- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
Данный механизм состоит в задании для каждого пользователя списка процессов (исполняемых файлов), которые ему разрешено запускать. Соответственно объект доступа в матрице доступа к исполняемым файлам представляет собой список исполняемых файлов.
Корректность функционирования механизма связана с предотвращением явных и скрытых каналов модификации списка санкционированных исполняемых файлов, а также запуска исполняемых файлов, не вошедших в список.
Требования к корректности функционирования механизма:
Исполняемый файл должен быть задан с указанием его полного пути, что предотвращает возможность запуска несанкционированного процесса с таким же именем из другого места. При этом пользователю должен быть запрещен запуск программ с внешних устройств ввода (локальных и общих – разделяемых в сети), а также из общих папок (разделяемых в сети файловых объектов);
К исполняемому файлу должен быть запрещен доступ пользователя «на запись» и «на модификацию», что предотвращает возможность разместить вместо него исполняемый файл несанкционированой программы;
К исполняемым файлам, разрешенным на запуск пользователю, должны быть отнесены не только исполняемые файлы соответствующих приложений, но и исполняемые файлы системных процессов, запуск которых необходим для корректной работы пользователя с системой и приложениями.
Очевидный недостаток данного способа реализации механизма обеспечения замкнутости программной среды – сложность настройки механизма защиты.
3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
Для механизма обеспечения замкнутости программной среды, опирающегося на разграничения, задаваемые списками разрешенных к запуску процессов, необходимо сопоставлять с каждым пользователем свой собственный список разрешенных к запуску программ (либо задавать ограничение программной среды общим для всех пользователей – для системы в целом). Такой подход интуитивно понятен, но имеет существенные недостатки. Главным из них является необходимость перечислять в этих списках все процессы, разрешенные к запуску пользователем, в том числе и системные процессы и процессы,запускаемые уже разрешенными процессами. Таким образом списки разрешенных процессов становятся очень громоздкими, существенно снижается производительность системы, за счет больших затрат времени на анализ таких списков при каждом обращении к объекту файловой системы. Сильно усложняется администрирование подобной системы защиты, особенно при установке новых программ и удалении существующих, что связано с необходимостью модификации настроек.
Обеспечить замкнутость программной среды можно не непосредственно заданием списков разрешенных к запуску процессов (что запускать), а областью дискового пространства (каталогом), откуда пользователю можно запускать процессы (откуда запускать). Другими словами, для каждого пользователя может быть выделен каталог, откуда ему может разрешаться запуск программ (возможно, один, единый каталог) – на каталог должно быть установлено право «Исполнение» для пользователя, причем в данный каталог ему должен быть запрещен доступ «на запись» и «на модификацию», с целью предотвращения возможности пользователем внесения в данный каталог других, не разрешенных к запуску программ, а также с целью предотвращения возможности модификации расположенных в каталоге программ. При этом список разрешенных к запуску программ (не процессов) определяется набором программ, инсталлированных администратором безопасности в каталог, откуда пользователю разрешен их запуск. Кардинально упрощается задача администрирования средства защиты.
К подобным каталогам для пользователей обязательно должны быть отнесены Windows (где располагаются системные процессы) и, например, Program Files (либо некая его часть – отдельные папки).
Таким образом, могут быть сформулированы следующие требования к корректности функционирования механизма:
Исполняемые файлы должны быть заданы с указанием полного пути каталогов, из которых разрешен их запуск, что предотвращает возможность запуска несанкционированного процесса с таким же именем из другого места. При этом пользователю должен быть запрещен запуск программ с внешних устройств ввода (локальных и общих – разделяемых в сети), а также из общих папок (разделяемых в сети файловых объектов);
К каталогам с исполняемыми файлами должен быть запрещен доступ пользователя «на запись» и «на модификацию», что предотвращает возможность разместить в них исполняемый файл несанкционированной программы;
К каталогам с исполняемыми файлами, разрешенными на запуск пользователю, должны быть отнесены не только каталоги с исполняемыми файлами соответствующих приложений (но и Program Files), но и каталог с исполняемыми файлами системных процессов – системный диск (Windows), запуск которых необходим для корректной работы пользователя с системой и приложениями.
Итак, достоинством данного механизма является серьезное упрощение его администрирования, т.к. исключается необходимость перечисления всех процессов, которые запускает программа, при разрешении ее запуска пользователем, в списке разрешенных для запуска пользователю процессов (при установке и удаленни программы из списка разрешенных к запуску).
Вывод. В качестве основного механизма обеспечения замкнутости программной среды следует рассматривать механизм, основанный на задании пользователям каталогов исполняемых файлов (данный подход принципиально более прост в администрировании, чем задание списков исполняемых файлов, а, следовательно, характеризуется значительно меньшей вероятностью ошибок при задании настроек механизма обеспечения замкнутости программной среды).