- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.4. Контроль целостности и аудит
3.4.1. Контроль целостности
В части практического применения, контроль целостности (неизменности) имеет существенное сходство с криптографической защитой. По аналогии с тем, как криптографическая защита должна использоваться в случае, когда невозможно в полном объеме реализовать разграничительную политику доступа к защищаемому объекту, как правило, к информации (т.е. невозможно гарантированно противодействовать хищению информации, путем защиты от раскрытия ее конфиденциальности), контроль целостности применяется в том случае, когда также невозможно в полном объеме реализовать разграничительную политику доступа к защищаемому объекту, но защита здесь уже состоит не в обеспечении конфиденциальности, а в обеспечении ее доступности и неизменности.
В большинстве случае контроль целостности используется для защиты системных ресурсов (как правило, исполняемые файлы, настройки – системные файлы и объекты реестра ОС, и т.д.).
Механизм контроля целостности может либо только контролировать события, связанные с искажением или удалением защищаемых объектов, либо, кроме того, автоматически восстанавливать контролируемые объекты из резервной копии (для этого при настройке механизмом создаются резервные копии контролируемых объектов), как правило, при этом еще выдается в реальном времени соответствующее уведомление администратору.
Объектом контроля может быть, как собственно содержимое объектов - информация (при этом для контроля, как правило, используются контрольные суммы), так и какие-либо вспомогательные признаки, например, имена файлов, имена запущенных процессов, время создания, последней модификации объекта, например, файла и т.д.
Примеры требований нормативных документов к механизмым контроля целостности в автоматизированных системах различных классов защищенности [1]:
должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной cреды. При этом: целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной cреды. При этом: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ.
Теперь о реализации. Можно выделить два принципиально различных способа реализации – на прикладном и на системном уровне. Реализация на прикладном уровне достаточно проста, но на практике мало применима по нескольким причинам. Дело в том, что в этом случае отсутствуют способы асинхронного запуска механизма защиты. Как правило, проверки проводятся по расписанию, причем одновременно всех контролируемых объектов. Сразу же сталкиваемся с существенной дополнительной загрузкой вычислительного ресурса. А проблема в том, что практический интерес представляет не собственно процедура контроля, а реакция на обнаруженное несанкционированное событие. Как следствие, оперативная реакция возможна лишь в случае непрерывного контроля (редко в этом случае контролировать просто не имеет смысла). Таким образом получаем, что практически непрерывно нужно осуществлять контроль целостности всех защищаемых ресурсов, а это не позволит компьютеру нормально функционировать.
Альтернативное решение – это асинхронный запуск процедуры контроля целостности, причем не всех защищаемых объектов, а выборочно. Эта задача защиты уже решается на системном уровне.
Примерами подобного контроля являются:
Контроль целостности исполняемого файла программы перед ее запуском (при обращении к защищаемому файлу, перед запуском по каким-либо признакам контролируется его целостность, а при обнаружении несанкционированной модификации, в зависимости от того, как реализован механизм контроля целостности, либо запрещается его запуск, либо исполняемый файл восстанавливается из резервной копии, лишь после чего запускается);
Контроль целостности настроек программы (файлов и объектов реестра настроек программы) перед ее запуском (перед запуском по каким-либо признакам контролируется целостность настроек программы, а при обнаружении несанкционированной модификации, в зависимости от того, как реализован механизм контроля целостности, либо запрещается запуск программы, либо контролируемые настройки программы восстанавливаются из резервных копий, лишь после чего программа запускается);
Констроль целостности системных ресурсов при загрузке ОС;
И т.д.
Вывод. Контроль целостности – это механизм защиты, который может быть реализован в дополнение к разграничительной политике доступа к ресурсам в случае невозможности (не достаточной гарантированности) защиты каких-либо объектов, в первую очередь, системных. На практике целесообразно использовать асинхронный запуск процедуры контроля целостности, причем не всех защищаемых объектов, а выборочно, т.к. это весьма ресурсоемкая процедура.