Методы и средства защиты информации
.pdf
Основные принципыпостроениясистем защиты информациив АС 331
обязательных для персонала АС. К ним следует отнести любые умышленные или неумышленные действия, которые:
∙нарушают нормальную работу АС;
∙вызывают дополнительные затраты ресурсов ( машинного времени, полосы передачи и т.д.);
∙нарушают целостность хранимой и обрабатываемой информации;
∙нарушают интересы законных пользователей;
∙вызывают незапланированные затраты ресурсов на ведение дополнительного контроля, восстановление работоспособности систем, уничтожение последствий нарушения безопасности систем и т.д.
Стеоретической точки зрения, все угрозы АС, можно отнести к одному из следующих четырех типов.
Прерывание. При прерывании компонент системы утрачивается (например, в результате похищения), становится недоступным (например, в результате блокировки — физической или логической), либо теряет работоспособность.
Перехват. Злоумышленник получает доступ к АС. Примерами перехвата являются: незаконное копирование программ и данных; несанкционированное чтение данных из линии связи компьютерной сети и т.д.
Модификация. Злоумышленник не только получает доступ к компоненту, но и манипулирует с ним.
Подделка. Злоумышленник может добавить некоторый фальшивый процесс в систему для выполнения нужных ему, не учитываемых системой, действий, либо подложной записи в файлы системы или других пользователей.
Под защитой информации в АС понимается совокупность мероприятий, методов и средств, обеспечивающих решение следующих основных задач:
∙проверка целостности информации;
∙исключение несанкционированного доступа к ресурсам АС и хранящимся в ней программам и данным;
∙исключение несанкционированного использования хранящихся в АС программ (т.е. защита программ от копирования).
Основные принципы построения систем защиты информации в АС
Опыт создания систем защиты информации (СЗИ) в АС позволяет выделить следующие основные принципы построения СЗИ.
1.Простота механизма защиты. Этот принцип общеизвестен, но не АСегда глубоко осознается. Действительно, некоторые ошибки, не выявленные при проектировании и эксплуатации, позволяют обнаружить неучтенные пути дос-
332 Глава 17. Программные методы защиты
тупа. Необходимо тщательное тестирование программного обеспечения или аппаратных средств защиты, однако на практике такая проверка возможна только для простых и компактных схем.
2.В нормальных условиях доступ к механизму защиты должен отсутство-
вать, и для работы системы необходимо, чтобы выполнялись определенные условия, при которых доступ к механизму защиты становится невозможным. Кроме того, считается, что запрет доступа при отсутствии особых указаний обеспечивает высокую степень надежности механизма защиты. Ошибка в определении полномочий пользователя в системе защиты, основанной на использовании разрешений, приводит к расширению сферы запретов. Эту ошибку легче обнаружить и она не разрушит общего статуса защиты.
3.Все возможные каналы утечки должны быть перекрыты. Этот принцип предполагает проверку полномочийлюбого обращения к любому объекту и является основой системы защиты. Защита управления доступом с учетом этого принципа должна решаться на общесистемном уровне. При этом следует учитывать такие режимы работы как: запуск, восстановлениепосле сбоев, выключение и профилактическое обслуживание. Необходимо обеспечить надежное определениеисточникалюбого обращения к данным.
4.Механизм защиты можно не засекречивать. Не имеет смысла засекречи-
вать детали реализации систем защиты, предназначенной для широкого использования. Эффективность защиты не должна зависеть от того, насколько опытны потенциальные нарушители. Открытость механизма защиты позволяет при необходимости сделать его предметом обсуждения среди специалистов, не затрагивая при этом интересов пользователей.
5.Разрешение полномочий. Этот принцип заключается в применении нескольких ключей защиты. Наличие нескольких ключей защиты в АС удобно в тех условиях, когда право на доступ определяется выполнением ряда условий.
6.Минимальные полномочия. Для любой программы и любого пользователя должен быть определен минимальный круг полномочий, необходимых для выполнения порученной работы. Вследствие этого в значительной мере уменьшается ущерб, причиняемый при сбоях и случайных нарушениях.
7.Максимальная обоснованность механизма защиты. В целях исключения обмена информацией между пользователями рекомендуется при проектировании схем защиты сводить к минимуму число общих для нескольких пользователей параметров и характеристик механизма защиты.
8.Психологическая привлекательность. Система защиты должна быть про-
стой в эксплуатации. Естественно, чем точнее совпадает представление пользователя о системе защиты с ее фактическими возможностями, тем меньше ошибок возникает в процессе применения.
При построении систем возникают серьезные затруднения, связанные с большими затратами на их реализацию. Поэтому важным фактором при реали-
Программныесредствазащиты информации 333
зации систем защиты является их экономическая эффективность. Поэтому излишнее утяжеление системы дорогостоящими средствами защиты может сделать ее неконкурентоспособной.
Программные средства защиты информации
Программными СЗИ называются специальные программы, входящие в со-
став программного обеспечения АС для решения в них (самостоятельно или в комплекте с другими средствами) задач защиты. Программные СЗИ являются непременной и важнейшей частью механизма защиты современных АС. Такая их роль определяется следующими достоинствами: универсальностью, гибкостью, простой реализацией, надежностью, возможностью модификации и развития.
При этом под универсальностью понимается возможность решения программными СЗИ большого числа задач защиты.
Под надежностью понимается высокая программная устойчивость при большой продолжительности непрерывной работы и удовлетворение высоким требованиям и достоверности управляющих воздействий при наличии различных дестабилизирующих факторов. Программные возможности изменения и развития программных СЗИ определяются самой их природой.
Существенным недостатком программных СЗИ является возможность их реализации только в тех структурных элементах АС, где имеется процессор, хотя функции защиты могут реализовываться, осуществляя безопасность других структурных элементов. Помимо того, программным СЗИ присущи следующие
недостатки:
∙необходимость использования времени работы процессора, что ведет к увеличению времени отклика на запросы и, как следствие, к уменьшению эффективности ее работы;
∙уменьшение объемов оперативной памяти (ОП) и памяти на внешних за-
поминающих устройствах ( ПВЗУ), доступной для использования функциональными задачами;
∙возможность случайного или умышленного изменения, вследствие чего про-
граммы могут не только утратить способность выполнять функции защиты, но и стать дополнительными источниками угрозы безопасности;
∙ограниченность из-за жесткой ориентации на архитектуру определенных типов ЭВМ (даже в рамках одного класса) — зависимость программ от особенностей базовой системы ввода/вывода, таблицы векторов прерывания и т.п.
Для организационного построения программных СЗИ наиболее харак-
терной является тенденция разработки комплексных программ, выполняющих целый ряд защитных функций, причем чаще всего в число этих функций входит опознавание пользователей, разграничение доступа к массивам данных, запрещение доступа к некоторым областям ОП и т.п. Достоинства таких программ
334 Глава 17. Программные методы защиты
очевидны: каждая из них обеспечивает решение некоторого числа важных задач защиты. Но им присущи и существенные недостатки, предопределяющие необходимость критической оценки сложившейся практики разработки и использования программных средств защиты. Первый и главный недостаток состоит в сти-
хийности развития программ защиты, что, с одной стороны, не дает гарантий полноты имеющихся средств, а с другой — не исключает дублирования одних и тех же задач защиты. Вторым существенным недостатком является жесткая фиксация в каждом из комплексов программ защитных функций. Наконец, мож-
но выделить еще один большой недостаток — ориентация подавляющего большинства имеющихся программных средств на конкретную среду применения (тип ЭВМ и операционную среду).
Отсюда вытекают три принципиально важных требования к формирова-
нию программных СЗИ: функциональная полнота, гибкость и унифицированность использования.
Что касается первого требования, то, как нетрудно убедиться, приведенный выше перечень программных средств составлен именно с таким расчетом, чтобы возможно более полно охватить все классы задач защиты.
Удовлетворение остальным двум требованиям зависит от форм и способов представления программ защиты. Анализ показал, что наиболее полно требованиям гибкости и унифицированности удовлетворяет следующая совокупность принципов: сквозное модульное построение, полная структуризация, пред- ставление на машинно-независимом языке.
Принцип сквозного модульного построения заключается в том, что каждая из программ любого уровня (объема) должна представляться в виде системы возможных модулей, причем каждый модуль любого уровня должен быть полностью автономным и иметь стандартные вход и выход, обеспечивающие комплексирование с любыми другими модулями. Нетрудно видеть, что эти условия могут быть обеспечены, если программные комплексы будут разрабатываться по принципу “сверху вниз”, т.е. в соответствии с принципом полной структуриза-
ции.
Представление на машинно-независимом языке предопределяет, что пред-
ставление программных модулей должно быть таким, чтобы их с минимальными усилиями можно было включить в состав программного обеспечения любой АС. В настоящее время имеются алгоритмические языки высокого уровня, полностью соответствующие этим требованиям.
Общепринятой классификации программных СЗИ в настоящее время не существует. Однако при описании программ защиты обычно придерживаются деления их по функциональному признаку, т.е. по выполняемым функциям защиты. При этом по мере развития форм и способов использования вычислительной техники функции программной защиты расширяются.
С учетом названных принципов можно использовать классификацию, приведенную на рис. 17.1.
Программывнешней защиты 335
Рис. 17.1. Классификация программных СЗИ
При этом под внешней защитой понимается совокупность средств, методов и мероприятий, направленных на защиту территории, на которой расположены здания вычислительных центров, и помещений, в которых расположены их элементы. Понятие внутренней защиты охватывает совокупность средств, методов и мероприятий, направленных на ЗИ, обрабатываемой в АС. В состав ядра сис- темы безопасности входят программы, обеспечивающие защиту самой СЗИ.
Программы внешней защиты
К таким программам относятся:
∙программы защиты территории и помещений;
∙программы управления доступом на территорию и в помещения;
∙программы защиты данных в каналах связи.
Более подробно остановимся на третьем классе программ. Обеспечение на-
дежной защиты информации, предаваемой по каналам связи, проходящим по неконтролируемой территории, сопряжено с большими трудностями. Обусловлено это тем, что при современных возможностях перехвата вполне реальной является угроза регулярного несанкционированного получения информации из таких каналов связи. Считается, что единственным эффективным способом надежной ЗИ в каналах связи является криптографическое закрытие передаваемой информации. Однако организация регулярного криптографического закрытия больших потоков информации, интенсивно циркулирующих в каналах связи, сопряжена с большими трудностями и расходованием значительных ресурсов.
В тех случаях, когда применение криптографических средств является невозможным или нецелесообразным, рекомендуется использовать следующие программные методы защиты.
336 Глава 17. Программные методы защиты
1.Опознавание корреспондентов.
2.Проверка уровня секретности канала связи.
3.Контроль по граничным адресам ОП.
4.Проверка адреса корреспондента.
5.Проверка обратного кода.
Опознавание корреспондентовсостоит в том, что перед выдачей данных в канал связи АС запрашивает у корреспондентапароль или другую персональную и сохраняющуюсяв тайне информацию, сравнивает эту информациюс хранящейся в ОП эталонной и выдает данные в канал лишь в случае совпадения предъявленной и эталонной информации. Как и любое другое опознавание, опознавание корреспондентов может быть простым и усложненным. Выбор способа опознавания определяется характером и степенью секретности предъявленных данных, а также условиями передачи (протяженностьи вид канала связи, характер территории, по которой он проходит, и т.п.).
Особенностью опознавания корреспондентов является то, что информация, используемая в процессе опознавания, также должна передаваться по этому же каналу связи. Создание особых каналов для передачи информации для опознавания практически нереально. Поэтому информация опознавания также может быть перехвачена злоумышленником. Для повышения надежности опознавания можно использовать криптографическое закрытие информации опознавания. Однако при этом возникают большие сложности, связанные с распределением и периодической сменой ключей, применяемых для шифрования и дешифрования этой информации.
Проверка уровня секретности канала связи является некоторым дополни-
тельным средством защиты и заключается в том, что каждому каналу связи, используемому для передачи информации, присваивается некоторый максимальный уровень секретности, так что передача по этому каналу информации с более высоким уровнем секретности не допускается. Перед выдачей данных в канал АС проверяет соответствие уровня секретности подлежащих передаче данных и принимает соответствующеерешение. Гриф секретности подготовленныхк передаче данных определяетсяв этом случае по максимальному грифу секретности массива, использованногодля формированияэтих данных.
Контроль по граничным адресам ОП заключается в том, что для размещения массива передаваемых данных в ОП выделяется поле, начальный и конечный адрес которого размещается в регистрах или в специально выделенных зонах ОП. Перед выборкой для выдачи в канал каждого элемента данных производится проверка адреса выборки по граничным адресам. Если адрес выборки выходит за граничные адреса, выдача данных блокируется. Этим самым обеспечивается защита от случайной или преднамеренной выдачи в канал связи данных, находящихся на соседних полях ОП.
Программывнутреннейзащиты 337
Проверка адреса корреспондента осуществляется следующим образом. При передаче большого объема информации имеется принципиальная возможность случайного или злоумышленного изменения адреса корреспондента, хранящегося в регистре или в специально выделенной зоне ОП. В этом случае данные (после изменения адреса) будут передаваться по адресу, модифицированному в результате изменений, или заданному злоумышленником. С целью минимизации объема переданных по ложному адресу данных рекомендуется в процессе передачи периодически (через определенный интервал времени и после передачи определенного объема информации) проверить адрес корреспондента. Процедура проверки является обычной: адрес корреспондента, используемый для передачи, сравнивается с эталонным, хранящимся в безопасной зоне ОП. При несовпадении сравниваемых адресов передача данных блокируется и вырабатывается соответствующий системный сигнал.
Проверка обратного кода представляет собой процедуру защиты, осуществляемую в процессе передачи данных. Заключается она в том, что у корреспондента периодически запрашивается идентифицирующая информация, которая и называется обратным кодом. Эта информация сравнивается с эталонной, при несовпадении кодов передача блокируется. Проверкой обратного кода можно обнаружить факт изменения (перекоммутации) направления выдачи данных или умышленного несанкционированного использования приемного устройства зарегистрированного корреспондента.
Программы внутренней защиты
Этот класс программ осуществляет ЗИ непосредственно в элементах АС. Сущность такой защиты сводится к регулированию использования соответствующих ресурсов АС ( технических средств, данных, программ) в строгом соответствии с полномочиями, предоставленными субъектам ( пользователям) и объектам (терминалам, групповым устройствам, программам). Каждый из видов регулирования обычно осуществляется в следующей последовательности.
1.Установление подлинности ( опознание) субъекта или объекта, обращающегося к ресурсам системы.
2.Определение соответствия характера и содержания запроса полномочиям, предъявленным запрашивающему субъекту или объекту.
3.Принятие и реализация решений в соответствии с результатами проверки полномочий.
Наиболее важной из перечисленных процедур является первая, т.е. установление подлинности (опознание) субъекта или объекта, обращающегося к ресурсам АС. Поэтому разработке эффективных средств надежного опознания неизменно уделяется повышенное внимание.
Установление подлинности ( аутентификация, идентификация, опознавание) какого-либо объекта или субъекта заключается в подтверждении того, что
338 Глава 17. Программные методы защиты
обращавшийся субъект или предъявленный объект являются именно тем, который должен участвовать в данном процессе обработки информации. Основными субъектами, подлинность которых подлежит установлению во всех системах, где обрабатывается информация с ограниченным доступом, являются различные пользователи. В некоторых системах с повышенными требованиями к обеспечению безопасности предусматривается установление подлинности программистов, участвующих в разработке и эксплуатации программного обеспечения, администраторов банков данных и даже инженерно-технического персонала, привлеченного к техническому обслуживанию системы в процессе обработки защищаемой информации.
Сложность и объем операций по опознаванию могут существенно отличаться для каждого конкретного случая. Они определяются следующими основными факторами:
∙структурным и организационным построением АС (размеры, сложность архитектуры, территориальное распределение, развитость терминальной сети, характер размещения оборудования и т.п.);
∙характером функционирования (наличие дистанционного доступа, режим работы АС, объем и характер обмена информацией по автоматизированным каналам связи и т.д.);
∙степенью секретности защищаемой информации и ее объемом.
Взависимости от сложности операций опознавания, специалисты выделяют три основные группы:
∙простое;
∙усложненное;
∙особое опознавание.
По величине объема операций процедуры опознавания также разбивают на три группы:
∙контрольное;
∙расширенное;
∙всеобщее опознавание.
Под контрольным опознаванием понимают опознавание удаленных терминалов в моменты включения их в работу и при обращении их к системе во время обработки защищаемой информации. При расширенном опознавании обычно производится опознавание программистов, удаленных корреспондентов, устройств группового управления вводом/выводом, элементов защищаемых баз данных и т.д. При всеобщем опознавании обеспечивается опознавание всех субъектов и объектов, имеющих отношение к обработке защищаемой информации.
Простое опознавание, как правило, сводится к сравнению кода ( пароля), предъявляемого терминалом или пользователем, с эталонным кодом (паролем),
Программывнутреннейзащиты 339
хранящимся в ОП АС. При усложненном опознавании обычно используется дополнительная информация — система разовых паролей, персональная информация пользователя и т.п. Усложненное опознавание осуществляется в режиме диалога: система формирует вопросы, на которые опознаваемый должен дать ответы. По содержанию ответов система принимает решение об опознавании. При особом распознавании используется такая совокупность опознавательных характеристик, при которой должно обеспечиваться надежное опознавание субъектов и объектов.
Существует также понятие прямого и обратного опознавания. При этом под прямым опознаванием понимают опознавание системой обращающихся к ней субъектов и используемых объектов, а под обратным — опознавание пользователем элементов системы, предоставляемых ему для обработки защищаемых данных.
Простое опознавание пользователя
Наиболее распространенной и просто реализуемой процедурой является опознавание по коду или паролю. Под кодом (паролем) понимается некоторая последовательность символов, сохраняемая в секрете и предъявляемая при обращении к системе. Коды (пароли) всех подлежащих опознаванию пользователей и устройств хранятся в ОП той АС, в которой осуществляется процедура опознавания. Символы пароля (кода) выбираются случайно. Однако важнейшей характеристикой пароля является его длина, поскольку при малой длине можно осуществить перебор всех возможных значений и таким образом получить несанкционированный доступ к системе.
Существует реальная возможность перехвата пароля в процессе его передачи по линии связи. Для устранения такой опасности можно прибегнуть к шифрованию пароля ( кода). Однако при этом возникают дополнительные трудности, связанные с выбором, распределением, хранением и использованием ключей, поскольку знание злоумышленником системы шифрования и используемых ключевых установок сводит на нет эффект шифрования.
При работе с паролями должна соблюдаться и такая мера предосторожности, как предупреждение их распечатки или вывода на экран дисплеев. При этом понимается, что должны быть приняты особо тщательные и эффективные меры защиты паролей и кодов в ОП АС.
Усложненная процедура опознавания
Для повышения эффективности опознавания по паролю (коду) могут использоваться различные усложненные процедуры: модификация системы простых паролей, использование метода “ запрос — ответ” и применение метода перекрестного опознавания.
Наиболее распространенными методами модификации схемы простых паро-
лей являются случайная выборка символов пароля и одноразовое использова-
340 Глава 17. Программные методы защиты
ние паролей. При использовании первого метода каждому пользователю ( устройству) выделяется достаточно длинный пароль (код), причем каждый раз для опознания используется не весь пароль, а некоторая его часть, выбираемая случайным образом. В этом случае в процессе опознавания АС запрашивает у пользователя не весь пароль, а некоторые его символы, причем количество символов и их порядковые номера в пароле определяются АС с помощью датчика случайных чисел, чтобы при каждом опознавании они изменялись случайным образом.
При одноразовом использовании паролей каждому пользователю выделяется не один, а большее количество паролей, каждый из которых используется только один раз. Пароли могут выбираться последовательно по списку или по схеме случайной выборки. Этому методу присущи следующие недостатки:
∙пользователь должен помнить все пароли и их последовательность (что при большом числе паролей весьма затруднительно) или иметь при себе их список ( что чревато возможностью их утери или случайного подсматривания злоумышленником);
∙если пароль передан с ошибкой, пользователь будет, находится в трудном положении при выборе дальнейших действий: повторить ли прежний пароль или использовать следующий. Если при каждой ошибке использовать следующий пароль, то полный список паролей должен быть достаточно большим, а при повторном использовании одного и того же пароля нарушается принцип одноразовости, кроме того, пароль в такой ситуации может быть перехвачен злоумышленником;
∙при большом числе пользователей для генерации списка паролей необходимо использовать генераторы случайных последовательностей, что в принципе позволяет злоумышленнику восстановить пароли с помощью статистического анализа.
При использовании метода “запрос — ответ” в памяти АС заблаговременно создается и особо защищается массив вопросов, включающий в себя вопросы общего характера, так и персональные вопросы, относящиеся к конкретному пользователю. Для опознавания пользователя АС последовательно ставит перед ним ряд случайно выбираемых вопросов, на которые пользователь должен дать ответ. Опознавание считается положительным, если в ответах пользователя число ошибок не превышает заданного порога.
Метод перекрестного опознавания заключается в том, что процедура опознавания повторяется периодически в процессе работы пользователя, причем моменты повторения процедуры выбираются случайно. При этом каждый раз могут использоваться различные методы опознавания.
Методы особого надежного опознавания