- •3. Ценность информации изменяется во времени.
- •4. Информация покупается и продается.
- •1) Традиционный шпионаж и диверсии
- •2) Несанкционированный доступ к информации
- •3) Электромагнитные излучения и наводки
- •4) Несанкционированная модификация структур
- •5) Вредительские программы
- •1 Дублирование информации
- •2. Повышение надежности кс
- •3. Создание отказоустойчивых кс
- •4. Блокировка ошибочных операций
- •5. Оптимизация взаимодействия пользователей и обслуживающего персонала с кс
- •6. Минимизация ущерба от аварий и стихийных бедствий
- •§1. Система охраны объекта кс
- •1.1. Инженерные конструкции
- •1.2. Охранная сигнализация
- •1.3. Средства наблюдения
- •1.4. Подсистема доступа на объект
- •1.5. Дежурная смена охраны
- •§2. Организация работ с конфиденциальными информационными ресурсами на объектах кс
- •§3. Противодействие наблюдению в оптическом диапазоне
- •§4. Противодействие подслушиванию
- •§5. Средства борьбы с закладными подслушивающими устройствами
- •5.1. Средства радиоконтроля помещений
- •5.2. Средства поиска неизлучающих закладок
- •5.3. Средства подавления закладных устройств
- •§6. Защита от злоумышленных действий обслуживающего персонала и пользователей
- •§1. Общие требования к защищённости ас от несанкционированного изменения структур
- •§2. Защита от закладок при разработке программ
- •2.1. Современные технологии программирования
- •2.2 Автоматизированная система разработки программных средств
- •2.3. Контрольно-испытательный стенд
- •2.4 Представление готовых программ на языках высокого уровня
- •2.5 Наличие трансляторов для обнаружения закладок
- •§3 Защита от внедрения аппаратных закладок на этапе разработки и производства
- •§4 Защита от несанкционированного изменения структур ас в процессе эксплуатации
- •4.1 Разграничение доступа к оборудованию
- •4.2 Противодействие несанкционированному подключению устройств
- •4.3 Защита внутреннего монтажа, средств управления и коммутации от несанкционированного вмешательства
- •4.4 Контроль целостности программной структуры в процессе эксплуатации
- •§1. Система разграничения доступа к информации в ас
- •1.1. Управление доступом
- •1.3. Концепция построения систем разграничения доступа
- •1.4. Современные системы защиты пэвм от несанкционированного доступа к информации
- •§2. Система защиты программных средств от копирования и исследования
- •2.1. Методы, затрудняющие считывание скопированной информации
- •2.2. Методы, препятствующие использованию скопированной информации
- •2.3. Защита программных средств от исследования
- •1. Каналы силового деструктивного воздействия на компьютерные системы
- •§1. Архитектура распределённых кс
- •§2. Особенности защиты информации в ркс
- •§3. Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных кс
- •§4. Защита информации на уровне подсистемы управления ркс
- •§5. Защита информации в каналах связи
- •5.1. Межсетевое экранирование
- •5.2. Подтверждение подлинности взаимодействующих процессов
- •§6. Подтверждение подлинности информации, получаемой по коммуникационной подсети
- •§7. Особенности защиты информации в базах данных
- •§1. Методики оценки рисков
- •1.1 Модель качественной оценки
- •1.2. Количественная модель рисков
- •1.3. Наиболее вероятные атаки
- •§1 Концепция создания защищённых ас
- •§2 Этапы создания комплексной системы защиты информации
- •§3 Научно-исследовательская разработка ксзи
- •§4 Моделирование ксзи
- •§4.1. Специальные методы неформального моделирования
- •§4.2 Декомпозиция общей задачи оценки эффективности функционирования ксзи
- •§4.3 Макромоделирование
- •§5 Выбор показателей эффективности и критериев оптимальности ксзи
- •§6. Математическая постановка задачи разработки комплексной системы защиты информации
- •§7 Подходы к оценке эффективности ксзи
- •§7.1 Классический подход
- •§7.2 Официальный подход
- •§7.3 Экспериментальный подход
- •§8 Создание организационной структуры ксзи
- •1. Классификация методов и средств контроля эффективности зи в ас
- •2. Сканеры безопасности ас
- •3. Система контроля защищённости и соответствия стандартам maxpatrol
- •3.1. Контроль защищённости и соответствия стандартам
- •3.2. Сетевой сканер xSpider
- •4. Решения компании Internet Security Systems (iss)
- •4.1. Internet Scanner
- •4.2. System Security Scanner (s3)
- •4.3. Database Scanner
- •4.4. RealSecure
- •4.5. SafeSuite Decisions
- •1. Применение ксзи по назначению
- •1.1. Организация доступа к ресурсам ас
- •1.2. Обеспечение целостности и доступности информации в ас
- •2. Техническая эксплуатация ксзи
- •1. Понятие информационного конфликта
- •2. Принцип целостности
- •3. Принцип рациональной декомпозиции
- •4. Принцип автономности
- •5. Принципы дополнительности и действия
- •6. Принципы консервативности и базовой точки
- •7. Принципы ограниченности целенаправленности поведения и неопределённости
- •1. Основные стадии проектирования систем защиты информации
- •I вариант:
- •1) Предпроектная стадия
- •2) Разработка проекта сзи
- •3) Ввод в действие сзи
- •2. Типовое содержание работ по этапам создания ас в защищённом исполнении по гост 34.601
- •2.1. Предпроектная стадия
- •2.2 Разработка проекта сзи
- •2.4.Оформление отчёта о выполненной работе
- •2.3. Ввод в действие сзи
- •3. Важнейшие аспекты проектирования сзи
- •4. Задачи по защите информации
- •II варинт:
- •1. Общие положения
- •2. Состав технического задания
- •3. Содержание технического задания
- •3.1 Раздел «Общие положения»
- •3.2 Раздел «Назначение и цели создания системы»
- •5.2. Подраздел «Требования к структуре и функционированию системы»
- •5.3. Подраздел «Требования к численности и квалификации персонала системы»
- •5.5. Подраздел «Требования к надёжности»
- •5.6. Подраздел «Требования к безопасности»
- •5.7. Подраздел «Требования к эргономике и технической эстетике»
- •5.8. Подраздел «Требования к транспортабельности для подвижных ас»
- •5.9. Подраздел «Требования к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы»
- •5.10. Подраздел «Требования к защите информации от несанкционированного доступа»
- •5.15. Подраздел «Дополнительные требования»
- •5.16. Подраздел «Требования к функциям (задачам), выполняемым системой»
- •5.17. Подраздел «Требования к видам обеспечения»
- •5.18. Подраздел «Требования к математическому обеспечению системы»
- •5.19. Подраздел «Требования информационному обеспечению системы»
- •5.20. Подраздел «Требования к лингвистическому обеспечению системы»
- •5.21. Подраздел «Требования к программному обеспечению системы»
- •5.22. Подраздел «Требования к техническому обеспечению»
- •5.23. Подраздел «Требования к метрологическому обеспечению»
- •5.24. Подраздел «Требования к организационному обеспечению»
- •5.25. Подраздел «Требования к методическому обеспечению»
- •6. Раздел «Состав и содержание работ по созданию (развитию) системы»
- •7. Раздел «Порядок контроля и приёмки системы»
- •8. Раздел «Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие»
- •9. Раздел «Требования к документированию»
- •10. Раздел «Источники разработки»
§7. Особенности защиты информации в базах данных
Базы данных рассматриваются как надёжное хранилище структурированных данных, снабжённое специальным механизмом для их эффективного использования в интересах пользователей (процессов). Таким механизмом является система управления базой данных (СУБД). Под системой управления базой данных понимаются программные или аппаратно-программные средства, реализующие функции управления данными, такие как: просмотр, сортировка, выборка, модификация, выполнение операций определения статистических характеристик и т. п. Базы данных размещаются:
на компьютерной системе пользователя;
на специально выделенной ЭВМ (сервере).
Как правило, на компьютерной системе пользователя размещаются личные или персональные базы данных, которые обслуживают процессы одного пользователя.
В вычислительных сетях базы данных размещаются на серверах. В локальных и корпоративных сетях, как правило, используются централизованные базы данных. Общедоступные глобальные сети имеют распределённые базы данных. В таких сетях серверы размещаются на различных объектах сети. В качестве серверов часто используются специализированные ЭВМ, приспособленные к хранению больших объёмов данных, обеспечивающие сохранность и доступность информации, а также оперативность обработки поступающих запросов. В централизованных базах Данных проще решаются проблемы защиты информации от преднамеренных угроз, поддержания актуальности и непротиворечивости данных. Достоинством распределённых баз данных, при условии дублирования данных, является их высокая защищённость от стихийных бедствий, аварий, сбоев технических средств, а также диверсий.
Защита информации в базах данных, в отличие от защиты данных в файлах, имеет и свои особенности:
необходимость учёта функционирования системы управления базой данных при выборе механизмов защиты;
разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей баз данных.
При создании средств защиты информации в базах данных необходимо учитывать взаимодействие этих средств не только с ОС, но и с СУБД. При этом возможно встраивание механизмов защиты в СУБД или использование их в виде отдельных компонент. Для большинства СУБД придание им дополнительных функций возможно только на этапе разработки СУБД. В эксплуатируемые системы управления базами данных дополнительные компоненты могут быть внесены путём расширения или модификации языка управления. Таким путём можно осуществлять наращивание возможностей, например, в СУБД СА-Сliрреr 5.0.
В современных базах данных довольно успешно решаются задачи разграничения доступа, поддержания физической целостности и логической сохранности данных. Алгоритмы разграничения доступа к записям и даже к полям записей в соответствии с полномочиями пользователя хорошо отработаны, и преодолеть эту защиту злоумышленник может лишь с помощью фальсификации полномочий или внедрения вредительских программ. Разграничение доступа к файлам баз данных и к частям баз данных осуществляется СУБД путем установления полномочий пользователей и контроля этих полномочий при допуске к объектам доступа.
Полномочия пользователей устанавливаются администратором СУБД. Обычно стандартным идентификатором пользователя является пароль, передаваемый в зашифрованном виде. В распределённых КС процесс подтверждения подлинности пользователя дополняется специальной процедурой взаимной аутентификации удалённых процессов. Базы данных, содержащих конфиденциальную информацию, хранятся на внешних запоминающих устройствах в зашифрованном виде.
Физическая целостность баз данных достигается путем использования отказоустойчивых устройств, построенных, например, по технологии RAID. Логическая сохранность данных означает невозможность нарушения структуры модели данных. Современные СУБД обеспечивают такую логическую целостность и непротиворечивость на этапе описания модели данных.
В базах данных, работающих с конфиденциальной информацией, необходимо дополнительно использовать криптографические средства закрытия информации. Для этой цели используется шифрование как с помощью единого ключа, так и с помощью индивидуальных ключей пользователей. Применение шифрования с индивидуальными ключами повышает надежность механизма разграничения доступа, но существенно усложняет управление.
Возможны два режима работы с зашифрованными базами данных. Наиболее простым является такой порядок работы с закрытыми данными, при котором для выполнения запроса необходимый файл или часть файла расшифровывается на внешнем носителе, с открытой информацией производятся необходимые действия, после чего информация на ВЗУ снова зашифровывается. Достоинством такого режима является независимость функционирования средств шифрования и СУБД, которые работают последовательно друг за другом. В то же время сбой или отказ в системе может привести к тому, что на ВЗУ часть базы данных останется записанной в открытом виде.
Второй режим предполагает возможность выполнения СУБД запросов пользователей без расшифрование информации на ВЗУ. Поиск необходимых файлов, записей, полей, групп полей не требует расшифрование. Расшифрование производится в ОП непосредственно перед выполнением конкретных действий с данными. Такой режим возможен, если процедуры шифрования встроены в СУБД. При этом достигается высокий уровень защиты от несанкционированного доступа, но реализация режима связана с усложнением СУБД. Придание СУБД возможности поддержки такого режима работы осуществляется, как правило, на этапе разработки СУБД.
При построении защиты баз данных необходимо учитывать ряд специфических угроз безопасности информации, связанных с концентрацией в базах данных большого количества разнообразной информации, а также с возможностью использования сложных запросов обработки данных. К таким угрозам относятся:
инференция;
агрегирование;
комбинация разрешённых запросов для получения закрытых данных.
Под инференцией понимается получение конфиденциальной информации из сведений с меньшей степенью конфиденциальности путём умозаключений.
Если учитывать, что в базах данных хранится информация, полученная из различных источников в разное время, отличающаяся степенью обобщённости, то аналитик может получить конфиденциальные сведения путям сравнения, дополнения и фильтрации данных, к которым он допущен. Кроме того, он обрабатывает информацию, полученную из открытых баз данных, средств массовой информации, а также использует просчёты лиц, определяющих степень важности и конфиденциальности отдельных явлений, процессов, фактов, полученных результатов. Такой способ получения конфиденциальных сведений, например, по материалам средств массовой информации, используется давно, и показал свою эффективность.
Близким к инференция является другой способ добывания конфиденциальных сведений - агрегирование.
Под агрегированием понимается способ получения более важных сведений по сравнению с важностью тех отдельно взятых данных, на основе которых и получаются эти сведения.
Так, сведения о деятельности одного отделения или филиала корпорации обладают определенным весом. Данные же за всю корпорацию имеют куда большую значимость.
Если инференция и агрегирование являются способами добывания информации, которые применяются не только в отношении баз данных, то способ специального комбинирования запросов используется только при работе с базами данных. Использование сложных, а также последовательности простых логически связанных запросов позволяет получать данные, к которым доступ пользователю закрыт. Такая возможность имеется, прежде всего, в базах данных, позволяющих получать статистические данные. При этом отдельные записи, поля, (индивидуальные данные) являются закрытыми. В результате запроса, в котором могут использоваться логические операции AND, OR, NOT, пользователь может получить такие величины как количество записей, сумма, максимальное или минимальное значение. Используя сложные перекрёстные запросы и имеющуюся в его распоряжении дополнительную информацию об особенностях интересующей записи (поля), злоумышленник путём последовательной фильтрации записей может получить доступ к нужной записи (полю).
Противодействие подобным угрозам осуществляется следующими методами:
блокировка ответа при неправильном числе запросов;
искажение ответа путям округления и другой преднамеренной коррекции данных;
разделение баз данных;
случайный выбор записи для обработки;
контекстно-ориентированная защита;
контроль поступающих запросов.
Метод блокировки ответа при неправильном числе запросов предполагает отказ в выполнении запроса, если в нем содержится больше определённого числа совпадающих записей из предыдущих запросов. Таким образом, данный метод обеспечивает выполнение принципа минимальной взаимосвязи вопросов. Этот метод сложен в реализации, так как необходимо запоминать и сравнивать все предыдущие запросы.
Метод коррекции заключается в незначительном изменении точного ответа на запрос пользователя. Для того, чтобы сохранить приемлемую точность статистической информации, применяется так называемый свопинг данных. Сущность его заключается во взаимном обмене значений полей записи, в результате чего все статистики i-го порядка, включающие i атрибутов, оказываются защищёнными для всех i, меньших или равных некоторому числу. Если злоумышленник сможет выявить некоторые данные, то он не сможет определить, к какой конкретно записи они относятся.
Применяется также метод разделения баз данных на группы. В каждую группу может быть включено не более определённого числа записей. Запросы разрешены к любому множеству групп, но запрещаются к подмножеству записей из одной группы. Применение этого метода ограничивает возможности выделения данных злоумышленником на уровне не ниже группы записей. Метод разделения баз данных не нашёл широкого применения из-за сложности получения статистических данных, обновления и реструктуризации данных.
Эффективным методом противодействия исследованию баз данных является метод случайного выбора записей для статистической обработки. Такая организация выбора записей не позволяет злоумышленнику проследить множество запросов.
Сущность контекстно-ориентированной защиты заключается в назначении атрибутов доступа (чтение, вставка, удаление, обновление, управление и т. д.) элементам базы данных (записям, полям, группам полей) в зависимости от предыдущих запросов пользователя. Например, пусть пользователю доступны в отдельных запросах поля: «идентификационные номера» и «фамилии сотрудников», а также «идентификационные номера» и «размер заработной платы». Сопоставив ответы по этим запросам, пользователь может получить закрытую информацию о заработной плате конкретных работников. Для исключения такой возможности пользователю следует запретить доступ к полю «идентификатор сотрудника» во втором запросе, если он уже выполнил первый запрос.
Одним из наиболее эффективных методов защиты информации в базах данных является контроль поступающих запросов на наличие «подозрительных» запросов или комбинации запросов. Анализ подобных попыток позволяет выявить возможные каналы получения несанкционированного доступа к закрытым данным.
Лекция №11(2 часа)
Тема:
«ЭФФЕКТИВНОСТЬ ЗАЩИЩЕННОЙ АС. УПРАВЛЕНИЕ РИСКАМИ»
Защита информационных ресурсов АС должна быть продумана и эффективна, поскольку она предназначена для защиты различных ресурсов организации, в т.ч. и финансовых. В этом смысле приобретение дорогого средства информационной безопасности может идти вразрез с самими целями безопасности.
Например, если компьютер содержит конфиденциальную информацию, то его следует поместить за межсетевой экран, установить антивирусное обеспечение, сканнер атак на хост, программу контроля целостности системных файлов и оснастить его проверкой доступа по биометрическим показателям.
Некоторые руководящие документы по ИБ указывают косвенно или явно на два принципа определения требуемого уровня защиты:
«Сумма затрат на обеспечение защиты не должна превосходить суммы ущерба от атаки, которую система должна предотвратить» (характерно для коммерческих организаций, ориентированных на получение прибыли);
«Суммарные расходы, понесенные злоумышленником на преодоление защиты должны превышать выгоду от результатов атаки» (характерно для организаций, работающий с государственной тайной, когда построение системы защиты предусматривает существенные расходы, встречается реже).
Однако, если измерить расходы на приобретение и установку СЗИ достаточно легко, то измерить, сколько необходимо потратить на обеспечение безопасности сложнее. Выбрать подходящий вариант из имеющихся альтернатив СЗИ можно только после оценки потенциального ущерба от того, что атака будет реализована по причине отсутствия каких-либо конкретных средств защиты.
Оценка рисков как часть направления информационной безопасности – управления рисками, является существенным инструментом построении защиты. Но для должного использования этого инструмента необходимо перейти от качественных показателей к количественным (какие суммы потребуется выплатить клиентам, конкурентам, сколько займут судебные издержки). Это процесс значительно облегчается еcли произведена полная инвентаризация информационных объектов АС.
Управление рисками – это процесс определения, анализа и оценки, снижения, устранения или переноса (перенаправления) риска, который заключается в ответе на следующие вопросы:
- что может произойти?
- каков в этом случае будет ущерб (результат)?
- насколько мы уверены в ответах на предыдущие вопросы? (оценка вероятности);
- что можно сделать для снижения (устранения) вероятности события?
- сколько это будет стоить?
- насколько эффективно то, что может быть сделано?
Сам риск состоит из понятия вероятности, т.е., чем больше вероятность первых трех вопросов, тем больше риск, и наоборот.
Информационный актив – набор информации, который используется организацией в работе и может состоять из более мелких поднаборов. При оценке должно быть проведено отделение собственно информации, как виртуальной составляющей, от ее носителя (физического объекта).
Соответственно стоимость возможного ущерба может быть оценена как сумма:
стоимости замены информации (при ее утрате);
стоимости замены ПО поддержки (при его повреждении);
стоимости нарушения конфиденциальности, целостности, доступности (если они нарушены).
Стоимость аппаратного и сетевого обеспечения учитывается отдельно.
Стандартная методика управления рисками состоит из следующих компонент:
Определение политики управления рисками. Построенная на общих принципах обеспечения ИБ (Generally Accepted System Security Principles – GASSP) политика позволяет избежать субъективного подхода.
Определение персонала, который будет заниматься устранением рисками и обеспечение его финансирования (оплата труда, обучение, приобретение автоматизированных средств, методик оценки рисков).
Определение методологии и средств, с помощью которых будет производиться оценка риска. Следует быть уверенным в правильности этой оценки.
Идентификация и измерение риска. На этом этапе определяют сферу применения работ, имеющиеся угрозы, информационные активы и их значимость, проанализировать уязвимость активов, которые могут повлиять на частоту появления и размер ущерба. Производится сведение полученных данных с установкой метрик. Для качественной оценки достаточно таблицы с оценкой уровня риска (высокий, средний, низкий) для каждого из активов. Для количественной оценки используется конкретная методика (рассмотрены ниже).
Установка критериев применимости рисков. На основе полученной информации специалисты по управлению рисками вместе с руководством организации должны определить приемлемость риска на основе принятой методики (например, неприемлемым может быть риск потери 100 000$ с вероятностью 0,03).
Избежание (уменьшение) риска. Необходимо определить уязвимости, которые становятся неприемлемыми при данных критериях, и определить меры для их устранения. Этот процесс проходит следующие фазы:
А) выбор средств для снижения риска
Б) оценка эффективности этих средств
В) отчет руководству о предлагаемых мероприятиях.
Мониторинг работы управления рисками. Для обеспечения адекватности предполагаемых мер предполагаемым рискам, необходимо периодически производить переоценку рисков при изменении внешних и внутренних обстоятельств и угроз.