Мельников Д. А. - Информационная безопасность открытых систем - 2013

мальную» работоспособность сети. Эта(и) дополнительная(ые) функция(ии) разбита(ы) на соответствующие под­ функции (со своими группами способов и средств безопас­ ности), а последние «распределены и встроены» в соответст­ вующие протоколы информационного обмена на каждом уровне управления.

На рис. 1.3представлены средства защиты информации в ИТС.

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

К о н тр о л ь ц е л о стн о сти

Рис. 1.3. Средства защиты информации

Под архитектурой безопасности будем понимать распреде­ ление дополнительной(ых) функции(ий) обеспечения безопас­ ности по уровням архитектуры управления ИТС с целью обе­ спечения защиты от угроз ИБ, причем средства каждого уровня обеспечивают защиту только от конкретного вида угроз, к ко­ торому наиболее уязвим данный уровень, или создание защиты на этом уровне позволяет избежать дублирования функций обе­ спечения безопасности от этого вида угроз на других уровнях (хотя дублирование таких функций на каждом уровне не исклю­ чается).

32

1.4. Архитектура безопасности ЭМВОС

Одним из первых международных стандартов, определяю­ щих архитектуру безопасности открытых систем, была Реко­ мендация ITU-T (МККТТ) Х.800. Этот стандарт дал общее опи­ сание функции обеспечения безопасности ИТС ЭМВОС. Эта функция реализуется системой обеспечения ИБ ИТС (СОИБ). Другими словами, СОИБ решает комплексную задачу обеспе­ чения И Б ИТС.

Рис. 1.4. Задача и состав системы обеспечения

безопасности ИТС

Функция обеспечения безопасности является дополнитель­ ной (не обязательной), а ее реализация зависит от «желания» пользователя и/или владельца ИТС, поэтому СОИБ обеспе­ чивает достижение поставленной перед ней цели путем предо­ ставления услуг по обеспечению безопасности. Подсистемы обеспечения безопасности в рамках СОИБ именуются служба­ ми, которые и решают частные задачи путем реализации под­ функций и предоставления услуг по обеспечению безопасности (рис. 1.4).

33

1.4.1. Терм ины и опред ел ени я

Рекомендация ITU-T Х.800 вводит следующие термины и определения:

•управление доступом (access control) — предотвращение неавторизованного использования ресурса, включая предотвра­ щение использования ресурса нерегламентированным способом;

•перечень управления доступом (access control list) — спи­ сок субъектов1 (включающий их права доступа), которые авто­ ризованы для предоставления им доступа к ресурсу;

•идентифицируемость (accountability) — свойство, кото­ рое гарантирует, что все действия субъекта могут быть зафикси­ рованы в целях последующего подтверждения их однозначной принадлежности субъекту;

•активная угроза (active threat) — угроза преднамеренно­ го неавторизованного изменения состояния системы;

•аутентификационная информация (authentication infor­ mation) — информация, используемая для подтверждения под­ линности объекта;

•аутентификационный обмен (authentication exchange) —

способ подтверждения подлинности объекта с помощью средств информационного обмена;

•авторизация (authorization) —удовлетворение прав, кото­ рое включает предоставление доступа на основе прав доступа;

•доступность (availability) — свойство, обеспечивающее открытый и технически приемлемый доступ по запросу автори­ зованного субъекта;

•мандат доступа (capability) — метка, используемая как идентификатор при доступе к ресурсу, причем обладание такой меткой дает право доступа к ресурсу;

•конфиденциальность (confidentiality) — свойство, обе­ спечивающее недоступность или нераскрываемость информа­ ции неавторизованными пользователями, субъектами или про­ цессами;

1В данном случае под термином «объект» понимается тот или иной сетевой ресурс, а «субъект» — тот, кто обращается к ресурсу (пользователь, процесс и т.п.).

34

•верительные данные (credentials) —данные, которые до­ ставляются субъекту для формирования предъявляемой им ау­ тентификационной информации;

•криптографическая проверочная сумма (cryptographic checkvalue) — информация, которая была получена путем осу­ ществления криптографического преобразования некоторой последовательности символов;

•целостность данных (data integrity) — свойство, обе­ спечивающее защиту данных от их изменения или разрушения каким-либо неавторизованным способом;

•аутентификация источника данных (data origin authenti­ cation) — подтверждение того, что источник полученных данных

вдействительности является тем, за кого себя выдает;

•отказ в обслуживании (denial o f service) — воспрепят­ ствование авторизованному доступу к ресурсу или прерывание процедур, которые являются критичными во времени;

•цифровая (электронная цифровая) подпись (digital signa­ ture) — присоединенные в исходной последовательности симво­ лов данные или криптографически преобразованная исходная последовательность символов, которые позволяют получателю этой исходной последовательности символов удостовериться относительно отправителя этой последовательности и ее це­ лостности, а также защитить их от подделки, например, тем же самым получателем;

•политика безопасности, основанная на проверке под­ линности (identity-based security policy) — политика безопас­ ности (ПЛБ), основанная на проверке подлинности пользова­ телей и/или атрибутов пользователей, групп пользователей или субъектов, действующих от имени и по поручению поль­ зователей и ресурсов/объектов, к которым осуществляется доступ;

•ключ, или криптоключ (key) — последовательность сим­ волов, которая принимает непосредственное участие в управле­ нии процедурами шифрования и расшифрования;

•обеспечение ключами (key management) — генерация, хра­ нение, распределение, удаление, архивация и применение клю­ чей в соответствие с политикой безопасности;

35

•обнаружение манипуляций (manipulation detection) —спо­ соб, который используется для выявления факта модификации данных (либо случайной, либо умышленной);

•«маскарад» (masquerade) —ситуация, при которой один субъект выдает себя за другого;

•нотариальное заверение (notarization) — регистрация данных доверенной третьей стороной (ДТС), которая в последу­ ющем позволяет гарантировать точность их параметров и харак­ теристик, например содержание, источник, время и доставку;

•пассивная угроза (passive threat) — угроза неавторизован­ ного вскрытия информации без изменения состояния системы;

•пароль (password) — конфиденциальная аутентификаци­ онная информация, которая, как правило, представляет собой последовательность символов;

•аутентификация взаимодействующего субъекта (реег-еп- tity authentication) —подтверждение того, что субъект на противо­ положенной стороне соединения является тем, с кем необходимо провести процедуру информационного обмена (ПИнО);

•физическая безопасность (physical security) — комплекс мероприятий, используемых для обеспечения физической за­ щиты ресурсов от последствий реализации умышленных и слу­ чайных угроз ИБ;

•секретность/неприкосновенность частной жизни (pri­ vacy) —право пользователей контролировать или влиять на то, какая информация, связанная с их жизнедеятельностью (напри­ мер персональные данные), может накапливаться и храниться, а также кем и кому она может быть раскрыта;

•отрицание (repudiation) — отказ одного из взаимодей­ ствующих субъектов при проведении ПИнО от участия в этой процедуре или в отдельных ее фазах;

•управление маршрутизацией (routing control) —примене­ ние правил при выполнении процедуры маршрутизации, таких как выбор или отказ от определенных сетей, каналов связи или ретрансляционных участков;

•политика безопасности, основанная на применении пра­ вил (rule-basedsecuritypolicy) —ПЛБ, основанная на использова­ нии единых правил, предназначенных для всех пользователей.

36

Эти правила обычно являются компромиссом между критично­ стью предназначенных для доступа ресурсов и обладателями со­ ответствующих атрибутов пользователей, групп пользователей или субъектов, действующих от имени пользователей;

•аудит безопасности (security audit) —независимая про­ верка и ревизия системных записей и основных направлений деятельности с целью оценки адекватности системных средств управления и обеспечения гарантий их соответствия приня­ той политике безопасности и применяемым функциональным процедурам, а также для выявления уязвимых мест в системе обеспечения ИБ и выработки рекомендаций по внесению изме­ нений в систему управления, политику безопасности и соответ­ ствующие процедуры;

•исходные данные для аудита безопасности (security audit trail) —накопленная и реально используемая для более успеш­ ного проведения аудита безопасности информация;

•метка безопасности (security label) — символ или набор символов (вставка символа или набора символов), непосред­ ственно («жестко») связанный с ресурсом (который может быть последовательностью символов), означающий или предполага­ ющий использование атрибутов безопасности этого ресурса;

•политика безопасности (security policy) — совокупность критериев или правил для оценки корректности функциониро­ вания служб безопасности;

•услуга по обеспечению безопасности (security service) —

услуга, предоставляемая одним из уровней архитектуры ЭМ­ ВОС (дополнительная подфункция), которая гарантирует адек­ ватную защиту систем или доставки данных;

•защита отдельных полей (selective field protection) —за­ щита определенных полей сообщения, подлежащего передаче;

•критичность (sensitivity) — свойство ресурса, которое означает его ценность или важность, а также может включать его уязвимость;

•угроза (threat) —потенциальное нарушение безопасности;

•конфиденциальность потока трафика (traffic flow confi­ dentiality) —услуга по обеспечению конфиденциальности, пред­ назначенная для нейтрализации угрозы анализа трафика;

37

•заполнение трафика (traffic padding) —генерация лож­ ных запросов на соединение, ложных сообщений и/или ложных последовательностей символов в сообщениях;

•надежное функционирование (trusted functionality) —

функциональный процесс (процедура), относительно которого существует предположение, что он протекает (выполняется) корректно в соответствие с некоторым(и) критерием(ями), на­ пример, в точном соответствие с политикой безопасности.

1.4.2.Услуги и способы обеспечения безопасности

Архитектура безопасности ЭМВОС включает следующие услуги по обеспечению безопасности.

1.Аутентификация (authentication). Эта услуга может быть двух видов:

1) аутентификация взаимодействующего субъекта (peerentity authentication). Эта услуга обеспечивается N-ым уровнем архитектуры ЭМВОС и тем самым подтверж­ дает субъекту (N+1)-ro уровня, что субъект на противо­ положенной стороне соединения является тем субъек­ том (N+1)-ro уровня, с которым необходимо провести ПИнО;

2) аутентификация источника данных (data origin au­ thentication). Эта услуга обеспечивается JV-ым уровнем архитектуры ЭМВОС и тем самым подтверждает субъ­ екту (N+1)-ro уровня, что источником поступивших данных является запрашиваемый субъект (N+1)-го уровня.

2.Управление доступом (УД). Эта услуга обеспечивает защи­ ту от несанкционированного использования ресурсов, которые доступны через ЭМВОС-сети/системы.

3.Конфиденциальность данных (data confidentiality). Эта услуга может быть четырех видов:

1)конфиденциальность виртуального соединения (connec­ tion confidentiality). Эта услуга обеспечивает конфиден-

38

циальность всех данных пользователя на N-ом уровне архитектуры ЭМВОС после установления соединения на этом уровне;

2)конфиденциальность информационного обмена без уста­ новления соединения (connectionless confidentiality). Эта услуга обеспечивает конфиденциальность для всех дан­ ных пользователя на N-ом уровне архитектуры ЭМВОС при отправке одиночной дейтаграммы (дейтаграммный режим доставки сообщений) на этом уровне;

3)конфиденциальность отдельных полей (selective field con­ fidentiality). Эта услуга обеспечивает конфиденциаль­ ность отдельных полей в последовательности символов, отправленной пользователем на iV-ом уровне архитекту­ ры ЭМВОС в режиме с установлением соединения или дейтаграммном режиме;

4)конфиденциальность потока трафика (traffic flow confi­ dentiality). Эта услуга обеспечивает защиту информации, которая может быть извлечена при ведении наблюдения потоков трафика.

4. Целостность данных (data integrity). Эта услуга может быть пяти видов:

1)целостность соединения с его последующим восстанов­ лением (connection integrity with recovery). Эта услуга обеспечивает целостность всех данных пользователя на N-ом уровне архитектуры ЭМВОС после установления соединения на этом уровне, а также выявление любой модификации, ложной вставки, ложного удаления или повтора любых данных в пределах всей последователь­ ности дейтаграмм (с попыткой восстановления всей по­ следовательности);

2)целостность соединения без его последующего восстанов­ ления (connection integrity without recovery). Эта услуга обеспечивает целостность всех данных пользователя на N-ом уровне архитектуры ЭМВОС после установления соединения на этом уровне, а также выявление любой мо­

39

дификации, ложной вставки, ложного удаления или по­ вторной передачи любых данных в пределах всей после­ довательности дейтаграмм (без попытки восстановления все последовательности);

3)целостность отдельных полей при организации вирту­ ального соединения (selective field connection integrity).

Эта услуга обеспечивает целостность отдельных полей сообщения пользователя на JV-ом уровне архитектуры ЭМВОС в рамках протокольного сообщения этого уров­ ня, передаваемого по виртуальному соединению, а также выбирает способ обнаружения «поврежденных» отдель­ ных полей вследствие их модификации, ложной вставки, ложного удаления или повторной передачи;

4)целостность информационного обмена без установле­ ния соединения (connectionless integrity). Если эта услуга предоставляется на N-ou уровне архитектуры ЭМВОС, то она обеспечивает гарантированную целостность при запросе субъекта {N+1)-го уровня. Кроме того, данная услуга обеспечивает целостность одиночной дейтаграм­ мы (дейтаграммный режим доставки сообщений), а так­ же может выбирать способ обнаружения модификации принятой дейтаграммы. Более того, она может выбрать способ (но не любой среди всех возможных) обнаруже­ ния повторной передачи дейтаграммы;

5)целостность отдельных полей при организации инфор­ мационного обмена без установления соединения (selec­ tive field connectionless integrity). Эта услуга обеспечивает целостность отдельных полей одиночной дейтаграммы (дейтаграммный режим доставки сообщений), а также может выбирать способ обнаружения модификации от­ дельных полей.

5. Неотказуемость (non-repudiation). Эта услуга может быть двух видов:

1)защита отложного отказа источника (non-repudiation with proof o f origin). Эта услуга защищает получателя

40

данных от любой попытки отправителя умышленно отказаться от передачи этих данных или их компо­ нентов;

2)защита от ложного отказа получателя (non-repudiation with proof delivery). Эта услуга защищает отправителя данных от любой попытки получателя умышленно отка­ заться от получения этих данных или их компонентов.

Архитектура безопасности ЭМВОС включает следующие способы обеспечения безопасности (СПБ).

1.Шифрование (encipherment). С помощью шифрования мож­ но обеспечить конфиденциальность данных или информации о потоке трафика. Кроме этого шифрование может использовать­ ся и в других СПБ.

2. Электронная цифровая подпись (ЭЦП). Применение ЭЦП предусматривает реализацию двух процедур;

1)собственно процедура формирования ЭЦП (подписыва­ ние электронного сообщения). В этой процедуре исполь­ зуется информация, которая секретна (т.е. уникальна или конфиденциальна) с точки зрения субъекта — авто­ ра подписи. Формирование ЭЦП предусматривает либо шифрование сообщения, либо вычисление криптографи­ ческой проверочной суммы сообщения; для этого секрет­ ная информация автора подписи используется в качестве секретного ключа;

2)процедура проверки подписанного электронного сообще­ ния. В этой процедуре используются дополнительные процедуры и информация, которые являются общеиз­ вестными, но из которых нельзя получить секретную ин­

формацию автора подписи.

Основным свойством ЭЦП является то, что подпись может быть сформирована только на основе использования секретной информации автора ЭЦП. Таким образом, после проверки ЭЦП она в последующем (причем в любой момент времени) может быть удостоверена доверенной третьей стороной (ДТС, напри­

41