- •Защита информационных процессов в компьютерных системах краснодар
- •Классификационная схема понятий в предметной области защита информации
- •Глава 1. Методология защиты информационных процессов в компьютерных системах
- •1.1 Проблема защиты информации в компьютерных системах.
- •1.2 Угрозы и каналы утечки информации в компьютерных системах.
- •Р ис. 1.2.4. Обобщенная модель физического взаимодействия информационной системы с внешней средой
- •1. По природе возникновения.
- •2. По степени преднамеренности проявления.
- •3. По непосредственному источнику.
- •4. По положению источника.
- •5. По степени зависимости от активности ас.
- •6. По степени воздействия на ас.
- •7. По этапам доступа пользователей или программ к ресурсам ас.
- •8. По способу доступа к ресурсам ас.
- •9. По текущему месту расположения информации, хранимой и обрабатываемой в ас.
- •В этой связи все возможные ник целесообразно разделять на:
- •1.3 Политика и модели безопасности информации в компьютерных системах.
- •Политика безопасности верхних уровней – правового и административного
- •Политика безопасности среднего уровня – процедурного
- •Перечень защищаемых ресурсов ас
- •Политика безопасности нижнего уровня – программно-аппаратного
- •1. Модель дискреционного (дискретного) доступа.
- •2. Модель мандатного управления доступом Белла-Лападула.
- •3. Модели распределенных систем (синхронные и асинхронные).
- •12. Модель системы безопасности с полным перекрытием.
- •13. Модель гарантированно защищенной системы обработки информации.
- •14. Субъектно-объектная модель.
- •Модель Белла и Лападула
- •Модель понижения уровня субъекта.
- •Модель понижения уровня объекта.
- •Объединение моделей безопасности.
- •1.4. Концепция защиты информации от нсд.
- •Глава 2. Защита информации в автоматизированных системах
- •2.1. Комплексная система защиты информации в автоматизированных системах.
- •Классификатор средств и методов защиты
- •2.2. Организационно-правовая защита информации в автоматизированных системах.
- •Основные государственные правовые акты по защите информации в ас
- •2.3. Реализация методов защиты информации от нсд.
- •2.4. Критерии и стандарты защищенности автоматизированных систем.
- •2.4.1. Критерии оценки безопасности ас сша.
- •Группа d. Минимальная защита
- •Группа с. Дискреционная защита
- •Группа в. Мандатное управление доступом
- •Группа а. Верифицированная защита
- •Интерпретация и развитие tcsec
- •2.4.2 Европейские критерии безопасности информационных технологий
- •Основные понятия
- •Функциональные критерии
- •Критерии адекватности
- •2.4.3. Федеральные критерии безопасности информационных технологий.
- •Основные положения.
- •Профиль защиты
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •2.5 Показатели защищенности свт и ас от нсд.
- •2.5.1 Показатели защищенности свт по защите информации от нсд.
- •Показатели защищенности свт
- •Требования к показателям защищенности шестого класса
- •Требования к показателям пятого класса защищенности
- •Требования к показателям четвертого класса защищенности
- •Требования к показателям третьего класса защищенности
- •Требования к показателям второго класса защищенности
- •Требования к показателям первого класса защищенности
- •2.5.2 Классификация ас и требования по защите информации.
- •Требования к классу защищенности 3б.
- •Требования к классу защищенности 3а.
- •Требования к классу защищенности 2б.
- •Требования к классу защищенности 2а.
- •Требования к классу защищенности 1д.
- •Требования к классу защищенности 1г.
- •Требования к классу защищенности 1в:
- •Требования к классу защищенности 1б:
- •Требования к классу защищенности 1а:
- •2.6 Лицензирование деятельности в области защиты информации.
- •Перечень
- •Перечень
- •Подлежащих лицензированию фапси
- •Особенности сертификации средств защиты информации
Глава 2. Защита информации в автоматизированных системах
2.1. Комплексная система защиты информации в автоматизированных системах.
В различных источниках под комплексностью защиты информации понимают совокупность защитных свойств информационной системы, которые способны обеспечить безопасность обрабатываемых данных при воздействии на систему множества различных дестабилизирующих факторов. Эти свойства отражаются в требованиях по безопасности, предъявляемых к информационной архитектуре системы, используемым средствам и методам защиты, организации управления информационной безопасностью. Требования формулируются заказчиком и разработчиком системы в зависимости от решаемых задач, предполагаемых угроз, наличия ресурсов на защиту и других факторов.
Наиболее часто под комплексностью защиты подразумевают:
защиту информации на всех уровнях информационного взаимодействия и от всех видов угроз;
решение вопросов защиты информации на этапе разработки информационной системы, т. е. реализацию упреждающей стратегии защиты при проектировании и создании безопасных информационных систем;
защиту информации на протяжении всего жизненного цикла существования информации и/или системы, независимо от особенностей информационной архитектуры и применяемых информационных технологий;
реализацию в системе различных политик информационной безопасности;
использование адаптивной подсистемы управления информационной безопасностью; и т. д.
Таким образом, в теории под комплексной защитой информации будем понимать обеспечение безопасности всей информации в системе от всех видов угроз, по всем возможным информационным каналам и на протяжении всего жизненного цикла защищаемой информации.
На практике построение систем защиты информации (СЗИ), способных обеспечить теоретическую (абсолютную) безопасность информации, является невозможным в силу объективных законов информационного взаимодействия и особенностей используемых информационных технологий, а также неэффективным из-за ограниченности ресурсов, выделяемых на защиту информации. Это положение отражено в теореме Харрисона, которая утверждает, что доказательство свойств информационной безопасности для произвольной системы является алгоритмически неразрешимой задачей. Однако для частных случаев возможно построение информационных систем с гарантированным уровнем безопасности информации при соблюдении определенных условий и ограничений.
Поэтому, реальные СЗИ строятся из расчета обеспечения безопасности конкретной информации от определенных видов угроз, которые могут быть реализованы через явные каналы, т. е. санкционированные каналы, а также потенциально возможные и известные разработчику несанкционированные информационные каналы.
На практике под комплексной защитой информации будем понимать защиту классифицированной и идентифицированной в системе информации от наиболее вероятных угроз на одном или нескольких уровнях информационного взаимодействия и с определенной гарантированностью защиты.
При этом под гарантированностью защиты понимается обязательное выполнение совокупности принципов построения комплексной защиты с доказательством их корректной реализации в системе.
Принципы построения систем с комплексной защитой информации, вытекают из анализа модели взаимодействия информационных систем и стратегии разграничения доступа, рассмотренных на предыдущих занятиях.
Для реализации стратегии разграничения доступа должен быть определен порядок разделения системы на защищаемые информационные объекты и зоны доступа, а также установлены правила, регламентирующие порядок перемещения объектов из зоны в зону, т. е. обеспечена информационная замкнутость в целом всей системы и отдельных зон доступа на основе принятой политики информационной безопасности.
Информационная замкнутость - это состояние системы, при котором ее информационные объекты или группы объектов изолированы в физических, синтаксических и/или семантических зонах доступа и способны иметь информационные отношения с объектами из других зон только при соблюдении правил принятой политики информационной безопасности.
Информационная замкнутость системы при реализации стратегии разграничения доступа достигается выполнением ряда принципов, которыми необходимо руководствоваться при разработке и создании гарантированно защищенных информационных систем. Рассмотрим основные из этих принципов.
Наличие классификатора (шкалы ценностей) для соотношения уровней ценности защищаемой информации с уровнями функциональных возможностей, предоставляемых информационным объектам по доступу к этой информации.
Классификация информации и объектов системы производится в соответствии с принятой политикой информационной безопасности. Сведения о ценности информации и возможностях объектов являются исходными данными при разработке безопасной информационной архитектуры системы.
Разделение информационного поля системы на контролируемые механизмами защиты физические, синтаксические и семантические зоны доступа.
Порядок разделения на зоны доступа (ЗД) должен отвечать требованиям принятой политики информационной безопасности, в частности, формальной модели разграничения доступа, если используется компьютерная технология. Как правило, в системе реализуется несколько политик безопасности и соответствующих им формальных и неформальных моделей разграничения доступа для различных технологических участков обработки информации или различных уровней информационного взаимодействия. Например, режим секретности регламентирует порядок разделения системы на физические зоны доступа (территории, здания, подъезды, помещения, хранилища и т. п.). Криптографическая подсистема защиты информации разделяет информационное поле на синтаксические зоны доступа. Монитор безопасности в компьютерной системе разделяет объекты и субъекты по семантическим зонам доступа, регулируя функциональные возможности субъектов по отношению к объектам на основе таблиц разграничения доступа.
Таким образом, защищаемая информационная система разделяется на объекты. Для каждого объекта определяются его открытые интерфейсы, по которым он способен взаимодействовать с другими объектами на физическом, синтаксическом и/или семантическом уровне, а также соответствующие этим уровням зоны доступа, в которых объекту разрешено находиться в ходе информационного процесса согласно правил принятой политики безопасности. Возможность нахождения объектов в одной зоне является признаком возможности их взаимодействия на соответствующем уровне.
Минимизация количества и типов отношений между информационными объектами системы, регламентация и формализация порядка установления и модификации этих отношений.
Этот принцип реализуется в виде правил политики информационной безопасности системы, которые определяют: какие объекты системы могут иметь отношения доступа между собой и с объектами внешней среды, и какого типа отношения. Например, в компьютерной системе может быть задана таблица разграничения доступа, в которой указаны пользователи системы и прикладные задачи, каталоги и файлы к которым эти пользователи имеют тот или иной тип доступа.
Реализация в системе функции семантического контроля входной и выходной информации при обмене данными с внешней средой.
Этот принцип направлен на изоляцию объектов системы от объектов внешней среды. Необходимый информационный обмен с внешней средой должен осуществляться только через штатные входы и выходы системы с контролем выходных данных на предмет наличия секретной информации и входных данных на предмет наличия функций обработки информации опасных для системы. Например, в организационных системах функции семантического контроля выполняют органы цензуры. В компьютерных системах некоторые функции входного и выходного контроля выполняют антивирусные средства, межсетевые экраны, программно-аппаратные системы разграничения доступа.
Использование в исполнительной подсистеме обработки информации алгоритмов и средств информационных технологий собственной разработки или прошедших верификацию на отсутствие недекларированных информационных возможностей.
Этот принцип отражает так называемые требования гарантированности защиты и направлен на регламентацию процессов разработки, построения и модификации системы с целью создания и поддержания безопасной информационной среды. Например, для его реализации регламентируются вопросы использования аппаратного и программного обеспечения иностранного производства, а для компьютерных систем класса защищенности 1А устанавливается требование по формальной верификации программ на наличие недекларированных функций.
Организация физической защиты объектов, у которых технологией обработки информации предусмотрено наличие данных в открытом виде, т. е. не защищенных на синтаксическом уровне.
Например, такими объектами в компьютерных системах являются центральный и специализированные процессоры (интерпретаторы), шифраторы, предназначенные для криптографического преобразования данных (синтаксические трансляторы), периферийные устройства ввода-вывода, имеющие открытые интерфейсы для взаимодействия с человеком (монитор, клавиатура, принтер и т. п.), оперативная память, а также носители информации с ключевыми данными. Дополнительное требование к архитектуре системы – это минимизация количества объектов и технологических участков системы, хранящих и обрабатывающих данные в открытом виде.
Выделение исполнительной подсистемы обработки информации в отдельные зоны доступа.
Этот принцип реализуется в системах организационного типа в виде секретного делопроизводства, а в компьютерных системах в виде монитора безопасности, который контролирует все информационные процедуры, исполняемые в системе по запросам прикладных задач, принимая решения об их разрешении или запрете на основе таблиц разграничения доступа. В идеальном случае все прикладное программное обеспечение в системе должно быть проверено на отсутствие функций, позволяющих выполнять информационные процедуры в обход монитора безопасности.
Одним из решений может быть организация обработки информации по технологии «клиент-сервер» с предоставлением исполнительной подсистемой обработки данных информационных услуг (служб или сервисов) функциональным алгоритмам и с реализацией функций разграничения доступа на промежуточном интерфейсном уровне.
Размещение каждого защищаемого объекта системы хотя бы в одной из зон доступа одного из уровней взаимодействия.
Этот принцип означает, что защиту объекта можно организовать только на физическом, синтаксическом или семантическом уровне взаимодействия в зависимости от существующих угроз, условий в которых функционирует система и ресурсов, выделенных на защиту информации. Например, защита файла с информацией может быть осуществлена на физическом уровне организацией охраны помещения, в котором расположены СВТ, на синтаксическом уровне использованием криптографических методов защиты, на семантическом уровне применением системы разграничения доступа. Защиту каналов связи целесообразно осуществлять на синтаксическом уровне, поскольку, физическая защита потребует значительно больших ресурсов.
Наличие в системе механизмов, реализующих функции идентификации объектов при включении и исключении их из системы, а также аутентификации при установлении информационных отношений между объектами.
Идентификация объектов необходима для организации целенаправленного информационного процесса в любых детерминированных информационных системах. Однако при наличии информационных угроз одной идентификации недостаточно, так как противник способен раскрыть соответствующие параметры системы и подделать идентификаторы объектов. Для защиты от этой угрозы применяют специальные способы идентификации с подтверждением подлинности имен (идентификаторов) взаимодействующих объектов. Эти способы называют аутентификацией.
В современных компьютерных системах функции идентификации и аутентификации обычно реализуются в виде отдельных программных или программно-аппаратных модулей с целью повышения гибкости системы.
Организация контроля за нахождением объектов системы в разрешенных зонах доступа: первичного, в ходе проектирования и создания системы, и текущего в период эксплуатации.
Рассмотренные принципы построения систем с комплексной защитой информации в том или ином виде реализуются во всех современных защищенных компьютерных системах. Например, в требованиях руководящих документах ГТК по безопасности информации указано, что защита АС должна обеспечиваться подсистемами управления доступом, идентификации и аутентификации, регистрации и учета, криптографической защиты, а также поддерживаться комплексом организационных и технических мер защиты.
Разнесению по ЗД подлежат отдельные информационные объекты системы (носители информации, алгоритмы, файлы, данные и т. п.) или их функционально устойчивые и относительно независимые сочетания, т. е. физические и абстрактные модули (например, человек, АРМ, шифровальная машина или криптографическая плата, операционная система, системный блок ПЭВМ, процессор с ОЗУ и т. п.). Разнесение объектов по зонам доступа может производиться по одному или нескольким признакам, в т. ч. по их совокупности, например, по ценности (важности) обрабатываемой информации, по устойчивости технологических связей при обработке информации, по принадлежности к определенной тематике или владельцу защищаемых сведений, по необходимости осуществления взаимодействия при решении задач, по типам полномочий, необходимых при обработке информации и т. п. Эти признаки определяются принятой в системе политикой информационной безопасности, которая может состоять из нескольких политик, используемых для участков системы с различными информационными технологиями. Для реализации политик безопасности используются формальные и неформальные модели разграничения доступа, которые были рассмотрены в предыдущей теме.
Для того, чтобы реализовать разделение системы на семантические, синтаксические и физические зоны доступа необходимо иметь соответствующие средства и методы, т.е. экраны. Зоны доступа отделяются экранами от неконтролируемой зоны (внешней среды) и от других зон на одном или нескольких уровнях информационного взаимодействия.
Экран (Э) – это один или несколько информационных объектов, которые предназначены для блокирования информационного взаимодействия объектов, находящихся в зоне доступа, выделяемой экраном из системы, с объектами из других зон и внешней среды по соответствующим интерфейсам объектов на одном из уровней информационного взаимодействия.
Для осуществления информационного взаимодействия с объектами внешней среды и между объектами системы, которые находятся в разных ЗД, необходимо физически или логически переместить эти объекты в одну зону, причем на каждом уровне информационного взаимодействия. Санкционированное, регулируемое механизмами защиты, перемещение объектов между зонами доступа должно быть организовано и подконтрольно специальным средствам защиты, которые реализуются отдельно или составе монитора безопасности на соответствующих уровнях взаимодействия.
Отдельное средство регулирования доступом будем называть шлюзом.
Шлюз (Ш) – это транслятор физического, синтаксического или семантического уровня, который предназначен для регулирования доступа объектов, имеющих открытые интерфейсы, в одну или несколько ЗД соответствующего уровня взаимодействия.
Открытие и закрытие шлюзов осуществляется алгоритмами разграничения доступа на основании наличия уникальной информации - ключа, которая позволяет однозначно опознать объект, запрашивающий доступ, и, если это необходимо, определить его полномочия по типу доступа. Уникальность информации должна обеспечить достоверность идентификатора и полномочий объекта. Уникальность может обеспечиваться сложностью технологии получения копии этой информации, наличием информации только у взаимодействующих объектов с защитой ее от компрометации, обеспечением целостности таблицы разграничения доступа и т. п.
Механизмы защиты информации могут реализовать стратегию разграничения доступа на одном или нескольких уровнях информационного взаимодействия систем. Выбор уровня реализации является задачей оптимизации между экономическими и функциональными показателями эффективности механизмов защиты, с учетом общих ограничений, накладываемых на все информационные технологии (ИТ), и специфических ограничений для конкретных ИТ.
Общие ограничения для ИТ на варианты организации защиты обусловлены природой информационного взаимодействия и заключаются в необходимости обеспечения защиты на физическом уровне интерпретаторов, генераторов и хранилищ ключей (уникальной информации) или главного ключа, т. е. тех участков системы, где технология предполагает обработку информации в открытом виде.
Специфические свойства основных используемых информационных технологий и накладываемые ими ограничения по организации защиты, необходимо рассмотреть подробнее, поскольку они оказывают значительное влияние на архитектуру информационных систем и организацию защиты.
Ограничения по организации защиты информации при использовании биотехнологии (человека):
ограниченные возможности по организации защиты на синтаксическом уровне, обусловленные низкой способностью человеческого мозга генерировать и сохранять ключевую информацию с высокими показателями качества и достоверности, а также оперативно модифицировать язык представления данных, что предполагает наличие незащищенной информации на информационных входах и выходах человека;
невозможность семантического ограничения функций обработки информации, потому что человек не может, например, разучиться читать и писать (т. е. невозможно модифицировать его алгоритмы обработки информации, исключив из них определенные команды управления чтением и письмом) или забыть известные ему сведения (т. е. невозможно ограничить известный человеку контекст определенной области знаний);
естественная физическая защита всех внутренних информационных процессов и данных от несанкционированного доступа по нештатным каналам, обусловленная использованием в информационной технологии ассоциативных, а не параллельно-последовательных способов представления информации;
невозможность полной верификации алгоритмов и данных, обусловленная необходимостью нахождения человека вне замкнутого контура системы и сложностью проведения оперативного и достоверного семантического контроля, что не позволяет иметь коэффициент безопасности (лояльности) человека, как информационного объекта системы, близким к единице.
Эти ограничения указывают на необходимость максимального исключения человека из информационного процесса. Идеальный вариант организации защищенной системы - это один человек, принимающий стратегические решения, плюс подконтрольная только ему защищенная автоматическая система для выполнения всех остальных функций системы управления. Однако, в сложных организационно-технических системах такая организация системы управления вряд ли возможна. Именно поэтому, приходится создавать сложные системы защиты информации, которые все равно не бывают идеальными, но возможно сколь угодно близкое их приближение к абсолютному (идеальному) уровню защиты при наличии достаточных ресурсов. В любом случае необходимы максимальные ограничения возможностей информационного взаимодействия человека с другими информационными объектами системы.
Ограничения по организации защиты информации при использовании электронной технологии (компьютера):
повышенные требования к физической защите средств информационной технологии, что обусловлено использованием параллельно-последовательного способа представления алгоритмов и данных, модульной организацией архитектуры информационной системы и относительно высокой энергий информационных сигналов, образующих информационные поля за пределами физического контура носителя информации;
сложность построения системы с гарантированной защитой, что обусловлено использованием средств вычислительной техники, изначально не предназначенных для решения функций защиты информации и не являющихся гарантированно безопасными по причине их внесистемной (например, иностранной) разработки и/или производства.
Ограничения на использование элементов «бумажной» технологии, которая не является собственно информационной технологией, поскольку не обладает средствами интерпретации, но дополняет другие технологии специфическими средствами хранения и передачи информации:
необходимость защиты на физическом уровне носителей информации, предназначенных для хранения открытых данных, что обусловлено невозможностью многократной записи информации на бумажный носитель.
Традиционно средства и методы защиты информации разделяют на морально-этические, правовые, организационные, технические, криптографические и их сочетания. На следующих занятиях будет рассмотрена их классификация и основные принципы применения в компьютерных системах.
Однако для анализа безопасности информационной архитектуры и синтеза гарантированно защищенных компьютерных систем такая классификация является неконструктивной. Компьютерные системы являются человеко-машинными системами с большим количеством взаимодействующих элементов и сложными информационными отношениями между ними. Для анализа безопасности информационной архитектуры и построения гарантированно защищенной КС требуется выявить все возможные отношения и определить какие из них являются опасными с точки зрения принятой политики безопасности. Более конструктивный подход к классификации средств и методов защиты, учитывающий указанное замечание, основан на рассмотренных ранее модели информационного взаимодействия систем и стратегии разграничения доступа.
Классификатор средств и методов, которые могут быть использованы в механизмах защиты в качестве элементов защиты на разных уровнях информационного взаимодействия, представлены в таблице 2.1.1.
Эти элементы защиты должны образовать физические, синтаксические, семантические экраны, разделяющие информационную систему на зоны доступа и шлюзы, которые предназначены регулировать физическое или логическое перемещение объектов между зонами в ходе информационного процесса.
Физические экраны изолируют физическую контролируемую зону и находящиеся в ней носители информации от других зон в одном или нескольких, диапазонах физического взаимодействия, которые могут быть использованы объектами для передачи информации.
Например, в качестве стандартных диапазонов можно рассматривать перемещение: устойчивых носителей информации (человека, бумажного документа, дискеты и т. п.) в пространстве; электромагнитных волн различных стандартных диапазонов частот, используемых человеком или техникой (видеодиапазон, участки радиодиапазона и др.); акустических волн и т. п. При оценке безопасности конкретной КС должны быть классифицированы и учтены все стандартные диапазоны взаимодействия информационных объектов на физическом уровне, имеющихся в системе или обычно применяемых в информационных технологиях, используемых в системе. Примерами физических экранов могут служить любые инженерно-технические сооружения, ограничивающие доступ на территорию, в здания и помещения, средства физической охраны, хранилища для документов и изделий, экраны для гашения электромагнитных и акустических волн, генераторы шума, средства и методы разнесения носителей информации в пространстве и времени и т. п. Часть экранов должны иметь шлюзы для перемещения объектов из зоны в зону в ходе информационного взаимодействия.