- Комплексный подход к обеспечению безопасности
1. Лекция 2: Комплексный подход к обеспечению безопасности.
(Тест по лекции 1, доклад)
Вопросы:
1. Уровни информационной безопасности.
2. Стандарты и спецификации в области информационной безопасности.
3. Административный уровень. Политика информационной безопасности.
4. Основные программно-технические меры.
2. Уровни информационной безопасности.
Рекомендуемые материалы
Для обеспечения информационной безопасности необходим комплексный системный подход.
Для защиты информационной системы требуется сочетать меры следующих уровней:
1) Законодательные меры обеспечения информационной безопасности – это законы, постановления, указы, нормативные акты и стандарты.
2) Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения информационной безопасности.
3) Процедурные меры – это меры безопасности, ориентированные на людей.
4) Физические средства защиты. Сюда относится экранирование помещений, проверка поставляемой аппаратуры, средства наружного наблюдения, замки, сейфы и т.д..
5) Программно-технические меры направлены на контроль компьютерных сущностей, реализуются программным и аппаратным обеспечением узлов и сети.
Законодательный уровень является важнейшим для обеспечения ИБ.
На законодательном уровне различают две группы мер:
- меры, направленные на создание и поддержание в обществе негативного (в том числе и с применением наказаний) отношения к нарушениям ИБ (меры ограничительной направленности);
- направляющие и координирующие меры, способствующие повышению образованности общества в области ИБ, помогающие в разработке и распространении средств обеспечения ИБ (меры созидательной направленности).
Самое важное – согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению ИБ.
На процедурном уровне рассматриваются меры безопасности, ориентированные на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому «человеческий фактор» заслуживает особого внимания.
На процедурном уровне можно выделить следующие классы мер:
- управление персоналом;
- поддержание работоспособности;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
Т.о. это меры, регламентирующие действия сотрудников, начиная с должностных инструкций.
Программа безопасности, принятая организацией, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений ИБ. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее. Реакция на нарушения преследует три главные цели:
- локализация инцидента и уменьшение наносимого вреда;
- выявление нарушителя;
- предупреждение повторных нарушений.
Основной принцип физической защиты – непрерывность защиты в пространстве и времени. Для физической защиты окон опасности быть не должно.
Основные направления физической защиты:
- физическое управление доступом;
- противопожарные меры;
- защита поддерживающей инфраструктуры;
- защита от перехвата данных;
- защита мобильных систем.
Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации, а также отдельные помещения, например, те, где расположены серверы, коммуникационная аппаратура и т.п.
Перехват данных может осуществляться самыми разнообразными способами. Злоумышленник может подсматривать за экраном монитора, читать пакеты, передаваемые по сети, производить анализ побочных электромагнитных излучений и наводок и т.д.
К средствам физической защиты относятся: охрана, замки, сейфы, перегородки, телекамеры, датчики движения и многое другое. Для выбора оптимального средства целесообразно провести анализ рисков. Есть смысл периодически отслеживать появление технических новинок в данной области, стараясь максимально автоматизировать физическую защиту.
2. Стандарты и спецификации в области информационной безопасности.
Мы рассмотрим стандарты и спецификации двух разных видов:
- оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;
- технические спецификации, регламентирующие различные аспекты реализации средств защиты.
Важно отметить, что между эти видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Технические спецификации определяют, как строить ИС предписанной архитектуры.
Рассмотрим следующие документы: «Оранжевая книга», рекомендации Х.800, стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий».
2.1 Оценочные стандарты и технические спецификации. «Оранжевая книга» как оценочный стандарт.
Основные понятия
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".
Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия.
"Оранжевая книга" поясняет понятие безопасной системы, которая "управляет, с помощью соответствующих средств, доступом к информации, так что только должным образом авторизованные лица или процессы, действующие от их имени, получают право читать, записывать, создавать и удалять информацию".
Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.
В "Оранжевой книге" доверенная система определяется как "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".
Обратим внимание, что в рассматриваемых «Критериях» и безопасность, и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности (статической).
Вопросы доступности «Оранжевая книга» не затрагивает.
Степень доверия оценивается по двум основным критериям:
l) Политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Политика безопасности — это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
2) Уровень гарантированности - мера доверия, которая может быть оказана архитектуре и реализации ИС. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты.
Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база — это совокупность защитных механизмов ИС (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.
Основное назначение доверенной вычислительной базы — выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами (активными сущностями ИС, действующими от имени пользователей) определенных операций над объектами (пассивными сущностями). Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя.
Монитор обращений должен обладать тремя качествами:
1. Изолированность. Необходимо предупредить возможность отслеживания работы монитора.
2. Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.
3. Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования.
Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.
Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию "периметр безопасности" все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, — нет.
3. Механизмы безопасности
Согласно "Оранжевой книге", политика безопасности должна обязательно включать в себя следующие элементы:
- произвольное управление доступом;
- безопасность повторного использования объектов;
- метки безопасности;
- принудительное управление доступом.
Произвольное управление доступом (называемое иногда дискреционным) — это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Безопасность повторного использования объектов — важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом.
Принудительный `способ управления доступом не зависит от воли субъектов (даже системных администраторов).
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информации.
Согласно "Оранжевой книге", метки безопасности состоят из двух частей:
- уровня секретности;
- списка категорий.
Уровни секретности образуют упорядоченное множество, категории — неупорядоченное. Назначение последних — описать предметную область, к которой относятся данные.
Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен — читать можно только то, что положено.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может записывать данные в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.
Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности — в каждый момент времени знать, кто работает в системе и что делает.
Средства подотчетности делятся на три категории:
- идентификация и аутентификация;
- предоставление доверенного пути;
- анализ регистрационной информации (аудит).
Обычный способ идентификации — ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя — пароль.
Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути — дать пользователю возможность убедиться в подлинности обслуживающей его системы.
Анализ регистрационной информации (аудит) имеет дело с действиями (событиями), так или иначе затрагивающими безопасность системы.
Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. "Оранжевая книга" предусматривает наличие средств выборочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.
Переходя к пассивным аспектам защиты, укажем, что в "Оранжевой книге" рассматривается два вида гарантированности - операционная и технологическая. Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая — к методам построения и сопровождения.
Операционная гарантированность включает в себя проверку следующих элементов:
- архитектура системы;
- целостность системы;
- проверка тайных каналов передачи информации;
- доверенное администрирование;
- доверенное восстановление после сбоев.
Операционная гарантированность — это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности.
Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стандартами, чтобы исключить утечку информации и нелегальные "закладки".
4. Классы безопасности
"Критерии ..." Министерства обороны США открыли путь к ранжированию информационных систем по степени доверия безопасности.
В "Оранжевой книге" определяется четыре уровня доверия — D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня С к А к системам предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (Cl, C2, Bl, B2, ВЗ) с постепенным возрастанием степени доверия.
Всего имеется шесть классов безопасности — С1, С2, В1, В2, ВЗ, А1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям. В качестве примера упомянем лишь важнейшие требования для класса С2 (которому удовлетворяет система безопасности ОС Windows NT).
Класс С2 (в дополнение к С1):
- права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа; при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования;
- каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем; доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой; тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Коротко классификацию "Оранжевой книги" можно сформулировать так:
• уровень С — произвольное управление доступом;
• уровень В — принудительное управление доступом;
• уровень А — верифицируемая безопасность.
Конечно, в адрес "Критериев ..." можно высказать целый ряд серьезных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует подчеркнуть, что публикация "Оранжевой книги" без всякого преувеличения стала эпохальным событием в области информационной безопасности. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.
Отметим, что огромный идейный потенциал "Оранжевой книги" пока во многом остается невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы — от выработки спецификаций до фазы эксплуатации.
Интерпретация "Оранжевой книги" для сетевых конфигураций
В 1987 году Национальным центром компьютерной безопасности США была опубликована интерпретация "Оранжевой книги" для сетевых конфигураций. Данный документ состоит из двух частей. Первая содержит собственно интерпретацию, во второй рассматриваются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.
В первой части вводится минимум новых понятий. Важнейшее из них — сетевая доверенная вычислительная база, распределенный аналог доверенной вычислительной базы изолированных систем. Сетевая доверенная вычислительная база формируется из всех частей всех компонентов сети, обеспечивающих информационную безопасность. Доверенная сетевая система должна обеспечивать такое распределение защитных механизмов, чтобы общая политика безопасности реализовывалась, несмотря на уязвимость коммуникационных путей и на параллельную, асинхронную работу компонентов.
Прямой зависимости между вычислительными базами компонентов, рассматриваемых как изолированные системы, и фрагментами сетевой вычислительной базы не существует. Более того, нет прямой зависимости и между уровнями безопасности отдельных компонентов и уровнем безопасности всей сетевой конфигурации.
Интерпретация отличается от самих "Критериев" учетом динамичности сетевых конфигураций. Предусматривается наличие средств проверки подлинности и корректности функционирования компонентов перед их включением в сеть, наличие протокола взаимной проверки компонентами корректности функционирования друг друга, а также присутствие средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или коммуникационных путей.
Среди защитных механизмов в сетевых конфигурациях на первом месте стоит криптография, помогающая поддерживать как конфиденциальность, так и целостность. Следствием использования криптографических методов является необходимость реализации механизмов управления ключами.
Систематическое рассмотрение вопросов доступности является новшеством по сравнению не только с "Оранжевой книгой", но и с рекомендациями Х.800. Сетевой сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Доверенная система должна иметь возможность обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.
Для обеспечения непрерывности функционирования могут применяться следующие защитные меры:
• внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.);
• наличие средств реконфигурирования для изоляции и/или замены узлов или коммуникационных каналов, отказавших или подвергшихся атаке на доступность;
• рассредоточенность сетевого управления, отсутствие единой точки отказа;
• наличие средств нейтрализации отказов (обнаружение отказавших компонентов, оценка последствий, восстановление после отказов);
• выделение подсетей и изоляция групп пользователей друг от друга.
2.2 Информационная безопасность распределенных систем. Рекомендации Х.800 .
Сетевые сервисы безопасности
Техническая спецификация Х.800 появилась немногим позднее "Оранжевой книги", но весьма полно и глубоко трактует вопросы информационной безопасности распределенных систем.
Рекомендации Х.800 — документ довольно обширный. Остановимся на специфических сетевых функциях (сервисах) безопасности, а также на необходимых для их реализации защитных механизмах.
Выделяют следующие сервисы безопасности и исполняемые ими роли:
Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно упомянем конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).
Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры — с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг:
- неотказуемость с подтверждением подлинности источника данных;
- неотказуемость с подтверждением доставки.
Побочным продуктом неотказуемости является аутентификация источника данных.
В следующей таблице указаны уровни эталонной семиуровневой модели OSI, на которых могут быть реализованы функции безопасности. Отметим, что прикладные процессы, в принципе, могут взять на себя поддержку всех защитных сервисов.
| Функции безопасности | Уровень | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | |
| Аутентификация | - | - | + | + | - | - | + |
| Управление доступом | - | - | + | + | - | - | + |
| Конфиденциальность соединения | + | + | + | + | - | + | + |
| Конфиденциальность вне соединения | - | + | + | + | - | + | + |
| Избирательная конфиденциальность | - | - | - | - | - | + | + |
| Конфиденциальность трафика | + | - | + | - | - | - | + |
| Целостность с восстановлением | - | - | - | + | - | - | + |
| Целостность без восстановления | - | - | + | + | - | - | + |
| Избирательная целостность | - | - | - | - | - | - | + |
| Целостность вне соединения | - | - | + | + | - | - | + |
| Неотказуемость | - | - | - | - | - | - | + |
Табл. 1 Распределение функций безопасности по уровням эталонной семиуровневой модели OSI.
Сетевые механизмы безопасности
Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации:
• шифрование;
• электронная цифровая подпись;
• механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке;
• механизмы контроля целостности данных. В рекомендациях Х.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации. Для проверки целостности потока сообщений (то есть для защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы;
• механизмы аутентификации. Согласно рекомендациям Х.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик;
• механизмы дополнения трафика;
• механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными;
• механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи.
Администрирование средств безопасности
Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для реализации избранной политики безопасности.
Согласно рекомендациям Х.800, усилия администратора средств безопасности должны распределяться по трем направлениям:
• администрирование информационной системы в целом;
• администрирование сервисов безопасности;
• администрирование механизмов безопасности.
Среди действий, относящихся к ИС в целом, отметим обеспечение актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование сервисов безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список таков:
• управление ключами (генерация и распределение);
• управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптографическими средствами, также тяготеет к данному направлению;
• администрирование управления доступом (распределение информации, необходимой для управления — паролей, списков доступа и т.п.);
• управление аутентификацией (распределение информации, необходимой для аутентификации — паролей, ключей и т.п.);
• управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений — частоту отправки, размер и т.п.);
• управление маршрутизацией (выделение доверенных путей);
• управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).
Как видно администрирование средств безопасности в распределенной ИС имеет много особенностей по сравнению с централизованными системами.
2.3 Стандарт ISO/IEC 15408 «Критерии оценки безопасности информационных технологий».
Основные понятия
Самый полный и современный среди оценочных стандартов - "Критериев оценки безопасности информационных технологий" (издан 1 декабря 1999 года). Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран, он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба.
По историческим причинам данный стандарт часто называют "Общими критериями" (или даже ОК).
"Общие критерии" на самом деле являются метастандартом, определяющим инструменты оценки безопасности ИС и порядок их использования. В отличие от "Оранжевой книги", ОК не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.
С программистской точки зрения ОК можно считать набором библиотек, помогающих писать содержательные "программы" — задания по безопасности, типовые профили защиты и т.п. Программисты знают, насколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, "с нуля", программы не пишут уже очень давно; оценка безопасности тоже вышла на сопоставимый уровень сложности, и "Общие критерии" предоставили соответствующий инструментарий.
Важно отметить, что требования могут быть параметризованы, как и полагается библиотечным функциям.
Как и "Оранжевая книга", ОК содержат два основных вида требований безопасности:
1) функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям безопасности и реализующим их механизмам;
2) требования доверия, соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования безопасности предъявляются, а их выполнение проверяется для определенного объекта оценки — аппаратно-программного продукта или информационной системы.
Очень важно, что безопасность в ОК рассматривается не статично, а в привязке к жизненному циклу объекта оценки. Выделяются следующие этапы жизненного цикла:
• определение назначения, условий применения, целей и требований безопасности;
• проектирование и разработка;
• испытания, оценка и сертификация;
• внедрение и эксплуатация.
В ОК объект оценки рассматривается в контексте среды безопасности, которая характеризуется определенными условиями и угрозами.
В свою очередь, угрозы характеризуются следующими параметрами:
• источник угрозы;
• метод воздействия;
• уязвимые места, которые могут быть использованы;
• ресурсы (активы), которые могут пострадать.
Уязвимые места могут возникать из-за недостатка в:
• требованиях безопасности;
• проектировании;
• эксплуатации.
Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднамеренного использования или случайной активизации.
С точки зрения технологии программирования в ОК использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в "Общих критериях" введена иерархия класс-семейство-компонент-элемент.
Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
Семейства в пределах класса различаются по строгости и другим ньюансам требований.
Компонент — минимальный набор требований, фигурирующий как целое.
Элемент — неделимое требование.
Как и между библиотечными функциями, между компонентами ОК могут существовать зависимости. Они возникают, когда компонент сам по себе недостаточен для достижения цели безопасности.
Как указывалось выше, с помощью библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты (ПЗ) представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
В ОК нет готовых классов защиты. Сформировать классификацию в терминах "Общих критериев" — значит определить несколько иерархически упорядоченных (содержащих усиливающиеся требования) профилей защиты, в максимально возможной степени использующих стандартные функциональные требования и требования доверия безопасности.
Функциональные требования
Функциональные требования сгруппированы на основе выполняемой ими роли или обслуживаемой цели безопасности. Всего в "Общих критериях" представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в "Оранжевой книге".
Перечислим классы функциональных требований ОК:
• идентификация и аутентификация;
• защита данных пользователя;
• защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов);
• управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности);
• аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности);
• доступ к объекту оценки;
• приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных);
• использование ресурсов (требования к доступности информации);
• криптографическая поддержка (управление ключами);
• связь (аутентификация сторон, участвующих в обмене данными);
• доверенный маршрут/канал (для связи с сервисами безопасности).
Опишем подробнее два класса, демонстрирующие особенности современного подхода к ИБ.
Класс "Приватность" содержит 4 семейства функциональных требований.
Анонимность. Позволяет выполнять действия без раскрытия идентификатора пользователя другим пользователям, субъектам и/или объектам. Анонимность может быть полной или выборочной. В последнем случае она может относиться не ко всем операциям и/или не ко всем пользователям (например, у уполномоченного пользователя может оставаться возможность выяснения идентификаторов пользователей).
Псевдонимность. Напоминает анонимность, но при применении псевдонима поддерживается ссылка на идентификатор пользователя для обеспечения подотчетности или для других целей.
Невозможность ассоциации. Семейство обеспечивает возможность неоднократного использования информационных сервисов, но не позволяет ассоциировать случаи использования между собой и приписать их одному лицу. Невозможность ассоциации защищает от построения профилей поведения пользователей (и, следовательно, от получения информации на основе подобных профилей).
Скрытность. Требования данного семейства направлены на то, чтобы можно было использовать информационный сервис с сокрытием факта использования. Для реализации скрытности может применяться, например, широковещательное распространение информации, без указания конкретного адресата. Годятся для реализации скрытности и методы стеганографии, когда скрывается не только содержание сообщения (как в криптографии), но и сам факт его отправки.
Еще один показательный (с нашей точки зрения) класс функциональных требований — "Использование ресурсов", содержащий требования доступности. Он включает три семейства.
Отказоустойчивость. Требования этого семейства направлены на сохранение доступности информационных сервисов даже в случае сбоя или отказа. В ОК различаются активная и пассивная отказоустойчивость. Активный механизм содержит специальные функции, которые активизируются в случае сбоя. Пассивная отказоустойчивость подразумевает наличие избыточности с возможностью нейтрализации ошибок.
Обслуживание по приоритетам. Выполнение этих требований позволяет управлять использованием ресурсов так, что низкоприоритетные операции не могут помешать высокоприоритетным.
Распределение ресурсов. Требования направлены на защиту (путем применения механизма квот) от несанкционированной монополизации ресурсов.
Т.о. "Общие критерии" — очень продуманный и полный документ с точки зрения функциональных требований.
Требования доверия безопасности
Установление доверия безопасности, согласно "Общим критериям", основывается на активном исследовании объекта оценки.
Форма представления требований доверия, в принципе, та же, что и для функциональных требований. Специфика состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов:
• действия разработчиков;
• представление и содержание свидетельств;
• действия оценщиков.
Всего в ОК 10 классов, 44 семейства, 93 компонента требований доверия безопасности. Перечислим классы:
• разработка (требования для поэтапной детализации функций безопасности от краткой спецификации до реализации);
• поддержка жизненного цикла (требования к модели жизненного цикла, включая порядок устранения недостатков и защиту среды разработки);
• тестирование;
• оценка уязвимостей (включая оценку стойкости функций безопасности);
• поставка и эксплуатация;
• управление конфигурацией;
• руководства (требования к эксплуатационной документации);
• поддержка доверия (для поддержки этапов жизненного цикла после сертификации);
• . оценка профиля защиты;
• оценка задания по безопасности.
Применительно к требованиям доверия в "Общих критериях" сделана весьма полезная вещь, не реализованная, к сожалению, для функциональных требований. А именно, введены так называемые оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
Оценочный уровень доверия 1 (начальный) предусматривает анализ функциональной спецификации, спецификации интерфейсов, эксплуатационной документации, а также независимое тестирование. Уровень применим, когда угрозы не рассматриваются как серьезные.
Оценочный уровень доверия 2, в дополнение к первому уровню, предусматривает наличие проекта верхнего уровня объекта оценки, выборочное независимое тестирование, анализ стойкости функций безопасности, поиск разработчиком явных уязвимых мест.
На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки.
На уровне 4 добавляются полная спецификация интерфейсов, проекты нижнего уровня, анализ подмножества реализации, применение неформальной модели политики безопасности, независимый анализ уязвимых мест, автоматизация управления конфигурацией. Вероятно, это самый высокий уровень, которого можно достичь при существующей технологии программирования и приемлемых затратах.
Уровень 5, в дополнение к предыдущим, предусматривает применение формальной модели политики безопасности, полуформальных функциональной спецификации и проекта верхнего уровня с демонстрацией соответствия между ними. Необходимо проведение анализа скрытых каналов разработчиками и оценщиками.
На уровне 6 реализация должна быть представлена в структурированном виде. Анализ соответствия распространяется на проект нижнего уровня.
Оценочный уровень 7 (самый высокий) предусматривает формальную верификацию проекта объекта оценки. Он применим к ситуациям чрезвычайно высокого риска.
3. Административный уровень. Политика информационной безопасности.
К административному уровню ИБ относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня – сформировать Политику ИБ и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Политика безопасности отражает подход организации к защите своих информационных ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации.
Политика безопасности – это совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации от заданного множества угроз безопасности.
Политика безопасности определяет:
- какую информацию защищать и от кого;
- какой ущерб принесет предприятию потеря или раскрытие определенных данных;
- источники угроз, виды атак;
- какие средства использовать для защиты каждого вида информации и т.д...
При выработке политики безопасности возможны два подхода:
- запрещать все, что не разрешено в явной форме (высокая степень безопасности, дорого, неудобства пользователей);
- разрешать все, что не запрещено в явной форме (менее защищенная сеть, дешевле, удобна для пользователей).
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер. На этом уровне цели организации в области ИБ формулируются в терминах доступности, целостности и конфиденциальности.
Например. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных (целостность). Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.
Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
- вводный, подтверждающий озабоченность высшего руководства проблемами ИБ;
- организационный, содержащий описание подразделений, комиссий, групп, отвечающих за работы в области ИБ;
- классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень защиты;
- штатный, характеризующий меры безопасности, применяемые к персоналу;
- раздел, освещающий вопросы физической защиты;
- управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
- раздел, описывающий правила разграничения доступа к производственной информации;
- раздел, характеризующий порядок разработки и сопровождения систем;
- раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
- юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов ИБ, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов – отношение к передовым технологиям, доступ в Интернет, использование домашних компьютеров, применение пользователями неофициального ПО и т.д..
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта – цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Примеры вопросов, на которые даются ответы в политике безопасности нижнего уровня:
- кто имеет право доступа к объектам данного сервиса;
- при каких условиях можно читать и модифицировать данные;
- как организован удаленный доступ к сервису.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддерживать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей. Руководству следует найти разумный компромисс.
4. Основные программно-технические меры.
Программно-технические меры - это меры, направленные на контроль компьютерных сущностей – оборудования, программ и данных, образуют последний и самый важный рубеж ИБ.
Программно-технические меры реализуются программным и аппаратным обеспечением узлов и сети.
Ущерб наносят в основном действия легальных пользователей, главные враги – некомпетентность и неаккуратность. Только программно-технические меры способны им противостоять.
Центральным для программно-технического уровня является понятие сервиса безопасности.
Среди сервисов безопасности нас в первую очередь будут интересовать универсальные, высокоуровневые.
К основным сервисам (или функциям) безопасности относятся:
- идентификация и аутентификация;
- управление доступом;
- протоколирование и аудит;
- конфиденциальность;
- контроль целостности;
- экранирование;
- анализ защищенности;
- обеспечение отказоустойчивости;
- обеспечение безопасного восстановления;
- туннелирование;
- управление.
Будут описаны требования к сервисам безопасности, их функциональность, возможные методы реализации и место в общей архитектуре.
Программно-технические меры безопасности можно разделить на следующие виды:
- превентивные, препятствующие нарушениям ИБ;
- меры обнаружения нарушений;
- локализующие, сужающие зону воздействия нарушений;
- меры по выявлению нарушителя;
- меры восстановления режима безопасности.
Большинство сервисов безопасности попадает в число превентивных, и это правильно.
Сервисы безопасности, какими бы они не были мощными, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна обеспечить управляемость ИС и способность противостоять все новым угрозам.
С практической точки зрения наиболее важными являются следующие базовые принципы архитектурной безопасности:
- непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
- принцип единого контрольно-пропускного пункта;
- следование признанным стандартам, использование апробированных решений;
- усиление самого слабого звена;
- невозможность перехода в небезопасное состояние (использование средств, которые при отказе переходят в состояние максимальной защиты);
- минимизация привилегий;
- разделение обязанностей;
- эшелонированность обороны;
- разнообразие защитных средств или использование комплексного подхода к обеспечению безопасности;
- простота и управляемость ИС;
- минимизация объема защитных средств, выносимых на клиентские системы, так как конфигурацию клиентских систем трудно или невозможно контролировать;
- принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение.
Поясним смысл перечисленных принципов.
Если у злоумышленника появится возможность миновать защитные средства, он так и сделает. Мощный брандмауэр не принесет пользы при наличии локальных модемов и выхода в Internet по коммутируемым линиям.
Отсюда вытекает следующий принцип. Весь входящий во внутреннюю сеть и выходящий трафик должен проходить через единственный узел сети, например межсетевой экран.
Следование признанным стандартам и использование апробированных решений повышает надежность ИС и уменьшает вероятность попадания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и принципиальных модификаций.
Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью.
Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост оставляют поднятым, препятствуя проходу неприятеля.
Под минимизацией привилегий имеется в виду предоставление каждому сотруднику предприятия минимального уровня привилегий, который необходим ему для выполнения должностных обязанностей. Этот принцип позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.
Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников (например, пароль - из двух частей). Соблюдение данного принципа очень важно, чтобы предотвратить злонамеренные действия системного администратора.
Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно- технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, - протоколирование и аудит.
Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная от организационно-административных запретов (административный запрет на работу в воскресные дни, закрытие помещения, блокировка клавиатуры) и кончая встроенными средствами сетевой ОС и аппаратуры. Пусть потенциальному злоумышленнику потребуется овладеть разнообразными и, по возможности, несовместимыми между собой навыками.
Очень важен принцип простоты и управляемости ИС в целом и защитных средств в особенности. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование.
Ни одна система безопасности не гарантирует защиту на 100%, т.к. является результатом компромисса между возможными рисками и возможными затратами. Решение должно быть обосновано экономически.
Темы докладов:
1) Обзор белорусского законодательства в области информационной безопасности.
2) Обзор российского законодательства в области информационной безопасности.
3) Обзор зарубежного законодательства в области информационной безопасности.
4) Обзор белорусских стандартов в области ИБ.
Статьи:
Н. Браунли, Э.Гатмэн «Как реагировать на нарушения ИБ (RFC 2350, BCP 21)» (Jet Info, 2000, 5)
В. Барсуков «Физическая защита информационных систем» (Jet Info, 1997, 1)
Термины и определения - лекция, которая пользуется популярностью у тех, кто читал эту лекцию.
В. Барсуков «Блокирование технологических каналов утечки информации» (Jet Info, 1998, 5-6)
В. Барсуков «Защита компьютерных систем от силовых деструктивных воздействий» (Jet Info, 2000, 2)
Тест по теме.
