2354
.pdf
Наиболее защищенными являются СУБД, поддерживающие различные варианты технологии «клиентсервер». Их глобальными преимуществами являются:
наличие механизма, отделяющего пользователей от файлов БД (системы драйверов);
возможность располагать файлы БД на разных физических носителях и серверах, доступ к которым пользователям закрыт; наличие гибкой системы разграничения полномочий
пользователей (групп) к различным объектам БД (таблицам, их столбцам и строкам).
К этому классу относятся следующие СУБД: MS SQLserver, Informix, DB2, «Oracle», «Линтер». На примере последней будут рассмотрены механизмы работы СЗИ СУБД данного класса.
Подсистемы защиты локальных сетей Подсистемы защиты локальных сетей являются, как
правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их ПСБ и (или) добавляют некоторые дополнительные эксклюзивные функции безопасности. Для комплексной защиты информации в локальных сетях применяются программно-аппаратные комплексы (ПАК), которые осуществляют:
защиту корпоративных ресурсов от доступа к ним посторонних лиц с помощью собственных защитных механизмов и встроенных возможностей ОС;
централизованное управление информационной безопасностью в гетерогенных сетях; контроль действий пользователей сети и оперативное реагирование на факты и попытки НСД.
91
Комплексные системы защиты корпоративных сетей Существует достаточное количество комплексных
решений для защиты корпоративных сетей, представляющих собой либо единый программный комплекс, либо линейку взаимодополняющих программных продуктов, выполняющих функции:
центра управления сетью;
удостоверяющего центра электронной цифровой подписи;
средства формирования и проверки цифровой подписи
ключевого центра подсистемы шифрования трафика; межсетевого экрана.
2.2.4. Управление доступом в технологическом цикле обработки информации в автоматизированной системе
Рассмотрим схему управления доступом, которая описывает взаимосвязанную последовательность функциональных и защитных операций в рамках типового технологического цикла работы пользователей с функциями и ИР АС (рис. 2.3), которые управляются с помощью системных сервисов (аутентификации и авторизации, дискреционного и мандатного доступа) и реализуются через систему интерфейсов АС. В нее входят:
а) Последовательная цепочка действий пользователя, направленных на вход в АС и получение доступа к требуемому интерфейсу (на примере системы электронного документооборота (СЭД)), которые сопровождаются методами контроля доступа.
б) Цепочка операций по вводу/коррекции и проверке введенной информации, которые сопровождаются методами авторизации и контроля целостности, полномочий.
в) Операции вывода документов на печать, которые сопровождаются методами контроля доступа и качества.
92
Рис. 2.3. Схема управления доступом в цикле обработки данных
Так, например, механизм управления доступом пользователей в процессе их работы с интерфейсами ЭД действует следующим образом:
в процессе входа пользователя в локальную сеть производится его аутентификация, а также идентификация его ПК;
при каждом последующем шаге пользователя система осуществляет контроль его прав на доступ к программам и возможным операциям с ними;
любое действие пользователя фиксируется в журнале учета; действия пользователей по вводу-коррекции
информации авторизуются и проверяются на
корректность; операции контроля доступа реализуют групповой
доступ к объектам интерфейса, базам данных и логическим объектам СЭД (дискреционный принцип) и доступ на основе анализа специальных меток объектов БД (мандатный принцип).
2.2.5. Методы разграничения доступа пользователей к информационным ресурсам автоматизированной защищенной системы
Актуальной проблемой в процессе выработки политики безопасности является разграничение прав доступа пользователей к ИР АС. Одним из условий адекватного решения данной проблемы является формализация правил разграничения доступа (ПРД) к ИР. Методика формализации ПРД к ИР включает в себя:
группирование ИР по предметной (тематической) принадлежности и целевому назначению;
определение используемых уровней важности и конфиденциальности ИР;
присваивание уровней важности и конфиденциальности сформированным группам ИР (и возможно конкретным типам данных или документов);
создание модели группирования пользователей ИАС на основе их структурной принадлежности, уровня в иерархии и выполняемых в ИАС функций;
определение видов системных прав доступа к ИР;
присваивание прав доступа для каждой группы пользователей к каждой группе ИР подготовка и заполнение таблицы соответствия групп
ИР уровням важности (конфиденциальности) и правам групп пользователей.
94
Множество структурных групп пользователей образуют организационные структуры – пользователи КС или их подразделения.
Результаты применения данной методики к конкретной КС лучше всего отображать в виде таблицы (матрицы).
Пример:
Множество ИР структурируется по нескольким основаниям на подмножества:
на основе информационных потребностей пользователей АС выделяется подмножество информационных групп R = {r1 ,...., rn }.
выделяется также подмножество ИР по уровням конфиденциальности: C={c1,..,cm}, ИР могут быть: открытыми (c1); конфиденциальными (составляющими служебную тайну) (c2); секретными (составляющими государственную тайну) (c3); 
определяется также подмножество уровней важности ИР: I = {i1 ,...., ik}., которое содержит ИР со следующими
уровни важности: низкий (i1); средний (i2); высокий (i3);
множество структурных групп пользователей (G) образуют организационные структуры - пользователи АС или их подразделения (gj): G = {g1,....,gr}.
определяется множество видов прав доступа к ИР: A = {0,...., m}, права: 0 - нет доступа; 1 - чтение; 2 - запись (включает чтение и модификацию); 3 - удаление (только для системного администратора).
В результате применения описанной методики строится матрица доступа к ИР (см. таблицу)
95
Таблица
Матрица доступа
R |
C |
I |
|
|
|
A |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
g1 |
g2 |
g3 |
g4 |
g5 |
g6 |
|
|
|
|
|
|
|
|
|
r1 |
c2 |
i2 |
1 |
2 |
2 |
2 |
1 |
2 |
|
|
|
|
|
|
|
|
|
r2 |
c2 , c3 |
i2 |
1 |
2 |
2 |
2 |
0 |
0 |
|
|
|
|
|
|
|
|
|
r3 |
c2 , c3 |
i3 |
1 |
2 |
2 |
2 |
0 |
0 |
|
|
|
|
|
|
|
|
|
r4 |
c2 |
i2 |
2 |
2 |
2 |
2 |
1 |
0 |
|
|
|
|
|
|
|
|
|
r5 |
c2 , c1 |
i3 |
2 |
1 |
1 |
1 |
1 |
1 |
|
|
|
|
|
|
|
|
|
r6 |
c2 |
i1 |
2 |
2 |
2 |
2 |
2 |
2 |
|
|
|
|
|
|
|
|
|
r7 |
c1 |
i2 |
2 |
2 |
2 |
2 |
2 |
2 |
|
|
|
|
|
|
|
|
|
r8 |
c1 |
i2 |
2 |
2 |
2 |
2 |
2 |
2 |
|
|
|
|
|
|
|
|
|
r9 |
c1 |
i1 |
2 |
2 |
2 |
2 |
2 |
2 |
|
|
|
|
|
|
|
|
|
Наиболее гибкую систему управления доступом к ИР и функциям АС с учетом выработанных правил можно построить на основе сочетания методов и инструментов системного и прикладного уровней ее ПСБ. При этом доступ может управляться двумя взаимодополняющими способами:
путем отслеживания групповых (ролевых) прав пользователя к определенным классам объектов БД и ветвям интерфейса (дискреционный доступ); путем задания для специально защищаемых
объектов БД индивидуальных меток и масок прав доступа (мандатный доступ).
96
2.2.6.Использование доверенных аппаратных платформ
Внастоящее время все актуальнее становится необходимость в использовании для АСЗИ компьютеров с защищенной архитектурой. Попытки повышения защищенности компьютеров только на уровне операционной системы и дополнительных аппаратных средств защиты не могут обеспечить требуемую защищенность и качество обрабатываемой информации. В защищенной архитектуры необходимо иметь аппаратно-программную подсистему защиты, основу которой должен составлять специализированный процессор с автономной памятью, работающий под управлением своей операционной системы. Взаимодействие с основными процессорами подсистема защиты осуществляет по специальному протоколу.
Подсистема защиты компьютеров должна обеспечивать на рабочем месте пользователя:
идентификацию и аутентификацию пользователей;
разграничение и ограничение доступа к аппаратным, программным и информационным ресурсам;
целостность информации, аппаратных и программных структур;
защиту от электромагнитных излучений и наводок;
доступность и достоверность информации;
возможность восстановления работоспособности ЭВМ;
адаптивность к потребностям пользователя в степени защищенности информации.
Такие компьютеры, например, могут обеспечить разграничение доступа обслуживающего персонала к ресурсам АС в строгом соответствии с политикой управления информационными рисками.
В условиях возрастания веса внутренних угроз безопасности информации важное значение имеет проблема обеспечения ограничения и разграничения доступа персонала предприятия к информации. По своим функциональным обязаннос-
97
тям обслуживающий персонал не должен иметь доступа к рабочей информации. Использование новых технологий позволит решить задачу ограничения возможностей неконтролируемого вмешательства в работу компьютерной системы персонала отделов безопасности и информационных технологий.
Для исключения возможности ознакомления администратора с рабочей информацией (создания копий) в защищенной КС должны быть реализованы ряд технических и организационных механизмов. Решение данной проблемы возможно за счет использования:
пластиковых карт или других идентификаторов с памятью, причем наилучшим образом для этой цели подходят смарт-карты;
памяти защищенного компьютера, содержимое которой не может быть передано за пределы подсистемы защиты;
аппаратно-программных средств генерации идентификационной информации и записи на атрибутивный идентификатор; журналов контроля настроек системы разграничения доступа и регистрации событий.
Основное направление создания технических решений в данной области базируется на открытой спецификации Trusted Computing Group (TCG). Особенностью спецификации TCG является применение технических подходов, позволяющих решить вопросы изолированного выполнения программ на персональном компьютере и защиты ядра функционирующей системы, определить защищенное хранилище конфиденциальных данных, а также обеспечить повышенную производительность для основных криптографических операций (генерация случайных чисел, создание надежных ключей, шифрование, выработка и проверка электронной цифровой подписи, выполнение операций хэширования).
Одним из первых производителей спецификацию TCG применила корпорация Intel, создавшая Trusted Platform Module (TPM) – аппаратные модули, размещаемые на системной плате
98
ПК, которые выполняют ряд функций:
служат безопасным хранилищем информации;
реализуют ряд криптографических функций, исполняемых в защищенной среде; хранят и сообщает сведения о целостности данных.
Модули TPM обеспечивают так называемый хэш (hash) для системы с помощью алгоритма SHA1 (Secure Hash Algorithm). Значение хэша получается из информации от всех ключевых компонентов ПК (видеокарта, процессора) в сочетании с программными элементами (операционная система, драйверы). Компьютер будет стартовать только в проверенном состоянии (authorized condition), когда TPM получит правильное значение хэша. В проверенном состоянии операционная система получает доступ к корневому ключу шифрования (encrypted root key), который требуется для работы приложений и доступа к данным, защищённым системой TPM. Если при загрузке было получено неправильное значение хэша, то система считается не доверенной, и на ней будут работать только открытые файлы и программы.
Конкретным воплощением Intel технологии TPM является LaGrande Technology — LT. В основе LaGrande лежит механизм помещения каждого из выполняющихся на компьютере процессов в свою изолированную оболочку. Тем самым разработчики попытались максимально снизить различного рода риски, связанные с несанкционированным доступом к программному коду. Аппаратная часть решения опирается на использование специального чипа TPM. Технология подразумевает криптографическую защиту обмена данными IDE-, USB- и PS/2-интерфейсов между всеми компонентами, обеспечивающими взаимодействие оператора с компьютером (клавиатура, мышь, видеокарта). Поддержка LaGrande реализована в процессорах и чипсетах Intel. Помимо аппаратных новшеств, технология LaGrande требует для своего использования программной поддержки на уровне операционной системы.
99
3. ЭКСПЛУАТАЦИЯ АВТОМАТИЗИРОВАННЫХ ЗАЩИЩЕННЫХ СИСТЕМ
3.1. Организация работы службы информационной безопасности
Для непосредственной организации (построения) и эффективного функционирования ПСБ АС может быть (а при больших объемах защищаемой информации – должна быть) создана специальная штатная служба информационной безопасности.
Основные функции службы обеспечения компьютерной безопасности :
формирование требований к системе защиты в процессе создания КС;
участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования КС;
распределение между пользователями необходимых атрибутов защиты;
наблюдение за функционированием системы защиты и ее элементов;
организация проверок надежности функционирования системы защиты;
обучение пользователей и персонала КС правилам безопасной обработки информации:
контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
принятие мер реагирования на попытки НСД к информации и нарушения правил функционирования системы защиты.
проведение служебных расследований по инцидентам
100