Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

должны иметь доступ к этим данным. Этот принцип миними­ зирует зависимость от промежуточных сетевых компонентов, а поэтому уменьшает количество зон возможной компромета­ ции данных пользователя. Это позволяет защитить данные, передаваемые между оконечными системами, таким(и) способом(ами), который(е) независим(ы) от сетевых технологий, ис­ пользуемых в промежуточных подсетях, и на который(е) не могут повлиять промежуточные системы (например, маршру­ тизаторы);

вразработка секретных (защищенных) операционных систем, действующих как системы проверки полномочий (reference monitors). Такие системы должны, с одной стороны, обеспечи­ вать все обращения субъектов к ресурсам, которые они защи­ щают, а с другой, - защищать последние от несанкциониро­ ванного доступа субъектов;

вприоритетность конфиденциальности. Цель информационной безопасности - обеспечение конфиденциальности информа­ ции, что предусматривает значительное снижение роли других способов (например, обеспечение целостности данных);

©гарантированность обеспечения безопасности, а не возмож­ ность обеспечения безопасности. Этот принцип распространя­

ется на средства обеспечения информационной безопасности. Аппаратные средства (hardware) представляют собой специ­ альное (тщательно разработанное) оборудование, обеспечивающее высокий уровень (гарантированной) безопасности. Применение программного обеспечения в таких устройствах сведено к миниму­ му, кроме тех случаев, когда его необходимо адаптировать к прото­

колам и интерфейсам, используемым в ИТС.

С точки зрения использования коммерческого (массового) компьютерного оборудования, информационная безопасность США основывалась, как правило, на тщательной разработке, анали­ зе и использовании программных средств (software) обеспечения безопасности.

Вместе с тем, DOD до сих пор полагает, что безопасность, пре­ доставляемая программными средствами, намного ниже той, кото­ рую обеспечивают аппаратные средства безопасности. Более того, подход DOD к сетевой безопасности основывается на необходимо­ сти использования «промежуточного звена» (средств гарантирован­ ной безопасности, например, систем проверки полномочий) между защищаемым компьютером и сетью передачи данных, к которой он подключен. В противном случае, необходимо наличие высокой сте­ пени доверия к компьютерной системе (в частности к операцион­ ной системе). А последнее в ближайшем будущем не достижимо.

ва более удобны для подключения ЛВС к глобальным ИТС (напри­ мер, Internet). Поэтому средства безопасности канального уровня, как правило, являются дополнительными по отношению к устрой­ ствам безопасности IP-уровня. Вместе с тем, они предпочтительнее при работе в сложных интегральных сетях, реализующих различ­ ные режимы и протоколы передачи данных.

Важным преимуществом средств безопасности канального уровня является возможность создания многоуровневых секретных ЛВС, которые затем могут быть подключены к многоуровневым глобальным сетям, созданным с использованием средств безопасно­ сти IP-уровня. Например, рис. 21.4 иллюстрирует два способа обес­ печения такого соединения. ЛВС «А» и «В» обе являются много­ уровневыми, в каждой из них находятся компьютеры с уровнем конфиденциальности «Secret» и «Top secret». ЛВС «А» полагается на надежное программное обеспечение в рабочих станциях при раз­ граничении доступа к конфиденциальным данных. ЛВС «В» ис­ пользует внешние криптографические устройства для разделения трафика в ней. ЛВС «А» использует один надежный маршрутизатор

1 Media access control - управление доступом у среде передачи данных. Этот термин относится к канальному уровню ЛВС.

(шлюз «С») для подключения к средству безопасности глобальной сети, которое способно обеспечить разграничение доступа с помо­ щью грифов безопасности в сообщениях и криптографических ме­ тодов. ЛВС «В» использует два «ненадежных» маршрутизатора (шлюзы «А» и «В» - по одному на каждый уровень безопасности), и два средства безопасности глобальной сети, каждое из которых ог­ раничено только одним уровнем безопасности для обеспечения аналогичных соединений в глобальной сети.

В принципе, оба этих подхода допустимы и для обеспечения ИБ в корпоративных ЛВС.

Обеспечение конфиденциальности на физическом уровне.

Средства безопасности физического уровня (часто называемые ка­ нальными (линейными) шифраторами) используются в ИТС прак­ тически таким же образом, каким они использовались еще до появ­ ления сетей с коммутацией пакетов, являясь примером успешного применения известных криптографических методов в новой сете­ вой среде.

Эти средства обеспечивают конфиденциальность, и в основ­ ном - конфиденциальность потока данных в линиях (каналах) связи (сквозные соединения) между оконечными устройствами (point-to- point). Рис. 21.5 иллюстрирует несколько «точек», где могут исполь­ зоваться устройства шифрования на физическом уровне в сетевой среде. Шифраторы могут использоваться на выделенных, коммути­ руемых и магистральных линиях (каналах) связи. Данные специ­ альные устройства могут отличаться между собой конструктивно из-за различий в пропускной способности каналов, а используемые в них базовые криптографические методы одни и те же.

Глобальная сеть, защищенная устройствами шифрования на физическом уровне, будет уязвима в каждом из коммутаторов, в ко­ торых пакеты обрабатываются в незашифрованном виде. Это, есте­ ственно, нарушает принцип наименьших привилегий. Сеть, ис­ пользующая только шифрование на физическом уровне, должна быть «уверена» в том, что коммутаторы работают корректно (иначе пакет, направленный по неправильному маршруту может нару­ шить безопасность).

Очевидно, что если сеть имеет несколько уровней безопасности (например, «Secret» и «Top secret») и полагается только на шифрование каналов (даже, если коммутаторы используют достаточно надежные способы и алгоритмы коммутации), то существует возможность воз­ никновения ситуации, когда наименее защищенный коммутатор (с точки зрения физической, процедурной безопасности и наличия «человеческого фактора») сможет скомпрометировать всю сеть.

rS

Рис. 21.5. Средства безопасности физического уровня

Гибридные системы. В реальных системах архитектура безо­ пасности DOD основывается на способах и средствах безопасности всех трех уровней. На рис. 21.6 представлен пример такой системы, в которой устройства безопасности физического, MAC- и IPуровней используются вместе для обеспечения защиты информа­ ции, а именно:

•устройства физического уровня используются для защиты коммутируемых локальных линий связи (для защиты (обеспе­ чения конфиденциальности) абонентского трафика), линий связи для удаленного доступа к глобальным сетям (для защиты (обеспечения конфиденциальности) потока данных и або­ нентского трафика) и магистральных линий связи между ком­ мутаторами глобальных сетей (для защиты (обеспечения кон­ фиденциальности) потока данных);

•в ЛВС «А» устройства МАС-уровня обеспечивают конфиден­ циальность, управление доступом, целостность и аутентифи­ кацию (или поддержку этих услуг на более высоких уровнях);

ов ЛВС «В», и в маршрутизаторах (шлюзы «А» и «В»), присое­ диненных к глобальной сети, устройства IP-уровня обеспечи­ вают конфиденциальность IP-пакетов (но не конфиденциаль­ ность потока данных), управление доступом и целостность для IP-пакетов, а также аутентификацию источника данных.

Рис. 21.6. Комплексное применение средств безопасности трех уровней

Internet-архитектуры (гибридная система)

Недостатки модели DOD. Очевидно, что в модели архитекту­ ры безопасности DOD вообще нет упоминаний об информацион­ ной безопасности прикладного уровня. Это - не случайность, это, скорее всего, - естественное следствие взглядов DOD того времени,

уровня будут находить свое применение, но только тогда, когда средства безопасности нижних уровней не обеспечивают необходи­ мый уровень безопасности, а системные и прикладные процессы обеспечивают достаточные гарантии для разработки и реализации секретных информационных технологий, удовлетворяющих высо­ ким требованиям DOD.

21.3. Принципы архитектуры безопасности Internet (IETF)

Internet-сеть как открытая система основывается на принципах архитектуры безопасности ISO, частично - на некоторых принци­ пах DOD. Кроме того, IETF определила следующие дополнительные принципы:

вспособы и средства безопасности должны быть настраиваемы­ ми и адаптивными с целью их возможного использования всем сообществом Internet. Этот принцип весьма актуален для Inter­ net. Б этой глобальной ИВС большое количество подсетей, компьютеров и пользователей, имеющих свои различные уни­ кальные адреса и имена. Поэтому используемые способы и средства безопасности (например, способы и средства управ­ ления доступом и аутентификации) должны легко адаптиро­ ваться к любым адресным множествам;

•способы и средства безопасности должны быть «прозрачны­ ми». Это означает, что их анализ (используемых алгоритмов и протоколов) позволяет определить обеспечиваемый ими уро­ вень безопасности. В связи с этим, протоколы и алгоритмы не должны иметь внутренних ошибок, которые являются следст­ вием их некорректной реализации, а не следствием их алго­ ритмической (функциональной) «слабости»;

•на реализацию способов и функционирование средств безо­ пасности не должна оказывать влияния топология ИТС. На­ пример, нежелательно, чтобы они использовались в интересах

только отдельных корпоративных ЛВС, подключенных к дру­ гим ИТС с помощью всего лишь одного маршрутизатора;

0наиболее предпочтительны к использованию в Internet только те способы и средства безопасности, которые не имеют огра­ ничений на их экспорт/импорт и доступны для международ­ ного применения. Тем не менее, ни один способ (средство) безопасности не должен отвергаться архитектурой безопасно­ сти Internet только из-за того, что его применение ограничено.