- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
Запрос доступа к ресурсу осуществляет пользователь, идентифицируемый своим эффективным именем (которое может быть изменено по сравнению с первичным в результате олицетворения), каким-либо процессом, определяемым своим полнопутевым именем (полнопутевым именем соответствующего исполняемого файла). Таким образом, процесс является полноправным (а в некоторых случаях, и более важным, смотря какая задача защиты решается) субъектом доступа, т.е. должен быть однозначно идентифицируем. Мы должны знать, что обращаясь к какому-нибудь файловому объекту, например, процессом winword, действительно этот процесс, а не иной запущен под его именем и этот процесс (в частности, его исполняемый файл) не модифицирован. По сути именно в этом и состоит задача идентификация субъекта доступа «процесс».
Идентификатором процесса является полнопутевое имя исполняемого файла. Таким образом, для корректной идентификации субъекта доступа «процесс» необходимо предотвратить любую возможность запуска процессов под иными именами, кроме разрешенных для исполнения, и предотвратить возможность модификации исполняемых файлов, полнопутевые имена которых разрешены для выполнения.
Для решения рассматриваемой задачи в общем случае следует использовать механизм обеспечения замкнутости программной среды.
Общий подход к решению состоит в локализации на защищаемом компьютере возможности запуска программ механизмом контроля доступа к ресурсам (разграничения прав доступа к файловым объектам) установкой прав доступа на выполнение и запрета модификации, при условии выполнения требований к полноте и к корректности реализации разграничительной политики доступа.
Под полнотой реализации разграничительной политики доступа в данном случае понимается возможность разграничить доступ “на выполнение” для всех компьютерных ресурсов, с которых возможен запуск программы.
Под корректностью реализации разграничительной политики доступа в данном случае понимается предотвращение любой возможности модификации разрешенных к запуску исполняемых файлов, а также предотвращение любой возможности запуска под их именем (под «видом» санкционированных) других (несанкционированных для выполнения) исполняемых файлов.
Очевидно, что при реализации на защищаемом компьютере подобного решения, любая сторонняя программа, в том числе, и любая вредоносная программа, не сможет быть запущена.
Вывод. Задача идентификации субъекта доступа «процесс» решается отдельным механизмом защиты – механизмом обеспечения замкнутости программной среды, реализованном на механизме контроля доступа к ресурсам.
3.2.2. Идентификация и аутентификация объектов доступа
3.2.2.1. Идентификация и аутентификация устройств
Современные ОС, относясь в большинстве своем к универсальным, имеют множество встроенных устройств и широкие возможности по подключению внешних устройств. Без локализации защищаемого компьютера в части подключенных и подключаемых устройств решать какие-либо задачи защиты крайне сложно (а об эффективности их решения в этом случае вообще говорить не стоит), т.к. не определены функциональные возможности защищаемого компьютера.
Например, заявление о том, что компьютер автономный, ничего не стоит до тех пор, пока не будут предусмотрены действия по отключению встроенных сетевых устройств и предотвращены возможности подключения внешних сетевых устройств.
Так же ни о чем и заявление о не использовании внешних накопителей.
Далее воспользуемся иерархией задания (идентификации) устройств, принятой в ОС Windows: класс устройств, модель устройств, устройство (устройство может сопровождаться серийным номером). Представление иерархии устройств в ОС Windows проиллюстрировано на рис.3.7.
Рис.3.7. Иерархия задания (идентификации) устройств
в ОС Windows
Заметим, что на практике иногда (для ряда устройств) бывает достаточным оперировать с такими понятиями, как класс устройств, модель устройств, устройство. Но есть ряд ключевых задач защиты, в первую очередь, это относится к внешним накопителям, например, к flash-устройствам, где для идентификации устройства необходимо использовать его серийный номер. В противном случае становится невозможным отличить одно устройство от другого (в частности, два flash-устройства одного изготовителя), т.е. задача идентификации решается не корректно.
Приведем простой пример. Пусть на предприятии разрешена защищенная (с использованием организационных мер - оргмер) обработка информации с использованием внешних накопителей.
Следуя нормативным руководящим документам в области защиты информации, такая обработка предполагает реализацию следующей оргмеры (см. предыдущий раздел):
учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).
Как реализовать это требование, если носители не различимы между собою?
Вывод. В общем случае определение (идентификация) устройства в соответствии с иерархическим признаком: класс устройств, модель устройств, устройство. Идентификация устройств должна осуществляться на основе их серийных номеров.
В результате идентификации должно разрешаться, либо запрещаться подключение (монтирование) устройств к системе.
Вывод. Задача идентификации объекта доступа «устройство» решается отдельным механизмом защиты – механизмом управления монтированием к системе устройств, в том числе по их серийным номерам.
В двух словах о корректности реализации механизма защиты. Основное требование состоит в реализации разрешительной разграничительной политики монтирования устройств: «Все, что явно не разрешено, то запрещено». Только в этом случае можно разрешить монтировать определенные конкретные устройства, идентифицируемые конкретными серийными номерами, предотвратив подключения иных устройств.
В порядке замечания уточним, что запретительная разграничительная политика: «Все, что явно не запрещено, то разрешено», наоборот, позволяет запрещать монтировать определенные конкретные устройства.