Мельников Д. А. - Информационная безопасность открытых систем - 2013

Г л а в а б

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ

Многие прикладные (открытые) системы ЭМВОС и Ин­ тернет-архитектуры предъявляют определенные требования по обеспечению безопасности, которые зависят от предотвращения раскрытия информации. Такие требования могут включать за­ щиту информации, которая используется для информацион­ ного обеспечения других СЛБ, например СЛАУ, СЛУД или СЛЦЛ. Если же эта информация станет известна нарушителю, то эффективность таких служб обеспечения безопасности резко снизится или вообще будет сведена к нулю.

Конфиденциальность — это свойство информации, которое обеспечивает ее недоступность или нераскрываемость для неав­ торизованных пользователей, объектов и процессов.

В данной главе определены общие основы создания и функционирования служб обеспечения конфиденциальности (СЛКН), а именно:

•базовые концепции обеспечения конфиденциальности;

•возможные классы способов обеспечения конфиденци­ альности (СПКН);

•классификация и описание средств для каждого класса СПКН;

•процедуры (вспомогательные и функциональные), необходимые для реализации того или иного класса СПКН;

•взаимодействие СЛКН и СПКН с другими службами и способами обеспечения безопасности.

Как и в других службах обеспечения безопасности, обеспече­ ние конфиденциальности может осуществляться только в рам­ ках контекста принятой политики обеспечения безопасности для соответствующей прикладной системы.

295

Некоторые из рассматриваемых далее процедур обеспечи­ вают конфиденциальность (ПРКН) с привлечением приклад­ ных систем, реализующих криптографические методы. В целом обеспечение конфиденциальности не зависит от использования соответствующих криптографических или иных алгоритмов, однако рассматриваемые далее классы СПКН могут зависеть от свойств соответствующих алгоритмов.

Как правило, обеспечение конфиденциальности необходимо тогда, когда информация представлена в форме данных, кото­ рые являются читабельными для потенциальных нарушителей. Поэтому в дальнейшем рассматривается обеспечение конфи­ денциальности потока трафика.

6.1. Общие положения

6 .1 .1 . О сновны е ко н ц е п ц и и об есп еч ен и я конф и д енц иал ьно сти

Целевое предназначение СЛКН — гарантировать, что ин­ формация доступна только тем, кто авторизован. Поскольку ин­ формация представляется в форме данных и сами данные могут повлечь за собой контекстно-зависимые изменения (например, манипуляции с файлами могут повлечь за собой непосредствен­ ные изменения или изменения числа допустимых ячеек памя­ ти), информация может быть извлечена из данных различными способами, а именно:

a)на основе понимания семантики данных (например смы­ словое значение данных);

B) путем использования соответствующих атрибутов дан­ ных (таких как их наличие, дата сформирования, размер, дата последнего обновления и др.);

c)на основе анализа контекста данных, т.е. других объектов данных, которые связаны с ними;

d)путем наблюдения за динамическими изменениями форм представления данных.

296

Информация может быть защищена либо путем обеспечения гарантий того, чтоданные ограничены доступом к ним только тех, кто авторизован, либо путем представления данных таким обра­ зом, чтобы их семантика оставалась доступной только тем, кто обладает некоторой критической информацией. Эффективная защита конфиденциальности требует, чтобы была обеспечена защита необходимой управляющей информации (например ключей и другой рассекречивающей информации). Такая за­ щита может быть обеспечена с помощью способов и средств, от­ личающихся от тех, которые используются для защиты данных (например криптографические ключи могут быть защищены с помощью физических средств).

В данной главе используются понятия защищенной зоны и перекрывающихся защищенных зон. Данные внутри защищен­ ной зоны защищаются прикладными процессами или система­ ми, реализующими соответствующий способ (или несколько соответствующих способов) обеспечения безопасности. Соот­ ветственно все данные в пределах защищенной зоны являются также защищенными. Если имеют место две или более перекры­ вающихся защищенных зон, то данные в субзоне перекрытия являются многократно защищенными. Отсюда следует вывод, что для обеспечения непрерывной защиты данных, которые пе­ ремещаются из одной зоны в другую, необходимо использовать перекрывающиеся защищенные зоны.

6.1.1.1. Защита информации

Передача или хранение информации основаны на представ­ лении информации в форме данных. СПКН позволяют не до­ пустить раскрытия информации путем защиты отдельных или всех данных.

К СПКН относятся:

a)защита знания о наличии (существовании) данных или о характеристиках данных (например размер данных или дата их сформирования);

b)защита доступа для чтения данных;

c)защита знания семантики самих данных.

297

СПКН обеспечивают защиту информации от ее вскрытия:

•либо путем защиты формы представления элемента ин­ формации от вскрытия;

•либо путем защиты правил такого представления от вскрытия.

Во втором случае защита от вскрытия наличия данных или других атрибутов данных может быть обеспечена за счет ком­ бинирования нескольких элементов данных с целью формиро­ вания элемента смешанных данных, а также путем защиты от вскрытия правил формирования смешанного элемента данных.

6.1.1.2. Процедуры закрытия и раскрытия

Процедура закрытия может быть представлена как переме­ щение информации из зоны А в субзону перекрытия (В) А с дру­ гой зоной С Процедура раскрытия может рассматриваться как обратная процедуре закрытия.

Когда информация перемещается из зоны, защищаемой с по­ мощью одного СПКН, в зону, защищаемую с помощью другого СПКН, тогда:

•если процедура закрытия, реализуемая вторым спосо­ бом, предшествует процедуре раскрытия, реализуемой первым способом, то информация является непрерывно защищаемой;

•если процедура раскрытия, реализуемая первым спосо­ бом, предшествует процедуре закрытия, реализуемой вторым способом, то информация не является непрерыв­ но защищаемой.

В первом случае необходимо, чтобы между раскрытием, реализуемым старым способом, и закрытием, реализуемым но­ вым способом, существовала некая форма коммутативности (связности, commutativity). Например, процедуры закрытия и раскрытия обладают свойствами коммутативности там, где одна зона защищена с помощью процедур УД или физических средств, а другая зона защищена с помощью криптографических преобразований.

298

Конфиденциальность напрямую влияет на поиск, доставку и администрирование информации следующим образом:

a)конфиденциальность при доставке информации в от­ крытых системах ЭМВОС, включая Интернет, обеспе­ чивается тогда, когда процедура закрытия (при достав­ ке используется средство (JV— 1)-уровня ЭМВОС или Интернет-архитектуры) и процедура раскрытия объеди­ нены (совмещены) в форме службы обеспечения конфи­ денциальности (СЛКН) в рамках единой службы пере­

дачи JV-уровня ЭМВОС или Интернет-архитектуры;

B) конфиденциальность при поиске хранящихся данных обеспечивается тогда, когда процедура закрытия (при хранении и поиске) и процедура раскрытия объединены в форме высокоуровневой службы хранения и поиска ЭМВОС или Интернет-архитектуры;

c)другие формы конфиденциальности могут быть обеспе­ чены путем объединения процедур закрытия и раскры­ тия с другими процедурами (например, с теми, которые используются в целях администрирования данных).

В некоторых СПКН средство закрытия оставляет часть за­ щищаемых данных (с точки зрения их конфиденциальности) доступной пользователю СЛКН еще до того, как это средство полностью обработает все данные. Аналогично, в некоторых СПКН средство раскрытия становится доступным для начала обработки элемента защищенных данных (с точки зрения их конфиденциальности) еще до того, как они все станут доступ­ ными. Таким образом, совокупность данных может включать компоненты, которые все еще не закрыты, компоненты, которые уже закрыты, и компоненты, которые уже раскрыты.

Рассмотрим рис. 6.1, в котором последовательности проце­ дур закрытия/раскрытия (П РЗК/П РРС) защищают конфиден­ циальность данных, доставляемых из начальной зоны А в зону Е. В данной ситуации предполагается, что зоны А и Е обеспечи­ вают конфиденциальность с помощью службы УД, в то время как зона С защищает конфиденциальность с помощью службы шифрования. Субзоны перекрытия В (зон А и С) и D (зон С и Е)

299

защищают данные с помощью шифрования, а также с помощью службы УД. В этом примере представлены следующие проце­ дуры:

a)ПРЗК t, которая зашифровывает данные и в таком виде доставляет их в субзону перекрытия В\

B) ПРРС и, которая перемещает данные из В в С. Эта ПРРС доставляет данные из зоны защиты на основе УД, но не затрагивает защиту конфиденциальности, которая при­ менялась ПРЗК t;

c)ПРЗК о, которая опять использует защиту на основе УД с помощью перемещения данных в субзону перекрытия D.

Вэтой субзоне данные защищаются с помощью шифро­ вания и службы УД зоны Е;

d)ПРРС w, которая расшифровывает данные и в таком виде доставляет их из субзоны D в зону Е.

Рис. 6.1. Пример последовательности процедур закрытия/раскрытия данных, доставляемых через разные зоны защиты

300

6.1.2. Классы СЛКН

СЛКН мшут классифицироваться по реализуемому ими типу защиты информации. К типам защиты информации отно­ сятся:

a) защита семантики данных;

B) защита семантики данных и связанных с ней атрибутов;

c)защита семантики данных и связанных с ней атрибутов, а также любой другой информации, которая может быть извлечена из указанных данных.

Кроме этого, СЛКН может быть классифицирована по виду угроз, существующих в зоне функционирования этой СЛКН, от которых она защищает информацию. В соответствие с этим критерием СЛКН могут быть классифицированы следующим образом:

1)защита от внешних угроз. Функционирование таких СЛКН подразумевает, что те, кто имеет легитимный до­ ступ к информации, не будут раскрывать ее тем, кто не авторизован. Такие СЛКН не защищают информацию, которая была раскрыта для авторизованных сторон информационного взаимодействия, а также не влияют на поведение таких сторон, несмотря на то, что они об­ ладают ранее защищенной информацией. Например, критические файлы стороны А защищены с помощью шифрования. Но процессы, которые обладают необхо­ димыми ключами для расшифрования, могут прочитать защищенные файлы и впоследствии записать их в неза­ щищенной форме;

2)защита от внутренних угроз. Функционирование таких СЛКН подразумевает, что те, имеет право доступа (авто­ ризован) к критической информации и данным, могут, с желанием или без него, провести ряд мероприятий, на­ правленных на компрометацию конфиденциальности информации, которая подлежит защите. Например, мет­ ки безопасности и разрешения на доступ (clearances)

301

присоединяются к защищаемым ресурсам и к объектам, которые имеют право доступа к этим ресурсам. Доступ к таким ресурсам ограничивается в соответствии с вполне определенной и согласованной моделью управления по­ током.

Службы, которые обеспечивают защиту конфиденциальности от внутренних угроз, должны либо не допускать использование скрытых каналов доставки, либо ограничивать скорость достав­ ки такой информации в допустимых пределах. Кроме этого, они должны не допускать неавторизованного раскрытия информации на основе умозаключения, которое может быть следствием не­ предвиденного использования легитимных информационных ка­ налов (например умозаключение на основе последовательности тщательно подобранных умышленных запросов к базам данных, каждый из которых является легитимным, или умозаключение на основе способности/неспособности программы, обслуживающей систему, выполнить команду).

6 .1 .3 . Типы С П К Н

Целевое предназначение СПКН — предотвращение неавто­ ризованного раскрытия информации. Для решения этой основ­ ной задачи СПКН может:

a)предотвратить доступ к данным (например физическая защита канала). Для обеспечения доступа к данным толь­ ко для авторизованных объектов могут использоваться способы УД (глава 3). Методы и способы физической защиты представлены в стандартах ISO 10202 и ANSI ХЭЛ7 / ISO 8734;

b)использовать методы и способы отображения, которые преобразуют информацию с целью ее защиты, т.е. чтобы она была недоступной для всех, кроме тех, кто обладает некоторой критической информацией о методах и спо­ собах отображения. К таким методам и способам отно­ сятся:

302

•шифрование;

•заполнение данных;

•расширение спектра.

СПКН любого из типов могут использоваться в сочетании с другими способами того же или иного типа.

СПКН могут обеспечивать различные виды защиты:

•защита семантики данных;

•защита атрибутов данных (включая наличие данных);

•защита от неавторизованного раскрытия информации на основе умозаключения.

Примерами таких классов СПКН являются:

•шифрование для закрытия данных;

•шифрование совместно с сегментацией и заполнением данных для закрытия размера (длины) протокольного элемента данных;

•методы и способы расширения спектра для маскирова­ ния самого существования канала связи.

6 .1 .4 . Угрозы кон ф и д ен ц иал ьн о сти

Существует единственная, наиболее общая угроза защищен­ ной конфиденциальной информации, а именно вскрытие защи­ щенной информации. Также существует несколько угроз защи­ щенным конфиденциальным данным, которые соответствуют различным способам возможного извлечения защищенной кон­ фиденциальной информации из данных. Рассмотрим некоторые угрозы.

6.1.4.1. Угрозы конфиденциальности, обеспечиваемой

спомощью предотвращения доступа

Ктаким угрозам относятся;

1)преодоление защиты, основанной на предотвращении до­ ступа. А именно:

303