Филин С.А. Информационная безопасность, 2006
.pdfс сетью. Системы С2 обеспечивают эту возможность, пользуясь про цедурами входа, путем прослеживания (аудита) всех событий, име ющих отношение к безопасности работы, и путем изолирования ре сурсов. Системы с уровнем защиты С2 обладают всеми свойствами систем С1, а также должны удовлетворять следующим требованиям:
—элементы управления доступом включают как целые группы, так и отдельных пользователей;
—элементы управления доступом должны ограничивать копи рование прав доступа;
—механизм избирательного доступа будет, по явно заданным пользователем параметрам или по умолчанию, обеспечивать защиту от незарегистрированного доступа;
—элементы управления доступом могут разрешать или ограни чивать доступ определенных пользователей к определенным объектам;
—система идентификации уникальным образом определяет каждого пользователя, связанного с системой;
—операционная система ассоциирует каждое действие, произ веденное определенным пользователем, с уникальным иден тификатором этого пользователя;
—сеть может создавать и поддерживать функции аудита всех по
пыток доступа к сетевым объектам (например, к файлам). Уровень защиты В. Уровень защиты В подразделяется на классы
В1, В2 и ВЗ. Принципиальная разница между уровнями В и С в том, что системы с уровнем защиты В должны иметь обязательную защи ту. Это означает, что на каждом уровне доступа к системе исполь зуются свои правила, т. е. каждый объект должен обладать своим уровнем безопасности. Подобная система не позволит пользователю сохранить созданный объект, если он не определит уровень защиты этого объекта.
Уровень защиты В1. Системы класса В1 должны отвечать всем требованиям к системам класса С2. Кроме того, в системах В1 дол жен физически обеспечиваться обязательный контроль доступа над субъектами и объектами и неформальное следование некоторой стратегии зашиты. Системы с уровнем защиты В1 должны удовлет ворять следующим требованиям:
—система должна поддерживать «метки чувствительности» для каждого объекта, над которым сеть осуществляет контроль. Метка чувствительности — это индикатор чувствительности объекта. Например, можно пометить цифры предстоящих продаж как «чувствительные», а деловые проекты — как «осо бо чувствительные»;
233
— система должна использовать чувствительные метки как осноч ву для принятия решений по осуществлению обязательного^ контроля доступа; ч
—система будет помечать импортированные, непомеченные! объекты, прежде чем поместить их в систему, и не разрешщ» непомеченным объектам проникать в систему;
—метки чувствительности должны точно определять уровни безопасности различных объектов;
—когда системный администратор создает систему либо до бавляет новые коммуникационные каналы или устройства! ввода-вывода в систему, он должен определить каждый ком-: муникационный канал и каждое устройство ввода-вывода кац
одноуровневое или многоуровневое. Изменить это определен
ние администратор может только вручную; |
| |
— многоуровневые устройства поддерживают метку чувствитель |
|
ности информации, передаваемой им с помощью сети; |
■ |
—одноуровневые устройства не поддерживают уровень чувстви тельности передаваемой информации;
—все выходные данные, передаваемые пользователям, незави симо от того, являются они виртуальными (мониторы) или физическими (бумага), должны сопровождаться меткой, ко-, торая определяет уровень чувствительности объектов на вы ходе;
—система должна использовать пароли и методы идентифи4 кации для определения уровня доступа каждого пользовате* ля. Более того, уровни доступа и безопасности пользователя должны применяться при каждом его обращении к объекту; /*:,
—система должна регистрировать все попытки несанкциониро? ванного доступа в специальном журнале.
Уровень защиты В2. Системы класса В2 должны удовлетворять' всем требованиям, предъявляемым к системам класса В1. Кроме того, системному администратору необходимо при инсталляции сис темы основывать надежную вычислительную базу с помощью четко определенной и подкрепленной документально модели безопаснос ти системы. Особенность систем класса В2 в том, что они должны распространять избирательные и обязательные элементы управле ния доступом систем класса В1 на все объекты и субъекты системы. Системы с уровнем защиты В2 адресуют незащищенные элементы и четко разделяют на критичные и не критичные к защите элементы. Системы этого класса могут оказывать достаточно сильное сопро тивление атакам хакеров. Они должны удовлетворять следующим требованиям:
234
_ система должна немедленно сообщать пользователю о каж дом изменении его уровня доступа во время текущего сеанса работы;
—система должна поддерживать надежные коммуникации меж
ду собой и пользователем во время его регистрации и иденти
фикации. Только пользователь может стать инициатором се анса связи во время работы с надежными коммуникациями;
—разработчик системы должен проводить тщательный поиск незащищенных каналов и определять максимальную про пускную способность каждого из них;
—надежная вычислительная основа будет поддерживать отдель ные функции оператора и администратора;
—реализация системы должна включать в себя диспетчера кон фигурации — человека, который будет заниматься проверкой того, что коренные изменения системы проводятся людьми
с соответствующими правами и разрешениями.
Уровень защиты ВЗ. Системы класса ВЗ должны удовлетворять всем требованиям, предъявляемым к системам В2. Кроме того, раз работчики создают системы этого класса, ставя целью ограничение доступа и защиту от копирования с минимизацией компонентов, упрощающих анализ и тестирование системы. Надежная вычис лительная основа должна исключить все те программы, которые являются несущественными для проведения политики защиты. Проектировщики должны свести к минимуму сложность системы, для того чтобы упростить ее анализ. У такой системы должен быть постоянный администратор, расширенный механизм аудита и про цедуры восстановления системы. Системы класса ВЗ в высшей мере устойчивы к атакам хакеров и должны удовлетворять следующим требованиям:
—они контролируют доступ всех пользователей к любому объ екту (как и системы класса В2), системы класса ВЗ должны генерировать читабельный список безопасности. В этом спис ке должны быть отмечены все зарегистрированные в системе пользователи и их доступ ко всем объектам системы;
—каждый зарегистрированный объект должен поддерживать спецификацию списка пользователей, не обладающих права ми доступа к этому объекту;
—прежде чем предпринять какие-то действия, система ВЗ тре бует обязательной идентификации пользователя;
—системы ВЗ идентифицируют каждого пользователя не толь ко внутренне, но и с внешними протоколами безопасности. Система не будет предоставлять внутренний доступ пользо
235
вателям, которые, по ее определению, не имеют доступа н^ внешнем уровне безопасности, несмотря на корректность без! опасности. Система должна создать сообщение для журнала* аудита, в котором указывается причина отказа в доступе; |
— проектировщики должны логически выделить и безошибочно отличить надежный путь коммуникации от всех остальных; '
—надежная коммуникационная основа должна создавать ин^ формацию аудита для каждого действия любого зарегистрированного пользователя над каждым объектом. К тому же? всякий раз, когда зарегистрированный пользователь пытается!
выполнить какое-либо действие, надежная коммуникацион ная основа должна создать полную информацию аудита для; администратора; '
—надежная вычислительная основа должна поддерживать от дельные функции администратора безопасности;
—система должна поддерживать надежное восстановление (дру
гими словами, система не будет перезагружаться без соблюдем ния условий безопасности). ' Уровень защиты А. Уровень защиты А — высший по систем© уровней и содержит только один класс систем — А1. Его характери^ зует использование формальных методов контроля безопасносп^ Формальные методы безопасности обеспечивают то, что элемента^ обязательного и избирательного контроля безопасности систем^ могут эффективно защищать классифицируемые или другие вы* сокочувствительные данные, содержащиеся или обрабатываемые в системе. Уровень защиты А требует обширной документации длй демонстрации того, что система удовлетворяет всем требования*! безопасности. ( Уровень защиты Л1. Системы класса А1 функционально идентич-* ны системам класса ВЗ в том, что не требуют отличий в архитекту ре или требованиях политики. Отличие систем класса А1 в том, чтсу проектировщики каждой системы должны анализировать систему* сточки зрения формальной разработки. После анализа системы проектировщики должны интенсивно применять методы проверки; для гарантии того, что система удовлетворяет всем формальным тре бованиям. В частности, системы класса А1 должны также удовлетво
рять следующим требованиям:
—диспетчер безопасности системы должен получить от разра ботчика системы формальную модель политики зашиты. Эта модель ясно определяет и устанавливает в письменном виде все аспекты политики, включая математическое доказатель ство того, что модель согласуется со своими аксиомами и до статочна для поддержки требуемого уровня защиты;
236
все инсталляции систем класса А1 требуют наличия диспетче ра безопасности системы;
_ диспетчер безопасности системы должен установить систему класса А1, формально задокументировать каждый шаг инстал ляции и показать, что система согласуется с моделью безопас ности и формальной моделью.
Немногие системы должны обладать уровнем зашиты А1. Операционная система (ОС) — важнейший компонент ПО вы
числительной техники, осуществляя управление компьютером и его ресурсами, запуск прикладных программ на выполнение, обеспечи вая диалог пользователя с компьютером. Следовательно, от уровня безопасности ОС зависит безопасность информационной системы
в целом.
Обеспечить безопасность ОС — значит, исключить случайное или преднамеренное нарушение ее функционирования, а также наруше ние функционирования находящихся под управлением ОС ресурсов системы.
Операционная система MS DOS не представляет каких-либо ме тодов защиты: нет разделения оперативной памяти между програм мами, отсутствует защита файлов.
Операционные системы Windows 98 и Millennium не имеют доста точного уровня безопасности, в частности, весь объем оперативной памяти доступен для любой программы. Меры сетевой безопасности не отвечают современным требованиям.
Более высокую систему безопасности имеют операционные сис темы Windows NT, 2000. Они активно используют возможности за щищенного режима процессоров Intel и могут надежно защитить данные и программы от других программ.
Операционная система UNIX разрабатывалась как сетевая и мно гопользовательская и изначально включала средства информацион ной безопасности.
Уровень безопасности ОС зависит от степени безопасности, пре доставляемой брандмауэром и включает:
—проверку событий операционной системой. Операционная сис тема с уровнем зашиты С2 и выше должна содержать возмож ности полной регистрации (аудита) любых событий, связан ных с безопасностью системы. Это должно помочь определить размер нанесенного хакером ущерба. С помощью средств аудита можно определить, проводится ли атака в настоящее время или система уже взломана;
—политику обязательного доступа. Можно использовать поли тику обязательного доступа в системах с уровнем защиты В1
237
и выше для защиты от вируса «троянский конь». Этот уровещ гарантирует, что только определенные пользователи имею доступ к системным файлам. Обычные пользователи брандм^і уэра (например, пользователи FTP) и многие другие процесс сы-демоны34 работают, как правило, на более низком уровн) защиты, поэтому возникает необходимость защиты систем* ных файлов от их воздействия. ■
Требования к программно-техническим средствам защиты игон формации сформулированы также в руководящих документ^ Государственной технической комиссии (ГТК) при Президенте Рф Основой всего набора таких документов является руководящий кумент «Концепция защиты средств вычислительной техники и am томатизированных систем от несанкционированного доступа (НСД к информации».
Этим документом вводится понятие «штатные средства», под кш торыми понимается совокупность программного, микропрограмм* ного и технического обеспечения средств вычислительной техника и компьютерных сетей.
Главным средством защиты считается система разграничения ступа (СРД) субъектов к объектам доступа [9]. 1
Технические средства защиты от НСД должны оцениваться шЗ| степени полноты охвата правил разграничения доступа реализовав ной СРД и ее качеству, составу и качеству обеспечивающих средств для СРД, гарантии правильности функционирования СРД и обеспс* чивающих ее средств.
Подключение компьютерных сетей к другим информационный системам и сетям производится через межсетевые экраны не нижй 3 класса защищенности, сертифицированные по требованиям ру^ ководящего документа Гостехкомиссии России «Средства вычисли* тельной техники. Межсетевые экраны. Показатели защищенное*! от несанкционированного доступа к информации».
Объектам компьютерных сетей присваивается различная степени защищенности для определения требуемых организационно-техниче ских мероприятий по защите информации в зависимости от ее важнос ти, реальных условий размещения элементов компьютерных сетей, возможных каналов утечки информации, а также для минимизаций затрат на защиту информации. Допускается присваивать различные степени защищенности по отдельным элементам компьютерных се-
34 Процессы, работающие в фоновом режиме, не заметны для пользователя.
238
й при обработке ими информации различной степени конфиденците ности. Целесообразно установить следующие степени (категории)
щ иш енности объектов компьютерных сетей в соответствии со сте рнью конфиденциальности обрабатываемой информации:
П _ 1 степень (категория) — объекты, связанные с обработкой строго конфиденциальной информации;
_ 2 степень (категория) — объекты, связанные с обработкой конфиденциальной информации;
___ 3 степень (категория) — объекты, связанные с обработкой слу жебной информации.
Биржа обычно использует целый комплекс мер по обеспечению безопасности торговой и клиринговой биржевых систем [63]. К ним относятся законодательные, морально-этические, административ ные, физические, технические меры. С целью защиты торгово-кли рингового комплекса от всего спектра физических и технических угроз безопасность компьютерной системы должна быть реализова на на нескольких уровнях.
Первый уровень — парольный доступ к компьютеру торгового тер минала по закрытому ключу. Он защищает каждый отдельный ком пьютер и содержащуюся в нем информацию от несанкционирован ного использования.
Второй уровень — обеспечивает защиту сервера доступа. Этот вид защиты реализован в виде пароля к серверу доступа по открытому ключу и в процессе проверки идентифицирует права каждого кон кретного участника торгов.
Третий уровень — реализован аппаратно для всей системы в це лом путем соответствующего управления интеллектуальными кон центраторами.
Четвертый уровень — реализован для защиты торговой системы и организован на уровне парольного доступа к базе данных по от крытому ключу с проверкой прав терминала, осуществляющего по пытку доступа к торговой системе.
Пятый уровень — обеспечивается самой базой данных SQL Server путем проверки целостности базы, он осуществляет основную защи ту торговой базы данных от угрозы вмешательства.
Операционная система сервера на базе NT-подобных операцион ных систем, на основе которой строится обычно система биржевой торговли в России, соответствует высокому уровню системы защиты в соответствии с международным стандартом безопасности С2.
Для нормального взаимодействия номинального держателя и ре гистратора между ними должен быть выработан стандарт предостав
239
ления информации, в связи с чем в этих системах должна быть пред усмотрена возможность перевода данных в файлы формата DBF.
Наиболее совершенные информационные системы ведения реестра (ИСВР) и информационные депозитарные системы (ИДС) предусмат ривают функции, обеспечивающие многоуровневую защиту данных, которая включает в себя:
—защитуданных от несанкционированного доступа, т. е. исполь зование процедуры аутентификации пользователя по иден тификатору и паролю при входе в систему;
—наличие процедур кодирования и шифровки информации;
—многоуровневый доступ к данным — наличие нескольких ти пов пользователей в соответствии с их полномочиями;
—защиту информации от случайного уничтожения при сбое сис темы или неправильных действий персонала;
—наличие средств контроля достоверности и непротиворечиво сти данных;
—возможность резервного сохранения и последующего восста новления данных.
Брандмауэр
Основным программно-техническим средством защиты вычис лительных сетей является межсетевой экран (брандмауэр, Firewall). Гостехкомиссией разработан руководящий документ «Средства вы числительной техники. Межсетевые экраны. Защита от несанкцио нированного доступа к информации Показатели защищенности от несанкционированного доступа к информации». В указанном до кументе межсетевой экран определяется как локальное (однокомпо нентное) или функционально-распределенное программное (прог раммно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в компьютерную сеть или выходя щей из нее. Межсетевой экран обеспечивает защиту компьютерной сети посредством фильтрации информации (как минимум, на сете вом уровне), т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) компьютерной сети на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной компьютерной сети к объектам другой. Каждое правило запрещает или разрешает передачу информации определен ного вида между субъектами и объектами. Как следствие, субъекты из одной компьютерной сети получают доступ только к разрешен ным информационным объектам из другой компьютерной сети. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачи данных (па кетов) на следующий фильтр или уровень протокола.
240
Брандмауэр — это совокупность аппаратных средств и программ ного обеспечения, которая связывает две и больше сетей и одновре менно разделяет защищенную и незащищенную сети или защищен ную область сети от незащищенной области той же сети, являясь центральным пунктом управления безопасностью, обеспечивая контроль взаимного доступа сетей друг к другу и защиту этого со единения сетей от постороннего вмешательства.
Брандмауэры могут реализовываться как программно, так и аппа ратно-программно. Аппаратные брандмауэры являются специали зированными компьютерами, как правило, встраиваемыми в стойку с сетевой ОС, адаптированной под выполняемые функции.
При присоединении сети к Интернет основой безопасности этого соединения должен стать брандмауэр. Обычно брандмауэр устанав ливается между корпоративной сетью организации и Интернетом как способ закрыть доступ остальному миру к корпоративной сети.
Брандмауэр обеспечивает возможность центрального управления безопасностью сети. Обычно он строится на основе компьютера-бас тиона.
Компьютер-бастион — это компьютер, специально установлен ный для защиты от атак на сеть.
Проектировщики сетей используют компьютеры-бастионы в ка честве первой линии обороны. Компьютер-бастион является свое образной «заслонкой» для всех коммуникаций между сетью и Ин тернетом. Другими словами, ни один компьютер сети не может получить доступ к Интернету иначе чем через компьютер-бастион; с другой стороны, ни один внешний (по отношению к сети) пользо ватель не сможет проникнуть в сеть, минуя компьютер-бастион. При использовании центрального доступа к сети через один ком пьютер упрощается обеспечение безопасности сети. Более того, предоставляя доступ к Интернету только одному компьютеру сети, разработчик значительно облегчает себе выбор надлежащего прог раммного обеспечения для защиты сети.
Экранирующий маршрутизатор
В дополнение к традиционному аппаратному и программному обеспечению брандмауэров для большей безопасности используют экранирующий маршрутизатор — аппаратное и программное обес печение для фильтрации пакетов данных, основываясь на задан ном администратором критерии. Можно создать экранирующий
241
маршрутизатор на базе ПК или компьютера, работающего под управлением Unix.
Экранирующий маршрутизатор (screening router) — это специаль ный компьютер или электронное устройство, экранирующее (филь трующее) пакеты, основываясь на установленном администратором критерии. Вкачестве экранирующего маршрутизатора может исполь зоваться ПК, или рабочая станция, или специальное электронное устройство. Критерии для выбора пакетов устанавливаются с помо щью специального программного обеспечения или аппаратно. После установления стратегии безопасности организации определяются пользователи, каторые могут иметь доступ к маршрутизатору и ка кие протоколы они могут использовать. Запрограммируйте маршру тизатор, написав набор правил в специальном файле маршрутизато ра. Эти правила являются инструкцией для вашего маршрутизатора, т. е. определяют, как маршрутизатор должен обрабатывать каждый входящий пакет в зависимости от заголовка пакета. Например, мож но заблокировать всю информацию, поступающую от неизвестных пользователей, но в то же время пропускать данные ICMP (Internet Control Message Protocol), вроде электронной почты SNMP. После того как вы запрограммируете экранирующий маршрутизатор, установите его между вашей локальной сетью и той сетью, от кото рой вы защищаетесь (т. е. другой локальной сетью или Интернет). Экранирующий маршрутизатор, в свою очередь, будет просматри вать все коммуникации между этими двумя сетями. Помните, что маршрутизатор должен быть единственным физическим соединени ем между вашей и другой сетью (чаше всего Интернет).
Фильтрация экранирующим маршрутизатором проходящих через него пакетов представлена на рис. 4.7 [66].
Для достижения определенного уровня защиты от атак хакеров из Интернета достаточно правильно сконфигурировать брандмауэр,
Рис. 4.7. Экранирующий маршрутизатор фильтрует пакеты, выходящие и входящие в сеть
Отбрасывать пакеты ©определенных пользователей
Маршрутизатор ^ Отклонять данные, продаваем с помощью протокола FTP
(Почта) — =--------------
4------ Разрешить>гпередачу сообщения электронной почты
242