Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdf•различные допустимые размеры PDU -элемента N -го уровня архитектуры ЭМВОС или Интернет-архитек туры;
•различные адреса получателей, которые доступны для приема или перехвата получателем по скрытому каналу при организации соединения или дейтаграммном режи ме доставки на iV-ом уровне архитектуры ЭМВОС или Интернет-архитектуры;
•различные допустимые промежутки времени между про цедурами передачи по одному и тому же соединению или от одного и того же объекта на JV-OM уровне архитектуры ЭМВОС или Интернет-архитектуры.
Последний пример представляет собой скрытый канал син хронизации.
При использовании различных способов хранения и извле чения данных, примерами каналов, которые основаны на рас познавании смысла перемещаемой информации, являются:
•наименование, присвоенное области хранения;
•наличие или отсутствие определенных хранящихся дан ных;
•объем"хранящихся данных;
•способность получения дополнительных предназна ченных для хранения данных;
•продолжительность интервала времени, в течение кото рого хранятся или не хранятся определенные данные.
Первые из перечисленных примеров, в которых данные (их имена) могут храниться, а затем извлекаться, именуются как «скрытые каналы хранения».
Системные ресурсы и протоколы связи могут быть описаны и представлены как абстрактные характеристические объекты, используемые при проведении отдельных первичных процедур. Следовательно, в более общем представлении, примерами, кото рые основаны на распознавании смысла перемещаемой инфор мации, являются:
•выбор одной из доступных процедур;
324
•порядок, в котором используются служебные прими тивы;
•продолжительность интервала времени между исполь зуемыми процедурами, когда для получателя существует потенциальная возможность наблюдения по скрытому каналу.
Обеспечение конфиденциальности информации может быть гарантировано только тогда, когда все средства доставки (пере мещения) информации выявлены и идентифицированы (вклю чая скрытые каналы), а каждое из них контролируется на основе использования соответствующих СПКН.
Во многих примерах полная нейтрализация скрытых кана лов является неразрешимой задачей (по техническим, органи зационным, экономическим или иным причинам). И все-таки можно добиться снижения объемов информации, которая будет перемещаться по таким каналам, до приемлемых зна чений.
Общая структура службы обеспечения конфиденциальности представлена в табл. 6.1.
В представленной структуре используются следующие кон цептуальные термины.
Объекты/субъекты обеспечения конфиденциальности в си стемах ЭМВОС:
•инициатор. Объект, который формирует предназначен ные для передачи или хранения данные, конфиденциаль ность которых подлежит защите;
•проверяющая сторона. Субъект, который извлекает ин формацию из данных, конфиденциальность которых за щищена;
•ДТС, предоставляющая ВИ для обеспечения конфиден циальности. Субъект, предоставляющий ВИ для проце дуры закрытия или ВИ для процедуры раскрытия взаи модействующим объектам, обменивающимся данными, конфиденциальность которых защищена.
325
|
|
Таблица 6.1 |
Структура службы |
Элемент |
Объект/субъект: Инициатор. Прове- |
обеспечения безопас |
|
ряющая сторона, ДТС, предоставляю |
ности (обеспечения |
|
щая ВИ для обеспечения конфиден |
конфиденциальности) |
|
циальности |
|
|
Ф у н к ц и я : |
|
|
ИнсЬоомапионный объект: Ланньте. |
|
|
конфиденциальность которых за |
|
|
щищена |
|
Цель |
Сделать информацию не доступ |
|
Службы |
ной или не раскрываемой для |
|
|
неавторизованных пользователей, |
|
|
объектов или процессов |
Объект/субъект |
Центр безопасности сетевого сегмента |
|
Функция |
|
|
Мероприятия, связанные с обеспе чением процедуры
Мконфиденциаль
Ености
Р
О
П
Р
И
я Объект/субъект
т
и
я
Функция
—Инсталляция вспо- |
—Модификация вспо |
|
могательной информа- |
могательной информа |
|
ции |
|
ции |
— Удаление вспомога- |
—Регистрация вспомо- |
|
тельной информации |
гательной информации |
|
— Блокирование вспо- |
— Разблокирование |
|
могательной информа- |
вспомогательной ин- |
|
ции |
|
формации |
Инициатор |
Проверяющая ДТС, обеспечи |
|
|
сторона |
вающая конфи |
|
|
денциальность |
Мероприятия, |
— Закрытие |
— Раскрытие |
- Сертификат |
функционально |
данных |
данных |
объекта |
связанные с проце |
— Маркер |
— Маркер |
|
дурой обеспечения |
безопасности |
безопасности |
|
конфиденциаль |
|
|
|
ности |
|
|
|
326
И
н
ф
0
р
Таблица 6.1 (окончание)
Входные/выходные —Открытые ключи элементыданных, —Симметричные ключи определяемые Цен —Маркер безопасности тром безопасности сетевого сегмента
Тип информации, —ВИ для процедурызакрытия
миспользуемой в —ВИ для процедурыраскрытия
Апроцедуре обеспе
Ц |
чения конфиденци |
|
И |
альности |
|
я |
Контрольнаяин |
—Тип способа защитыконфиденциальности |
|
||
|
формация |
—Уровеньзащитыконфиденциальности |
Г л а в а 7
Т Е О Р Е Т И Ч Е С К И Е О С Н О В Ы О Б Е С П Е Ч Е Н И Я Ц Е Л О С Т Н О С Т И
Большинство прикладных (открытых) систем ЭМВОС и Интернет-архитектуры предъявляют определенные требования по обеспечению безопасности, которые зависят от целостности данных. Такие требования могут включать защиту информации, которая используется для информационного обеспечения других СЛБ, например службы аутентификации, управления доступом, обеспечения конфиденциальности, аудита и обес печения неотказуемости. Если же эта информация могла быть модифицирована нарушителем, то эффективность таких СЛБ резко снизится или вообще будет сведена к нулю.
Целостность —это свойство информации, которое предот вращает ее изменение или разрушение неавторизованным спо собом.
В данной главе определены общие основы создания и функционирования служб обеспечения целостности данных при извлечении, доставке и управлении информацией, а именно:
a)определяет базовые концепции обеспечения целостно сти;
B) описывает возможные классы способов обеспечения це лостности (СПЦЛ);
c)описывает средства для каждого класса СПЦЛ;
d)описывает процедуры обеспечения, необходимые для реализации того или иного класса СПЦЛ;
e)рассматривается взаимодействие служб и способов обе спечения целостности с другими СЛБ и СПБ.
Некоторые из рассматриваемых далее процедур обеспечива ют целостность с привлечением прикладных систем, реализую щих криптографические методы. В целом СПЦЛ не зависят от использования соответствующих криптографических или иных
328
алгоритмов, однако представленные в данном стандарте классы СПЦЛ могут зависеть от свойств соответствующих алгорит мов.
Целостность данных определяется постоянством смысло вого значения данных. Это понятие (constancy of a data value) охватывает все случаи, в которых различные формы представ ления значения данных считаются эквивалентными (например различные варианты ASN.1-кодирования данных с одним и тем же смысловым значением). Другие формы инвариантности ис ключены.
Используемый термин данные (data) включает в себя все типы структур данных (например совокупности или наборы данных, последовательности данных, файловые системы и базы данных).
Обеспечение целостности данных относится, в первую оче редь, к защите от потенциальных нарушителей тех данных, к которым предоставляется доступ для записи (write-accessible). Более того, в дальнейшем основное внимание сосредоточено на обеспечении целостности с использованием криптографических и некриптографических способов защиты, которые не полагают ся только лишь на процедуры регулирования доступа.
7 .1 . О б щ и е п о л о ж е н и я
Целевое предназначение службы обеспечения целостности (СЛЦЛ) —защитить целостность данных и их соответствующие атрибуты, которые могут быть скомпрометированы с использо ванием одного из следующих способов:1
1)неавторизованная (несанкционированная) модификация данных;
2)неавторизованное (несанкционированное) удаление дан ных;
3)неавторизованное (несанкционированное) генерирова ние данных;
4)неавторизованная (несанкционированная) вставка дан ных;
329
5)неавторизованная (несанкционированная) повторная передача данных.
СЛЦЛ обеспечивает защиту от угроз с помощью средств пре дотвращения или выявления, с восстановлением или без него. Эффективная защита целостности невозможна, если необходи мая управляющая информация (например ключи и информа ция для защиты целостности) не защищена с точки зрения ее целостности и/или конфиденциальности. Такая защита очень часто зависит, в явном или не явном виде, от принципов, кото рые отличаются от принципов, реализуемых способом защиты соответствующих данных.
В этой главе используется понятие защищенная зона (pro tected environment), чтобы подчеркнуть идею того, что защита целостности включает защиту от несанкционированного (не авторизованного) генерирования и/или удаления. Таким обра зом, несанкционированное (неавторизованное) генерирование/ удаление данных может рассматриваться как несанкциони рованная (неавторизованная) модификация некоторой защи щенной зоны. Аналогично, вставка и повторная передача могут рассматриваться как модификация структурированного набора данных (например последовательности данных или структуры данных).
Следует заметить, что некоторые изменения данных могут рассматриваться как отсутствие влияния на их целостность. На пример, если описание ASN.l-кода содержит тип данных SET OF, то нарушения целостности не последует, если символы это го типа данных были переупорядочены. Сложные СПЦЛ могут определять, что были проведены некоторые преобразования структурированных данных без компрометации их целостности. Такие способы позволяют преобразовывать данные, которые были подписаны ЭЦП или защищены с помощью криптографи ческой проверочной суммы (КПС), без необходимости повтор ного вычисления ЭЦП или КПС соответственно.
Главная цель СЛЦЛ — защитить от несанкционированной (неавторизованной) модификации данных или обнаружить ее, включая несанкционированное (неавторизованное) генериро-
330
вание и удаление данных. Функционирование СЛЦЛ сопрово ждается следующими процедурами:
1)защита (shield): формирование данных, целостность ко торых защищена, из исходных данных;
2)подтверждение целостности (validate): проверка данных, целостность которых защищена, с целью выявления на рушения их целостности;
3)снятие защиты (unshield): повторное формирование дан ных из данных, целостность которых защищена.
Эти процедуры делают применение криптографических ме тодов защиты необязательным. Если эти процедуры использу ют криптографические методы защиты, то нет необходимости преобразования данных. Например, процедура защиты (shield) может быть осуществлена с использованием КПС или ЭЦП, присоединяемым к данным. В таком случае, после успешно про веденных процедур проверки целостности (validate) и снятия защиты (unshield) КПС или ЭЦП удаляются.
СЛЦЛ используется при извлечении, доставке и управлении информацией следующим образом:1
1)для информации, доставляемой в открытых системах ЭМВОС или Интернет-архитектуры, услуга обеспечения целостности предоставляется путем объединения проце дур защиты, доставки, используя средство (N—1)-уровня ЭМВОС или Интернет-архитектуры, и снятия защи ты с целью формирования передаваемой части для по следующей обработки службой iV-уровня ЭМВОС или Интернет-архитектуры;
2)для хранимых и извлекаемых данных услуга обеспечения целостности предоставляется путем объединения проце дур защиты и хранения, а также извлечения и снятия за щиты.
Процедуры защиты и снятия защиты могут осуществлять ся параллельно, например, одни и те же данные (данные, до ставляемые по соединению iV-уровня ЭМВОС или Интернет-
331
архитектуры) могут одновременно включать части, которые еще не защищены, части, которые уже защищены, и части, у которых защита снята.
СПЦЛ обеспечивают защиту зон, а это означает, что этапы защиты и снятия защиты включают в себя доставку данных между защищаемыми зонами. Там, где данные, целостность которых защищена, доставляются из зоны, защищенной с по мощью одного СПЦЛ, в другую зону, защищенную с помо щью другого СПЦЛ, целесообразно, чтобы процедура защи ты второго СПЦЛ предшествовала процедуре снятия защиты первого СПЦЛ с целью обеспечения непрерывности защиты данных.
7 .1 .1 . О сновны е ко н ц е п ц и и об есп еч ен и я целостности
Все СЛЦЛ могут быть разделены на типы в зависимости от противоправной процедуры (генерирование, удаление, моди фикация, вставка и/или повторная передача), от необходимо сти предупреждения нарушения или только его обнаружения и от того, обеспечивается ли восстановление данных в случае на рушения целостности.
Используемые способы, которые применяются СЛЦЛ, мо гут быть разделены на большое число классов и групп в зависи мости от уровня предполагаемой систематической обработки в случае неудавшегося нарушения целостности.
7 .1 .2 . Типы С Л Ц Л
СЛЦЛ классифицируются по следующим критериям:
1)по типу нарушения, от которого они могут защитить:
•неавторизованная модификация данных;
•неавторизованное удаление данных;
•неавторизованное генерирование данных;
•неавторизованная вставка данных;
•неавторизованная повторная передача данных;
332
2)по типу защиты, который они обеспечивают:
•предотвращение компрометации целостности;
•обнаружение компрометации целостности;
3)по наличию реализуемых способов восстановления или нет:
•в первом случае (с восстановлением) процедура сня тия защиты может обеспечивать восстановление ис ходных данных (и, возможно, сигнализировать о не обходимости проведения процедуры восстановления или об ошибке с целью проведения, например, ауди та) всякий раз, когда процедура проверки целостно сти выявила какое-либо изменение;
•во втором случае (без восстановления), процедура снятия защиты не может обеспечивать восстановле ние исходных данных всякий раз, когда процедура проверки целостности выявила какое-либо изме нение.
7 .1.3 . Типы С П Ц Л
Как правило, способность защищать данные зависит от используемой среды обработки данных. Почти любая среда, вследствие ее физической природы, весьма трудна для защи ты (например заменяемая (съемная) среда хранения или среда передачи данных), поэтому неавторизованные субъекты могут получить доступ и провоцировать модификацию данных по сво ему желанию. В такой среде основная цель СПЦЛ —обеспечить выявление модификации и, по возможности, реконструировать поврежденные данные. Все СПЦЛ могут быть классифицирова ны следующим образом:
1)способы, которые предотвращают доступ к среде:
•физически изолированные, «не шумящие», каналы;
•управление маршрутизацией;
•управление доступом;
333