Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdf8 .8 . Р е ги с т р а ц и я в р е м е н и в о з н и к н о в е н и я с о б ы т и й , п о д л е ж а щ и х а у д и т о р с к о м у к о н т р о л ю
На практике надежная и точная синхронизация между раз личными генераторами событий или регистраторами событий просто невозможна или весьма затратна. В таком случае необхо димо средство фиксации времени получения результатов АДБ. Запись результата АДБ формируется на основе полученного со общения АДБ, которое может содержать метку времени или нет. Если сообщение АДБ содержит метку времени, то формируется
специализированная запись АДБ с указанием времени (ЗВАД), изъятого из этого сообщения. В последнем случае специализи рованная запись АДБ, сформированная после получения сооб щения о событии безопасности, подлежащего аудиторскому кон тролю, содержит метку времени, которая была сформирована с использованием генератора эталонного времени, встроенного в средство регистрации данных (результатов) АДБ. В обоих слу чаях должна быть сформирована ЗВАД, отражающая разницу во времени между генератором событий и средством регистра ции данных (результатов) АДБ.
В предыдущем случае должна быть проведена оценка рас хождения во времени между генераторами эталонного времени генератора событий и средства регистрации данных (результа тов) АДБ. ЗВАД должна включать идентификатор генератора событий, эталонное время генератора событий и средства ре гистрации данных (результатов) АДБ, задержку между значе ниями эталонного времени и допустимое значение девиации задержки. В последнем случае ЗВАД должна содержать иден тификатор генератора событий, эталонное время генератора событий и средства регистрации данных (результатов) АДБ, оценку задержки между генератором событий и средством ре гистрации данных (результатов) АДБ и допустимый диапазон значений задержки.
Но с практической точки зрения, чрезвычайно обремени тельно иметь записи, формирующиеся для каждого события. Такие записи, в принципе, могут быть сформированы в зави-
384
симости от «физической природы» транспортного соедине ния или расхождения (дрейфа) времени между эталонными источниками времени. Если после определенного периода на блюдения окажется, что задержка ничтожно мала, то такими записями можно пренебречь. Если измерения задержки от сутствуют, то можно использовать метод линейной интерпо ляции.
Аналогичный тип проблем имеет место между источниками эталонного времени, размещенными в средствах регистрации и диспетчеризации результатов АДБ, когда средство диспет черизации расположено в другой оконечной системе. Однако в этом случае обе системы будут иметь источники эталонного времени.
Измерения разницы во времени могут быть проведены в лю бой момент времени между двумя взаимодействующими сторо нами или в момент доставки результатов АДБ. ЗВАД должна включать идентификатор генератора событий, идентификатор средства диспетчеризации результатов АДБ, значение эталон ного времени средства регистрации результатов АДБ, оценку задержки между средствами регистрации и диспетчеризации результатов АДБ, а также допустимый диапазон значений за держки.
Определение, какое из двух событий произошло первым, может быть произведено путем добавления или вычитания значений задержек между серией значений эталонного вре мени и прибавлением всех диапазонов значений задержки. Если результирующая задержка будет меньше, чем допусти мый диапазон значений задержки, то различием можно пре небречь.
Аналогичный аргумент применяется также тогда, когда необ ходимо сформировать электронный отчет по результатам АДБ. Использование информации, содержащейся в результатах АДБ, позволяет классифицировать события по различным значени ям эталонного времени. Однако такой порядок событий может быть гарантирован только тогда, когда допустимый диапазон значений задержки короче, чем разница во времени плюс допу-
385
стимый диапазон значений задержки каждого события. С этой целью должна быть обеспечена возможность вычисления сово купного допустимого диапазона значений задержки каждого со бытия.
Общая структура единой службы аудита безопасности и опо вещения об опасности представлена в табл. 8.1.
Таблица 8.1
Структура единой службы аудита безопасности и опо вещения об опас ности
МОбъект/субъ
Еект
Р
ОФункция
П
Р
Мероприятия,
И
связанные с
Я
обеспечением
т
СЛАО
и
я
Эле |
Объект/субъект: А у п и т о п с к и й пентп. Алми- |
мент |
нистратор службы оповещения об опасности, |
|
Аудитор безопасности |
Фу н к ц и и : оппеделение / классификация^
события, регистрация данных (результатов) АДБ, обработка СОП, анализ результатов АДБ, формирование отчета по результатам АДБ, предоставление записей БДРА, архи вирование записей БДРА, отбор результатов АДБ, диспетчеризация результатов АДБ
Информационные объекты: Сообщения АДБ, Записи результатов АДБ, Электронные от четы по результатам АДБ
Цель службы: Гаоантиоовать. что инсЬоомапия. связанная безопасностью открытых информационных систем, регистрируется и при необходимости на ее основе формируются электронные отчеты
Аудиторский центр
Распознавание и анализ событий безопасности
Определение критерия 1: для классификации собы тий безопасности Определение критерия 2: для формирования отчета по результатам АДБ
Определение критерия 3: для анализа результатов АДБ
386
Таблица 8.1 (продолжение)
Объект/субъ |
Администратор |
Аудитор |
Инициатор/це- |
ект |
службы опове |
безопасности |
левой объект |
|
щения об опас |
|
Субъект/объект |
|
ности |
|
|
Функция |
— Определение |
— Выбор со |
|
|
(классифика |
бытия |
|
|
ция) события |
— Классифика |
|
|
— Обработка |
ция выбранного |
|
|
СОП |
события |
|
|
— Анализ ре |
— Анализ ре |
|
|
зультатов АДБ |
зультатов АДБ |
|
|
|
— Регистрация |
|
|
|
результатов |
|
|
|
АДБ |
|
|
|
— Формиро |
|
|
|
вание отчета |
|
|
|
по результатам |
|
|
|
АДБ |
|
|
|
— Предостав |
|
|
|
ление записей |
|
|
|
БДРА |
|
|
|
— Архивиро |
|
|
|
вание записей |
|
|
|
БДРА |
|
Мероприятия, |
— Формирова |
— Формирова |
|
функционально |
ние информа |
ние информа |
|
связанные с |
ции |
ции |
|
СЛАО |
— Отбор инфор |
— Отбор ин |
|
|
мации |
формации |
|
|
(информация, |
— Анализ ин |
|
|
содержащаяся в |
формации |
|
|
СОП) |
(информация, |
|
|
|
содержащаяся |
|
|
|
в сообщении |
|
|
|
АДБ) |
|
387
Таблица 8.1 (окончание)
Входные/выходные эле менты данных, определяемые Аудиторским
центром
и
н
ф
0
р
м
А
Ц
И
яИнформация,
используемая
впроцедурах
СЛАО
Критерий 1 |
Крит ерий 2 |
Критерий 3 |
— Тип события |
—Тип записи |
—Тип события |
—Время |
—Тип события |
—Число проис |
—Объект/субъ |
|
шествий |
ект |
|
—Период вре |
|
|
мени |
—Действие |
— Списки за |
— Действие |
(процедура), |
писей |
(процедура), |
которое должно |
|
которое должно |
быть выполнено |
|
быть выполнено |
—ВИ, которая должна быть сформирована
—Тип сообщения/информации
—УИД элементов
—Причина формирования сообщения
—УИД средств определения (классификации) события, предоставления записей БДРА и/или регистрации данных (результатов) АДБ
Контрольная — Время информация — Происшествия
Глава 9 __________________________________
Т Е О Р Е Т И Ч Е С К И Е О С Н О В Ы О Б Е С П Е Ч Е Н И Я К Л Ю Ч А М И
Современные ИТС все больше и больше нуждаются в ис пользовании криптографических методов для защиты данных от их вскрытия или модификации при проведении процедур аутентификации или обеспечении неотказуемости. Уровень за щищенности и надежности, обеспечиваемый такими методами, напрямую зависит от обеспечения и защиты используемого па раметра безопасности, ключа. Безопасное обеспечение такими ключами является критической процедурой, особенно в сочета нии с реализуемыми в системе криптографическими функция ми, так как даже самая наиболее тщательно продуманная кон цепция обеспечения безопасности станет неэффективной, если обеспечение ключами будет ненадежным. Целью обеспечения ключами является проведение специализированных процедур обработки криптографической ключевой информации при ее использовании в симметричных или асимметричных крипто графических методах.
В данной главе представлена общая модель обеспечения ключами, которая не зависит от применения какого-либо крип тоалгоритма. Однако определенные способы распределения ключей могут зависеть от свойств соответствующего алгоритма, например свойств асимметричных криптоалгоритмов.
Особое внимание обращено на реализационные аспекты автоматизированных и обычных («ручных») систем обеспече ния ключами, включая структуры элементов данных и последо вательностей процедур, которые используются при предостав лении услуг по обеспечению ключами.
Как и в других СЛБ, обеспечение ключами может осущест вляться только в рамках контекста принятой ПЛБ.
Главной проблемой является формирование ключевой ин формации, происхождение, целостность, своевременность и
389
конфиденциальность (в случае секретных ключей) которой мо жет быть гарантирована как прямым, так и косвенным пользо вателям. Обеспечение ключами, в соответствии с ПЛБ, включает функции генерации (формирования), хранения, распределения, удаления и архивирования ключевой информации.
В настоящей главе представлены:
a)формирование общей модели, на основе которой строят ся способы обеспечения ключами;
b)описание основных концепций обеспечения ключами;
c)описание характеристик служб по обеспечению ключами (СЛКЛ);
d)формирование единых принципов обеспечения ключе вой информацией в течение ее жизненного цикла;
e)формирование концептуальной модели распределения ключей.
9.1. Общая модель обеспечения ключами
9 .1 .1 . О б щ и е п о л о ж ен и я
Целевое назначение обеспечения ключами — безопасное администрирование и предоставление услуг по обеспече нию ключами. По этой причине чрезвычайно важна защита ключей.
Процедуры обеспечения ключами зависят от основных криптографических методов, предполагающих использование ключа, и от реализуемой ПЛБ. Обеспечение ключами также включает те функции, которые реализованы в криптографиче ских устройствах.
9 .1 .2 . З аш и та клю чей
9.1.2.1. Общие аспекты обеспечения ключами
Ключи являются наиболее важной и критической частью системы безопасности, которая зависит от криптографических методов защиты. Необходимая защита ключей зависит от не-
390
скольких факторов, таких как тип прикладной системы (при кладного процесса), использующей ключи, явные угрозы, ко торые необходимо парировать, различные состояния, в которых могут находиться ключи, и др. В первую очередь, в зависимости от криптографического метода они должны быть защищены от вскрытия, модификации, разрушения и повторного использова ния. Для парирования угроз может понадобиться использование нескольких методов и способов защиты. Период действия ключа должен быть ограничен во времени и числом его применений. Такие ограничения обусловлены временем и совокупностью данных, которые необходимы для проведения атак типа «вос становление ключа», и важным семантическим содержанием за щищаемой информации на протяжении длительного времени. Ключи, которые используются для формирования ключей, нуж даются в еще большей защите по сравнению с формируемыми ключами. Другим важным аспектом защиты ключей является предотвращение их неправильного использования, например, использование ключа, предназначенного для зашифрования ключа, для зашифрования данных.
9.1.2.2. Защита с помощью криптографических методов
Некоторые угрозы для ключевой информации могут быть парированы путем использования криптографических методов. Например: шифрование предотвращает вскрытие ключа и его несанкционированное использование; способы защиты целост ности предотвращают модификацию; способы аутентификации объекта, ЭЦП и способы аутентификации источника данных па рируют атаки типа «маскарад».
Разделение криптографических методов и способов предот вращает неправильное использование ключей. Такое разделение функционального применения может сопровождаться привяз кой информации к ключу. Например: привязка управляющей информации к ключу гарантирует, что специфические ключи используются в специфических задачах (например шифрование ключа, целостность данных); управление ключами необходимо при обеспечении неотказуемости на основе использования сим метричных криптографических методов.
391
9.1.2.3. Защита с помощью некриптографических методов
При ограничении времени действия ключей путем обозна чения начала и конца периода их правомерного применения могут использоваться метки времени. Кроме того, применение меток времени совместно с последовательными номерами может парировать атаки типа «воспроизведение зарегистрированной информации о согласованном ключе».
9.1.2.4. Защита с помощью физических средств
Криптографическое устройство, размещенное внутри за щищаемой системы, как правило, будет необходимо для защи ты ключевой информации от угроз модификации, удаления и вскрытия (за исключением открытых ключей). Обычно устрой ство формирует защищенную зону для хранения ключей, ис пользования ключей и реализации (встраивания) криптогра фических алгоритмов. Такое устройство может предоставлять средства:
•для загрузки ключевой информации из отдельного защи щенного устройства хранения ключей;
•для взаимодействия с криптоалгоритмами, реализуемы ми отдельными защищенными средствами (например смарт-карты);
•для автономного хранения ключевой информации (на пример карты памяти).
Как правило, зоны безопасности защищаются с помощью физических способов обеспечения безопасности. Физические способы обеспечения безопасности могут включать пассивные способы, предотвращающие прямой доступ к зоне безопасности, а также активные способы обнаружения вмешательства, кото рые направлены на разрушение ключевой информации в случае возможного проникновения в зону безопасности. Используемые физические способы обеспечения безопасности зависят от стра тегической значимости защищаемых ключей на протяжении длительного периода времени.
392
9.1.2.5. Защита с помощью организационных средств
Такие средства защиты ключей организованы в соответствии с иерархией ключей. За исключением самого нижнего уровня ие рархии, ключи одного уровня используются исключительно для защиты ключей на следующем нижнем уровне иерархии. Только ключи самого нижнего уровня напрямую используются для обе спечения служб обеспечения безопасности данных. Такой иерархи ческий подход позволяет использовать каждый ключ ограниченно, уменьшая таким образом возможность вскрытия и затрудняя про ведение атак. Например, результат компрометации одного сеансо вого ключа ограничивается только компрометацией информации, защищенной с помощью этого ключа.
Предоставление пользователям возможности доступа к клю чам может вызвать соответствующие проблемы, связанные со способностью предотвратить вскрытие и доказать (при обеспе чении неотказуемости), что ключ не мог использоваться непра вильно. Ключи должны быть доступны в открытом виде только тогда, когда устройства обеспечения безопасности размещены внутри системы. Если ключи должны экспортироваться, то не обходимо предпринимать специальные меры, такие как деление ключа на компоненты и запрет доступа одного человека ко всем компонентам.
Кроме того, использование ключа должно находиться под контролем с целью предотвращения его использования не по назначению, что может привести к вскрытию самого ключа или данных, защищенных с помощью этого ключа.
9 .1 .3 . О бщ ая модель ж и з н е н н о го ц и кл а клю ча
9.1.3.1. Описание жизненного цикла ключа
Криптографический ключ проходит последовательность со стояний, которые определяют его жизненный цикл (ЖЦ). Су ществуют три следующих основных состояния:
•ожидание активного состояния (pending active): В период ожидания активного состояния ключ был сформирован, но не был активирован к использованию по назначению;
393