Околов Андрей Ромуальдович Защита информации

Лекция 1

Не существует абсолютной защиты. Всякая защита измеряется временем и стоимостью взлома.

Тема 1: Информационная безопасность

Информация – сведения об окружающем мире и протекающих в нем процессов, воспринимаемые непосредственно человеком или специальными устройствами.

Информационная безопасность – защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важны 3 аспекта информационно безопасности:

1. Доступность – возможность за разумное время получить информационную услугу.

2. Целостность – актуальность и непротиворечивость информации при ее защищенности от разрушения и несанкционированного вмешательства (воздействия).

3. Конфиденциальность – компоненты АИС можно разбить на следующие групы:

-Аппаратные средства (компьютеры и их составные части)

-Программное обеспечение

-Данные, хранимые временно или постоянно на различных носителях

-Персонал (обслуживающий и пользователи)

Опасное воздействие на ИС делят на случайное и преднамеренное:

Случайные - Причинами случайных воздействий являются аварии из-за стихийных бедствий или технических причин, отказы и сбои аппаратуры, ошибки в ПО, ошибки в работе персонала, помехи в линиях связи из-за воздействия внешней среды.

Преднамеренное воздействие – целенаправленное действие нарушителя. В качестве нарушителя может быть: служащие, посетитель, конкурент, наемник, действия которых могут быть обусловлены разными мотивами – недовольство карьерой, взяткой, любопытство, конкурентной борьбой, стремлением самоутвердиться любой ценой.

Гипотетический портрет потенциального нарушителя:

1. Квалификация нарушителя на уровне разработчика системы

2. Нарушитель – как постороннее лицо, так и законный пользователь

3. Нарушителям известна информация о принципах работы системы

4. Нарушитель выбирает наиболее слабое звено в защите

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). Он может осуществляться через:

-человека (хищение носителя информации, чтение информации с экрана или клавиатуры, чтение информации из распечатки)

-программы (перехват паролей, дешифровка зашифрованной информации, копирование информации с носителя)

-аппаратуру (подключение специальных аппаратных средств, обеспечивающих доступ, перехват электромагнитных излучений, особенно опасен компьютерный доступ в компьютерных сетях, из-за удаленных атак).

Формирование режима безопасности – проблема комплексная. Меры по ее решению можно подразделить на 5 уровней:

1. Законодательный (законы, норм акты, стандарты и т. д.)

2. Морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа человека или целой организации)

3. Административный (действия общего характера, предпринимаемые руководством)

4. Физический (механические, электро-, электронно-механические и др.)

5. Аппаратно-программный (электронные устройства и специальные программы защиты)

Надежные системы защиты должна соответствовать следующим критериям:

1. Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба

2. Каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы

3. Защита тем более эффективна, чем проще пользователю с ней работать.

4. Возможность отключения в экстренных случаях

5. Специалисты, имеющие отношение к системе защиты должны полностью представлять принципы ее функционирования, чтобы иметь возможность адекватно реагировать в затруднительных (конфликтных между человеком и системой) ситуациях

6. Под защитой должна находиться вся система обработки информации

7. Разработчики системы защиты не должны быть в числе тех, кого она контролирует

8. Система защиты должна представлять доказательства корректности своей работы

9. Лица, обеспечивающие информационную безопасность должны нести личную ответственность

10. Объекты защиты целесообразно делить на группы, так чтобы нарушение защиты в одной не влияло на безопасность других

11. Надежная система защиты должна быть полностью протестирована и согласована

12. Система защиты должна разрабатываться исходя из предположения, что пользователи будут совершать серьезные ошибки, и вообще имеют наихудшие намерения. Наиболее важные и критические решения должны приниматься человеком

13. Существование механизмов защиты должно быть скрыто от пользователей, работа которых находится под контролем

Аппаратно-программные средства защиты

Аппаратно-программные средства защиты делятся на 5 групп:

1. Система идентификации (распознавания) и аутентификации (проверки подлинности) пользователей

2. Система шифрования дисковых данных

3. Система шифрования данных, передаваемых по сетям

4. Системы аутентификации электронных данных (электронные подписи и т. д.)

5. Средства управления криптографическими ключами

1. Система идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных или незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и только за тем предоставить (или не предоставить) доступ

В традиционных системах это секретная информация, которой обладает пользователь. (пароль, секретный ключ, персональный идентификатор и т.д.). Пользователь должен запомнить эту информацию или должны использоваться специальные средства хранения.

В биометрических системах это физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза) или особенности поведения (особенности работы на клавиатуре)

Лекция 2

2. Чтобы сделать информацию бесполезной для противника применяется совокупность методов преобразования данных, называемых криптография. Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования.

По способу функционирования их делят на 2 класса:

1. Системы прозрачного шифрования (шифрование «на лету»)

2. Системы, специально вызываемые для осуществления шифрования (обычно соответствующие утилиты)

3. Системы шифрования данных, передаваемых по сетям

2 основных способа:

1. Канальное

2. Абонентское шифрование

4. Системы аутентификации электронных данных

Для аутентификации данных применяют код аутентификации сообщения (имитовставка) или электронную подпись.

Для реализации имитовставки используются принципы симметричного шифрования. А для реализации электронной подписи – асимметричного.

5. Средства управления криптографическими ключами

Безопасность любой криптосистемы определяется использованием крипто ключами. В случае ненадежного управления ключами, злоумышленник может завладеть ценной информацией и получить полный доступ ко всей информации.

Различают следующие виды функций управления ключами:

- Генерация

- Хранение

- Распределение ключей

Способ генерации ключей для симметричной и асимметричной систем различны.

Для симметричных используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных систем более сложные, так как ключи должны обладать определенными математическими свойствами.

В иерархию ключей обычно входит главный ключ (мастер-ключ – ключ шифрования ключей и ключ шифрования данных). Генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

­­­­Тема 2. Критерий оценки безопасности информационных систем (оранжевая книга)

В оранжевой книге надежные системы определяются как системы, использующие достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушений прав доступа.

Надежность систем оценивается по двум основным признакам:

1. Политика безопасности (ПБ)

Набор законов правил и норм поведения, определяющих как организация обрабатывает, защищает и распространяет информацию. Чем надежнее система, тем строже и разнообразнее должна быть политика безопасности. ПБ – активный компонент защиты, включающий в себя анализ всевозможных угроз и выбор мер противодействия.

2. Гарантированность

Гарантированность - мера доверия, которое может быть оказано архитектуре и реализации системы. Гарантированность показывает, насколько корректны механизмы, приводящие в жизнь ПБ. Ее можно считать пассивным компонентом защиты, надзирающим за самими защитниками.

Важным средством обеспечения безопасности является механизм подотчетности (протоколирование). Составление протоколов должно дополнятся аудитом, то есть анализом регистрационной информации. При оценке степени гарантированности, при которой систему можно считать надежной, является концепция надежной вычислительной базы.

Вычислительная база – совокупность защитных механизмов компьютерной системы (аппаратных и программных), отвечающих за проведение в жизнь политики безопасности.

Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит административный персонал (данные о благонадежности пользователей).

Основное назначение надежной вычислительной базы – выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектом.

Каждое обращение пользователя к программе или данным проверяется на предмет согласованности со списком действий, допустимых для данного пользователя.

От монитора обращений требуется выполнение 3х свойств:

1. Изолированность (защита от отслеживания своей работы)

2. Полнота (должен вызываться при каждом обращении и не должно быть способов его обхода)

3. Верифицируемость (монитор должен быть компактным), чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.

Основные элементы политики безопасности

Политика безопасности должна включать следующие элементы

1. Произвольное управление доступом

Это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую этот субъект входит.

Произвольность управления состоит в том, что некое лицо (владелец объекта) может по своему усмотрению давать или забирать другим субъектам права доступа к объекту.

Текущее состояние прав доступа при произвольном управлении описывается матрицей. Строка, в которой перечислены субъекты, а в столбцах – объекты. В клетках на пересечении – способы доступа, допустимые для субъекта по отношению к объекту (чтение, запись, воспроизведение…). Большинство ОС и СУБД реализуют именно произвольное управление доступом. Главное достоинство – гибкость, недостатки – рассредоточенность управления и сложность централизованного контроля, оторванность прав доступа от данных, что позволяет копировать секредоступную информацию в общедоступном файле.

2. Безопасность повторного использования объектов

Это дополнение средств урпавления доступом предназнач для случайного или преднамеренного извлечения информации из «мусора». Должна гарантироваться для областей оперативной памяти, для дисковых блоков, магнитных носителей. Пользователя покидающего организацию, необходимо лишить не только прав доступа к системе, но и лишить доступа ко всем объектам.

3. Метки безопасности

Для организации принудительного управления доступом субъектам и объектам используются метки безопасности. Метка субъекта описывает его благонадежность. Метка объекта – степень секретности сокрытой в ней информации.

В оранжевой книге метки безопасности состоят из 2х частей:

- Уровень секретности

Уровни секретности, поддерживаемые системой, образую упорядоченное множество, которое может выглядеть например так: Совершенно секретно, Секретно, Конфиденциально, Не секретно.

- Список категорий

Категории образую неупорядоченный набор. Их назначение – описать предметную область, к которой относятся данные. Механизм категорий позволяет разделить информацию «по отсекам», что способствует лучшей защищенности. Субъект не может получить доступ к «чужим» категориям, даже если имеет высший уровень благонадежности Совершенно секретно.

4. Принудительное управление доступом

Лекция 3

Главная проблема, которую необходимо решать с метками - обеспечение их целостности:

1. Не достаточно неотмеченных объектов и субъектов

2. При любых операциях с данными метки должны оставаться неизменными

Принцип минимизации привилегий – самое разумное средство защиты.

Г – сопоставление меток объектов и субъектов

Субъект (пользователь) – может читать информацию из объекта. Если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта присутствуют в метке субъекта. Метка субъекта доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой объекта. В частности конфиденциальный субъект может писать в секретные, но не может в несекретные.

Данный способ управления доступом является принудительным, так как не зависит от воли субъекта. Г реализовано во многих вариантах ОС и СУБД, отличающихся повышенными мерами безопасности.

Классы безопасности:

------>

D C B A

Уровень D – для систем, признанных неудовлетворительными. В данный момент он пуст.

По мере перехода от C к A уровень надежности возрастает. (К надежности систем предъявляются более высокие требования). Уровни С и В подразделяются на классы (С1, С2….В1, В2) с постепенным увеличением степени надежности.

Коротко классификацию в оранжевой книге определяют:

С – произвольное управление доступом

В – принудительное управление доступом

А – верифицируемая безопасность

Критерии оценки безопасности – общие критерии (ОК) – критерии 1991 года.

ОК являются метостандартом, определяющим инструменты оценки безопасности ИС и порядок их использования.

В отличие от оранжевой книги ОК не содержит предопределенных классов безопасности. Такие классы можно строить исходя из требований безопасности, существующих для конкретной организации.

С программной точки зрения ОК можно считать набором библиотек для написания “содержательных программ” (типовые профили защиты и так далее). Как и оранжевая книга ОК содержит 2 основных требования безопасности:

- функциональное (активный аспект защиты) предъявляемый к функциям безопасности и реализующим их механизмам

- требования доверия (пассивный аспект) предъявляемой к процессу разработки и к процессу эксплуатации

Безопасность в общих критериях рассматривается не статично, а с точки зрения жизни ИС.

Этапы жизненного цикла:

1. Определение назначения узлов применения, целей и требований безопасности

2. Проектирование и разработка

3. Испытание, оценка, сертификация.

4. Внедрение, эксплуатация

В ОК объект оценки рассматривается в контексте среды безопасности, характеризующийся определенными условиями и угрозами.

Угрозы характеризуются:

- источник угрозы

- метод воздействия

- уязвимые места

- ресурсы (активы), которые могут пострадать.

Уязвимые места могут возникнуть из-за недостатков требований к безопасности, проектировании, эксплуатации

Следующие места по возможности надо устранить, минимизированть ущерб от из преднамеренного использования и случайной активации.

В ОК введена иерархия:

Класс – семейство – компонент – элемент.

Классы определяют наиболее “общую” предметную группировку требований.

Семейство в пределах класса различаются по строгости и другим нюансам.

Компонент – минимальный набор требований, фигурирующий как целое.

Элемент – неделимое требование.

В ОК могут формироваться 2 типа норм документов: