- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
Как отмечалось выше, требования к корректности реализации механизмов защиты сформулированы в действующем сегодня нормативном документе [1].
Требования к достаточности – полноте набора механизмов защиты, применительно к условиям использования системного средства, сформулированы в действующем сегодня нормативном документе [2].
Достаточно долгое время (а для некоторых приложений, и по сию пору) построение системы защиты сводилось к двум задачам:
К обеспечению достатоточности механизмов защиты применительно к требуемому классу АС (определяемого в результате классификации АС, например, 1Г) в соответствии с нормативным документом, что подтвекрждается последующей аттестацией;
К обеспечению корректности механизмов защиты применительно к требуемому классу СВТ (определяемого в результате классификации АС, например, АС 1Г требуются средства защиты 5 класса СВТ) в соответствии с нормативным документом, что подтвекрждается сертификацией средств защиты.
Достоинства:
Все предельно просто и ясно, не требуется никакого анализа, каких-либо исследований и т.д., все сводится к выполнению некого набора формализованных требований к АС и к СВТ.
Недостатки:
Не решается каких-либо задач проектирования (никакие критерии оптимальности не определены – все сводится к выбору средств по критерию «цена» из множества средств, удовлетворяющих соответствующим формализованным требованиям). Здесь речь идет не о проектировании, а о построении системы защиты;
Не анализируется, для каких задач защиты используются те или иные средства и механизмы защиты, т.к. не анализируются возможные угрозы, их вероятности, опасность их реализации, поэтому какие-либо рассуждения о достаточности механизмов защиты, кроме, как на тему «нужно защититься ото всего», что бессмысленно, здесь имеют мало практического смысла;
Становится невозможной какая-либо осмысленная настройка системы защиты от актуальных угроз (т.к. последние не определены), т.е. существует некий набор механизмов защиты, которые не очень понятно, как использовать (для решения каких задач) и как настраивать.
1.3. Общий подход к проектированию системы защиты на основе оценки рисков
Вопросы оценки эффективности системы защиты и вопросы проектирования системы защиты тесно связаны, т.к. в их основе лежит единый математический аппарат решения соответствующей оптимизационной задачи. Общий подход к проектированию (к оценке эффективности) системы защиты основан на оценке рисков.
1.3.1. Общий подход к оценке эффективности системы защиты
Будем оценивать защищенность системы ( ) количественно, в зависимости от стоимости защищаемой информации, вероятности взлома (успешной атаки на защищаемые ресурсы), стоимости самой системы защиты, производительности системы (влияние системы защиты на вычислительные ресурсы):
,
где - стоимость защищаемой информации,
- вероятность взлома,
- стоимость СЗИ,
- производительность системы.
Постановка задачи оптимизации: с учетом введенного понятия защищенности системы задача состоит в обеспечении максимального уровня защищенности (как функции стоимости защищаемой информации и вероятности взлома) при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы.
С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты, при котором, кроме обеспечиваемого уровня защищенности, должны учитываться еще ряд важнейших характеристик системы, и в первую очередь, влияние системы защиты на загрузку вычислительных ресурсов защищаемого объекта, в общем случае определяемую количеством прикладных задач, решаемых им в единицу времени.
Исходные параметры для задачи проектиррования системы защиты, а также возможности сведения задачи к однокритериальной, проиллюстрированы на рис.1.6.
Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности, на сегодняшний день является наиболее часто используемым на практике подходом.
Риск ( ) - это потенциальные потери от угроз защищенности:
По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности.
С другой стороны, следует рассматривать риск и как потери в единицу времени:
,
где - интенсивность потока взломов (под взломом будем понимать удачнуюатаку на защищаемые песурсы).
Эти две формулы связаны следующим соотношением:
,
где - общая интенсивность потока несанкционированных попыток доступа злоумышленниками к информации.
Рис.1.6. Критерии оценки защищенности
В качестве основного критерия защищенности будем использовать коэффициент защищенности ( ), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой.
, (1.1)
где - риск в защищенной системе, - риск в незащищенной системе.
Таким образом, в данном случае задача оптимизации выглядит следующим образом:
Для решения этой задачи сведем ее к однокритериальной, по средством введения ограничений, получим:
,
где и - заданные ограничения на стоимость системы защиты и производительность системы.
Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты - обеспечение безопасности информации.
Производительность системы рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени). На практике возможно задание ограничения по производительность не непосредственно в виде требуемой производительности системы, а как снижение производительности ( ) информационной системы от установки системы защиты – степень влияние системы защиты на загрузку вычислительных ресурсов. В этом случае задача оптимизации будет выглядеть следующим образом:
или после сведения ее к однокритериальной
,
где и - заданные ограничения на стоимость системы защиты и снижение производительности.
Если рассчитанное значение коэффициента защищенности ( ) не удовлетворяет требованиям к системе защиты, можно изменить в рамках существующих ограниченных ресурсов заданные ограничения и решить задачу методом последовательного выбора уступок (рассмотрен ниже), задавая приращение стоимости и снижение производительности:
или
Теперь задача решается в результате реализации итерационной процедуры, путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности.
Выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины:
- количество видов угроз, воздействующих на систему,
- стоимость (потери) от взлома i-того вида,
- интенсивность потока взломов i-того вида, соответственно
- вероятность появления угроз i-того вида в общем потоке попыток несанкционированного доступа к информации, причем ,
- вероятность отражения угроз i-того вида системой защиты.
Соответственно получим:
,
где - коэффициент потерь от взлома i-того типа, показывает, какие в среднем потери приходятся на один взлом i-того типа.
Для незащищенной системы , для защищенной системы .
где - коэффициент потерь от взломов i-того типа в единицу времени.
Для незащищенной системы , для защищенной системы . Из (1.1) имеем
(1.2)
Если в качестве исходных параметров заданы вероятности появления угроз , то коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз , то, соответственно, коэффициент защищенности считается через интенсивность.