной загрузки.

∙Проверка организации контроля доступа к объекту с использованием стандартных средств из состава операционных систем.

∙Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием стандартных средств из состава операционных систем.

10

∙Проверка настроек разрешительной системы доступа субъектов к объектам файловых систем с использованием специализированных тестирующих средств контроля доступа.

∙Проверка организации контроля доступа клиент-серверных приложений к объектам баз данных.

∙Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ изнутри ЛВС с использованием специализированных сетевых тестирующих средств.

∙Проверка возможностей сетевого удаленного доступа к объектам доступа ОИ из-за периметра ЛВС с использованием специализированных сетевых тестирующих средств.

∙Проверка настроек механизмов контроля доступа специализированных средств защиты информации от несанкционированного доступа для автономных ПЭВМ.

∙Проверка настроек механизмов контроля доступа специализированных сетевых средств защиты информации от несанкционированного доступа.

∙Проверка установленных прав и привилегий пользователей при работе в системе.

∙Контроль доступа к съемным носителям информации с использованием специализированных средств.

∙Контроль настроек средств межсетевого экранирования.

∙Контроль возможности обхода механизмов доверенной загрузки систе-

мы.

Врамках задачи контроля подсистем систем регистрации и учета (аудита) рассматриваются следующие подзадачи:

∙Проверка настроек стандартных параметров аудита операционных систем. Анализ работы подсистем аудита на основе записей в системных журналах аудита.

∙Проверка настроек параметров аудита для коммуникационного оборудования. Анализ работы подсистем аудита коммуникационного оборудования на основе записей в соответствующих LOG-файлах.

∙Проверка настроек параметров аудита специализированных средств защиты информации от несанкционированного доступа. Анализ работы подсистем аудита специализированных средств защиты информации от несанкционированного доступа на основе записей в журналах аудита СЗИ от НСД.

∙Проверка параметров аудита стандартных средств СУБД.