Мельников Д. А. - Информационная безопасность открытых систем - 2013

ствие необходимо выполнить при получении сообщения АДБ. Фильтр функционирует в соответствии с критерием (установ­ ленным аудиторским центром), который определяет вид обра­ ботки для каждого типа сообщения. Применяемый критерий может включать:

•время суток/дня;

•пороговый счетчик;

•тип события;

•объект/субъект, повлекший возникновение события.

Сточки зрения процедуры обеспечения, фильтр может быть описан как объект обеспечения с определенным алгоритмом функционирования и соответствующими параметрами.

Вспомогательные (обеспечивающие) средства СЛАО (рис. 8.3) решают задачу формирования критерия отбора, ко­ торый дает пользователю возможность обрабатывать информа­ цию, необходимую для функционирования СЛАО. В широком смысле, такими средствами являются:

a) средства формирования, модификации и удаления кри­ терия при обработке событий безопасности;

B) средства блокирования и разблокирования функции формирования определенных сообщений АДБ;

c)средства блокирования и разблокирования функции формирования результатов АДБ;

d)средства блокирования и разблокирования функций формирования и обработки СОП.

Функциональными средствами СЛАО являются (см. рис. 8.3):

a)средство формирования ВИ для СЛАО (например для формирования СОП, сообщения АДБ, электронного от­

чета по результатам АДБ);

B) средство записи ВИ для СЛАО;

c) средство отбора/объединения ВИ для СЛАО; .

d)средство анализа ВИ для СЛАО;

e)средство архивирования ВИ для СЛАО.

374

Рис. 8.3. Средства, используемые в процедурах аудита безопасности и оповещения об опасности

8.3.2.1. Определение и анализ событий безопасности — критерии для функций СЛАО

СОП и сообщение АДБ определяют тип события, причину события, время обнаружения события, параметр подлинности средства обнаружения события и параметры подлинности объ­ ектов/субъектов, тем или иным образом связанных с этим собы­ тием (т.е. объект и субъект действия, повлекшего возникновение события безопасности).

Формирование критериев необходимо для выбора того или иного действия (процедуры) при обработке различных типов информации. Для определения и анализа событий безопасности используются следующие критерии:1

1)критерии для классификации событий безопасности. По этим критериям будут определяться действия (процеду-

375

ры), которые следует осуществить после обнаружения события безопасности.

Входные данные могут быть следующие:

•тип события безопасности;

•время суток;

•объект/субъект, повлекший возникновение события. Выходные данные могут быть следующие:

•выбранное действие (процедура);

•СОП, который должен быть сформирован и пе­ редан;

•сообщение АДБ, которое должно быть сформировано и передано;

2)критерии для формирования отчета по результатам АДБ. Эти критерии являются основой отбора информа­ ции, содержащейся в одном или нескольких результатах АДБ, в целях составления электронных отчетов по ре­ зультатам АДБ.

Входные данные могут быть следующие:

•тип записи результата АДБ;

•тип события безопасности;

•времд проверки события;

•объект/субъект, информация о котором затребо­

вана.

Выходные данные могут быть следующие:

•перечень отобранных записей результатов АДБ;

3)критерии для анализа результатов АДБ. По этим крите­ риям определяется способ (алгоритм) обработки резуль­ татов АДБ средством анализа результатов АДБ. Перед тем как будет определено последующее действие (про­ цедура), результаты АДБ будут анализироваться путем исследования самого происшествия и частоты возникно­ вения таких происшествий (и им подобных).

Входные данные могут быть следующие:

•тип события;

•число происшествий (событий);

•период времени.

376

Выходные данные могут быть следующие:

•действие, которое должно быть выполнено.

ПРИМ ЕЧАНИЕ. Для регистрации и архивирования результа­

тов АДБ критерии не нужны.

8 .4 . С п о с о б ы п р о в е д е н и я А Д Б и п р и м е н е н и я С О П

Основное отличие СЛАО от других ранее рассмотренных СЛБ состоит в том, что в последних не используются специа­ лизированные СПБ, которые могли бы применяться в СЛАО (СПАО). СПАО могут описываться процедурной характери­ стикой, основу которой составляет определенное число управ­ ляющих и функциональных запросов. По этой причине СПАО детально не рассматриваются. Однако в качестве примера неко­ торого типа запросов, используемых в СПАО, можно привести способы анализа событий безопасности:

•сравнение деятельности объекта/субъекта с известным описанием его деятельности, например, неприемлемый доступ, основанный на недопустимом использовании ре­ сурсов с точки зрения времени или географии и др.;

•обнаружение нескольких событий одного или несколь­ ких типов за определенный интервал времени;

•наблюдение за отсутствием событий одного или несколь­ ких типов за определенный интервал времени.

Перечень приведенных выше примеров является неполным.

8 .5 . В з а и м о с в я з и с д р у ги м и С Л Б и С П Б 8 .5 .1 . А утен ти ф и кац и я о б ъ е кта /с у б ъ е кта

Доставка результатов АДБ между средством диспетчериза­ ции и средством отбора результатов АДБ требует обоюдной ау­ тентификации, чтобы средство диспетчеризации передавало бы результаты АДБ предназначенному для приема средству отбора

377

результатов АДБ, а средство отбора результатов АДБ получало бы результаты АДБ от предназначенного для их передачи сред­ ства диспетчеризации.

8 .5 .2 . А утен ти ф и кац и я и сто ч н и ка данны х

Аутентификация источника данных используется для того, чтобы мог быть установлен источник сообщений АДБ и СОП. Кроме того, аутентификация источника данных используется средством анализа результатов АДБ для обеспечения гарантий того, что все сообщения от неизвестных средств формирования сообщений о событиях безопасности или анализа результатов АДБ будут удалены.

8 .5 .3 . У п р ав л ен и е доступом

Службы УД должны использоваться при хранении и достав­ ке записей результатов АДБ. Кроме того, СЛУД могла бы ис­ пользоваться для предотвращения неавторизованного (несанк­ ционированного) доступа к результатам АДБ.

8 .5 .4 . О б есп еч ен и е конф и денц иал ьно сти

СЛКН может использоваться при доставке результатов АДБ, записей результатов АДБ, сообщений АДБ и СОП. Кроме того, СЛКН может использоваться для защиты конфиденциальности хранящихся записей результатов АДБ.

8 .5 .5 . О б есп еч ен и е целостности

При функционировании СЛАД и СЛОО первостепенное значение имеет обнаружение любой неавторизованной (несанк­ ционированной) модификации результатов АДБ, совокупно­ стей записей результатов АДБ, сообщений АДБ и СОП. В этих целях может использоваться СЛЦЛ.

378

8 .5 .6 . О б е с п е ч ен и е неотказуем ости

Так как доставка результатов АДБ, как правило, будет осу­ ществляться в пределах одного и того же ССБ, СЛНТ обычно не используется.

8 .6 . О б щ и е п р и н ц и п ы А Д Б и С О П в Э М В О С и И н т е р н е т -а р х и т е к т у р е

Следующие типы событий безопасности должны всегда на­ ходиться под непрерывным аудиторским контролем:

•процедуры, связанные с предоставлением ВИ;

•процедуры, которые могут изменить совокупность собы­ тий, находящихся под аудиторским контролем;

•процедуры, которые могут изменить идентификацию со­ бытий, находящихся под аудиторским контролем.

Далее рассматриваются события (процедуры, процессы) при взаимодействии открытых систем, которые могут стать ре­ альной причиной возникновения события безопасности. При необходимости под аудиторским контролем могут находиться штатные и нештатные события, например, процедура «запрос соединения» может стать объектом записи результатов АДБ вне зависимости от того, был ли или нет запрос корректным или удовлетворен.

Следующие события, среди прочих, могут быть объектами аудиторского контроля. Этот перечень неполный и носит только демонстративный характер.

События безопасности, связанные с установлением соеди­ нения:

•запросы на установление соединения;

•согласие на установление соединения;

•запросы на разъединение;

•согласие на разъединение;

•обмен служебной информацией, включая статистические данные, в течение соединения.

379

События безопасности, связанные с использованием СЛБ:

•запросы на использование СЛБ;

•использование СПБ;

. СОП.

События безопасности, связанные с обеспечением службы:

•обеспечивающие процедуры;

•процедуры оповещения, связанные с обеспечением служ­ бы.

Также целесообразно включить в перечень событий, подле­ жащих аудиторскому контролю, по крайней мере, следующие события:

•запрет доступа;

•аутентификация;

•изменение атрибута;

•формирование, удаление и модификация объекта;

•использование привилегий.

Сточки зрения предоставления персональных услуг по обе­ спечению безопасности, следующие события безопасности яв­ ляются чрезвычайно важными:

•аутентификация: положительный результат проверки;

•аутентификация: отрицательный результат проверки;

•УД: положительное решение о предоставлении доступа;

•УД: отрицательное решение о предоставлении доступа;

•обеспечение неотказуемости: неотказуемостъ источника сообщения;

•обеспечение неотказуемости: неотказуемость получателя сообщения;

•обеспечение неотказуемости: отказ в отрицании спорного события;

•обеспечение неотказуемости: подтверждение отрицания спорного события;

•обеспечение целостности: формирование защиты;

•обеспечение целостности: снятие защиты;

380

•обеспечение целостности: положительное подтвержде­ ние целостности;

•обеспечение целостности: отрицательное подтверждение целостности;

•обеспечение конфиденциальности: использование про­ цедуры закрытия;

•обеспечение конфиденциальности: использование про­ цедуры раскрытия;

•АДБ: выбор события в период проведения АДБ;

•АДБ: отказ от выбранного события в период проведения АДБ;

•АДБ: изменение критериев выбора события, в отношении которого аудиторский контроль обязателен.

ПРИМ ЕЧАНИЕ. Если УД используется качестве основы СПЦЛ и СПКН, то записи результатов АДБ, связанные с «реше­ нием отказать в доступе», могут быть преобразованы в прямое под­ тверждение попыток нарушения конфиденциальности или целост­ ности.

Все результаты АДБ, непосредственно связанные с соот­ ветствующим используемым соединением, должны быть одно­ значно идентифицированы в целях обеспечения гарантий того, чтобы эти записи могли быть найдены и при необходимости ско­ пированы.

Для создания соответствующих СЛАО рекомендуется ис­ пользовать международные стандарты ITU-T Rec. Х.734 | ISO / IEC 10164-5, ITU-T Rec. X.735 | ISO/IEC 10164-6, ITU-T Rec. X.736 | ISO/IEC 10164-7 и ITU-T Rec. X.740 | ISO/IEC 10164-8.

8 .7 . Р е а л и з а ц и я м о д е л и А Д Б и С О П

Функции модели АДБ и СОП представлены на рис. 8.1. Вся процедура может быть распределена между несколькими от­ дельными открытыми системами, каждая из которых отвечает

381

за один или несколько аспектов выполнения этой процедуры. Пример такого распределения представлен на рис. 8.4.

Примером события безопасности могла быть попытка реги­ страции доступа в систему с использованием неверного пароля, т.е. отсутствующего в системе учета. Анализ результата АДБ мо­ жет позволить установить, что это была одна из последователь­ ности попыток зарегистрироваться в системе с ложным паролем, а СОП может быть сформирован и послан, когда число таких на­ рушений (попыток) достигло своего предельного допустимого значения.

Система S1 (система распознавания) способна (см. рис. 8.4) обнаруживать события безопасности и проводить их анализ в соответствии с выбранными критериями (1-я группа критериев, § 8.3.2.1), но не способна зафиксировать результаты АДБ, поэ­ тому ее СОП передается в систему S2 (система оповещения об опасности), а ее сообщения АДБ передаются в систему S3 (си­ стема регистрации и обеспечения результатов аудита безопас­ ности) для их включения в БДРА.

Система S3 отвечает за пополнение результатов АДБ (БДРА). Кроме этого, S3 обеспечивает систему S6 (система экспертизы результатов аудита безопасности), т.е. предо­ ставляет последней доступ к БДРА и архиву результатов АДБ. При этом S6 может отбирать записи результатов АДБ в соответствии с установленными критериями (2-я группа критериев, § 8.3.2.1) и включать их в электронные отчеты по результатам АДБ.

Система S4 (система архивирования результатов аудита безопасности и анализа) отвечает за архивирование и извлече­ ние записей результатов АДБ.

Система S5 (система анализа) включает прикладной (про­ граммный или программно-аппаратный) модуль. Этот модуль осуществляет анализ записей результатов АДБ (и архивных записей результатов АДБ) в соответствии с установленными критериями (3-я группа критериев, § 8.3.2.1) и передает СОП в систему S2, когда пороговые значения превышены или обнару­ жены иные причины подачи СОП.

382

Рис. 8.4. Пример реализации модели АДБ и СОП (СЛАД и СЛОО)

383