Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Yazov_ITKS

.pdf
Скачиваний:
348
Добавлен:
31.05.2015
Размер:
7.37 Mб
Скачать

На транспортном уровне (уровень 4) осуществляется защита индивидуальных транспортных соединений, которые могут быть изолированы от других транспортных соединений. На сеансовом уровне (уровень 5) не предусмотрены механизмы защиты информации. Уровень представления (уровень 6) содержит механизмы, связанные с шифрованием данных и с поддержкой сервисов прикладного уровня. Прикладной уровень (уровень 7) может обеспечить любой сервис защиты, хотя некоторые из них обеспечиваются с помощью механизмов, реализуемых в нижележащих уровнях (отмечены знаком *). Более того, пользователь прикладного уровня может сам предпринять дополнительные меры по защите своей информации.

Методы управления защитой, описанные в архитектуре управления OSI, включают: управление уровнем защищенности системы, управление выполнением функциями безопасности, управление отдельными механизмами защиты. Управление уровнем защищенности системы включает: поддержку целостности общей политики безопасности системы, обеспечение взаимосвязи функций безопасности, механизмов и средств управления защитой, ведение системного журнала, управление механизмом восстановления системы и др. Управление отдельными механизмами защиты включает, в частности, управление ключами, управление контролем доступа, управление маршрутизацией, управление арбитражем и пр. Проектирование СЗИ лучше всего из зарубежных разработок отражено в «Общих критериях» [17]. В этом документе содержится предельно обобщенная модель разработки СЗИ как «продукта информационных технологий». Она может быть представлена в виде ступенчатой «модели водопада»

(рис. 2.6).

181

Рис. 2.6. Порядок («модель») разработки системы защиты информации в соответствии со стандартом

«Общие критерии»

В ней выделяется четыре этапа разработки СЗИ: «функциональная спецификация» (то есть определение функций безопасности), «высокоуровневая конструкция» (определение подсистем), «низкоуровневая конструкция» (определение программных и программно-аппаратных модулей) и «описание реализации». Такой порядок в общем виде отражает процесс «нисходящего проектирования» изделия или системы.

В общем случае, как и в отечественной практике,

182

здесь имеет место несколько вариантов синтеза СЗИ или, по сути, процесса эскизного или технического проектирования: синтеза «снизу-вверх» (вариант «восходящего проектирования»), синтеза «сверху – вниз» (вариант «нисходящего проектирования»), синтеза на основе предварительного установления приоритетов для мер и средств защиты, синтеза, при котором выбор мер и средств защиты осуществляется по направлениям защиты, и комбинированный вариант (см. раздел 2.3).

Во всех указанных вариантах, как правило, реализуется итеративная процедура выбора, когда осуществляется проверка соответствия выбранного варианта решения на том или ином уровне процесса проектирования решениям на предыдущих уровнях.

В представленном на рис. 2.6 варианте «нисходящего проектирования» на первом этапе («функциональная спецификации») определяются внешние интерфейсы (в том числе API)17, а также функции, имеющие отношение к обеспечению безопасности.

На втором этапе – составляется «проект высокого уровня» (высокоуровневое проектирование). На этом этапе определяются подсистемы и их интерфейсы (внешние и внутренние), а также события, исключительные ситуации, способы обработки ошибок на уровне подсистем.

На третьем этапе – составляется «проект низкого уровня» (низкоуровневое проектирование). На этом этапе определяются модули и их интерфейсы, а также события, исключительные ситуации, способы обработки ошибок на уровне модулей.Наконец, четвертый этап – «представ-

17 API (Application Programming Interface) – интерфейс прикладного про-

граммирования, представляющий собой набор функций, объектов, программных компонентов, обеспечивающих связь с низкоуровневыми компонентами операционной системы

183

ление реализации». На этом этапе происходит разработка исходного кода программных модулей и электронных схем аппаратных модулей изделия. Этот этап проектирования служит непосредственной основой для реализации изделия.

Следует отметить, что разработка сложных изделий почти никогда не ведется «с нуля»: всегда используются предыдущий опыт и предыдущие наработки проектировщика и разработчика, проектирование ведется по модульной схеме, с повторным использованием в новых изделиях ранее реализованных и апробированных модулей. Это может снизить затраты на защиту информации, изменить состав СЗИ по сравнению с вариантом, когда она проектируется «с нуля».

Таковы некоторые особенности проектирования ИТКС в защищенном исполнении в соответствии с международными стандартами.

184

3. АНАЛИЗ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ ПРИ ПРОЕКТИРОВАНИИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ

3.1. Понятие угрозы безопасности информации

Защита информации направлена предупреждение возможности возникновения, предотвращение реализации или снижение ущерба от последствий несанкционированных действий в результате реализации той или иной угрозы безопасности информации. Введение термина «угроза безопасности информации» позволяет объединить одним понятием все возможные негативные условия и факторы, влияющие прямым образом на безопасность информации, то есть на ее целостность, доступность или конфиденциальность.

В соответствии с [10] под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Данное определение недостаточно раскрывает содержание угрозы, то есть то, что входит в описание угрозы. В общем случае такое описание представляет собой фрейм из 7 слотов следующего вида:

 

наименование угрозы , источник угрозы ,

используемая

уязвимость

 

 

(совокупность уязвимостей) ,

способ реализации

угрозы ,

 

 

U

несанкционированное действие, выполняемое

при

реализации

угрозы ,

.

 

время существования угрозы , время,

необходимое на реализацию

 

 

угрозы

 

 

 

 

 

 

185

Некоторые из слотов такого фреймового описания угрозы могут представлять собой фрейм со сложной структурой или отсутствовать. Описание той или иной угрозы может быть при необходимости расширено, то есть добавлены новые слоты. Обязательными слотами описания являются: наименование угрозы, источник угрозы, способ реализации угрозы с используемой уязвимостью или совокупностью уязвимостей (понятие, классификация и пути описания уязвимостей изложены в разделе 3.3) и выполняемое несанкционированное действие. Слот описания, касающийся используемых уязвимостей, иногда выделяют как самостоятельный элемент описания, однако чаще уязвимости указываются при описании способа реализации угрозы. Именуется угроза, как правило, по наименованию несанкционированного действия.

Две угрозы, отличающиеся источником, набором используемых уязвимостей, способом реализации или содержанием несанкционированного действия, считаются разными (рис. 3.1).

Описание способа реализации угрозы часто сводят к описанию канала реализации угрозы, то есть канала несанкционированного доступа (НСД) или канала несанкционированного воздействия (НСВ).

Канал НСД к информации – это совокупность субъекта НСД, объекта НСД и среды доступа. Субъект НСД – лицо или программное (программно-аппаратное) средство, действия или функционирование которого нарушают установленные правила разграничения доступа, то есть источник угрозы. Объект НСД – это защищаемый информационный ресурс (пользовательская или технологическая информация, зарегистрированная в ИТКС), носитель этой информации, средство ее обработки или элемент коммуникации.

186

 

 

Программная среда

Сингулярный канал

 

 

 

 

Уязвимость про-

Уязвимость про-

НСД к блоку ин-

 

формации

 

граммного обеспече-

граммного обеспе-

 

 

 

ния У1(1)

чения Уn(1)

 

 

 

 

Команда или

 

 

 

совокупность

 

 

 

команд опера-

 

Уязвимость про-

Уязвимость про-

ционной сре-

 

граммного обеспече-

граммного обеспе-

ды, с помощью

Источник

ния У1(2)

чения Уj(2)

которых реа-

 

 

лизуются де-

угрозы И1

 

 

 

 

структивные

 

 

 

 

 

 

действия

 

Уязвимость про-

Уязвимость про-

 

 

граммного обеспече-

граммного обеспе-

 

 

ния У1(K)

чения Уm(K)

 

 

Рис. 3.1. Структура канала несанкционированного доступа к информации

Блок защищаемой информации (защищаемый информационный ресурс), относительно которого может быть выполнено деструктивное действие (совокупность деструктивных действий)

187

Среда доступа – это физическая или программная среда, в которой реализуется доступ, при этом физическая среда определяет условия физического доступа на территорию, в помещение, к аппаратуре, к носителям информации, а программная среда – условия виртуального НСД (то есть наличие виртуального канала НСД).

Виртуальный канал НСД к информации состоит из субъекта доступа, пути доступа в операционную среду компьютера и к блоку защищаемой информации, к которому осуществляется доступ. На практике имеют место или сингулярные, или множественные виртуальные каналы НСД. При этом сингулярный канал НСД характеризуется тем, что имеется только один путь к защищаемому блоку информации, а множественный – наличием нескольких таких путей (имеет место полнодоступный пучок сингулярных каналов), при этом неизвестно, какой из путей может быть использован нарушителем для реализации угрозы

Таким образом, для множественного канала имеет место статистическая неопределенность использования какого-либо из составляющих его сингулярных каналов, что в определенной мере обусловливает вероятностный характер реализации угрозы по множественному виртуальному каналу. Следует подчеркнуть, что в подавляющем большинстве случаев в связи с большим количеством уязвимостей программного обеспечения имеют место множественные каналы реализации угроз. В зависимости от потребностей практики канал НСД может описываться с детальностью до наименования уязвимости, до параметров функций, команд на языке программирования высокого уровня, которые могут быть задействованы при реализации угрозы НСД нарушителем, на уровне функций и пара-

188

метров ядра операционной системы, вплоть до самого низкого уровня физических процессов в элементах ИТКС.

В настоящее время в основном используются лишь наименования уязвимостей в программном обеспечении, функций и их параметров на языках программирования высокого уровня. Это объясняется громоздкостью более детальных описаний и, в связи с этим, сложностью их практического использования.

Каналы НСД в операционную среду или непосредственно к информации одновременно могут быть (но не обязательно) возможными каналами несанкционированного воздействия (НСВ), при этом канал НСВ определяется аналогичным образом, то есть как совокупность субъекта НСВ, объекта НСВ и среды воздействия. С учетом изложенного может быть выстроена иерархия угроз выполнения действий, направленных на получение доступа к элементам ИТКС, затем доступа к обрабатываемой в них информации и, наконец, угроз выполнения несанкционированных действий (рис. 3.2).

Таким образом, эта иерархия включает в себя: угрозы физического доступа к элементам ИТКС, угрозы непосредственного и удаленного доступа в операционную среду, угрозы воздействия по виртуальной среде, угрозы выполнения деструктивных действий с информационным ресурсом – с зарегистрированной в ИТКС информацией (собственно угрозы безопасности информации), в том числе угрозы нарушения доступности пользовательской информации, за счет воздействия на технологическую информацию, необходимую для функционирования ИТКС (например, угрозы отказа в обслуживании).

189

Угрозы выполнения несанкционированных дей-

 

 

 

Угроза отказа в обслужива-

ствий с использованием виртуального канала

 

 

нии

 

 

 

 

 

Угроза непосредственного проникновения в операционную среду компьютера

Угроза физического доступа к элементам ИТКС

Угроза внедрения вредоносной программы

Угроза удаленного доступа в ИТКС (к хосту, к серверу, коммутатору и т.п.) с использованием протоколов межсетевого взаимодействия

Угроза несанкционированного воздействия по сети с помощью штатных программ операционной системы

Рис. 3.2. Иерархия угроз, направленных на нарушения безопасности информации

190

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]