Методы и методики проектирования КСИБ

Методы и методики проектирования КСИБ от НСД.

1.1. Концептуальные основы построения защиты информации от несанкционированного доступа в вычислительной системе.

Угроза - это потенциально возможное событие, действие, процесс или явление, которое может привести к понятию ущерба чьим-либо интересам.
Нарушение безопасности - это реализация угрозы.
Естественные угрозы - это угрозы, вызванные воздействием на АС объективных физических процессов, стихийных природных явлений, не зависящих от человеека.
Естественные делятся на:

• природные (стихийные бедствия, магнитные бури, радиоактивное излучение, осадки)
• технические. Связаны надежностью технических средств, обработки информации и систем обеспечения.

Искусственные делят на:

• непреднамеренные - совершенные по незнанию и без злого умысла, из любопытности или халатности
• преднамеренные

Каналы проникновения в систему и их классификация:

1. По способу:
• прямые
• косвенные
2. По типу основного средства для реализации угрозы:
• человек
• аппаратура
• программа
3. По способу получения информации:
• физический
• электромагнитный
• информационный

Анализ модели вычислительной системы с безопасной обработкой информации позволяет рассматривать вычислительную систему как объект, в котором имеется некоторое множество возможных каналов несанкционированного доступа к предмету защиты информации. Для построения защиты информации в данной системе на каждом возможном канале несанкционированного доступа (ВКНСД), а если возможно, сразу на нескольких установить соответствующую преграду. Чем большее количество ВКНСД перекрыто средствами защиты и выше вероятность их преодоления нарушителем, тем выше безопасность информации.
Структура защиты будет носить многозвенный и многоуровневый характер.
Количество перекрываемых ВКНСД при этом будет зависеть от заданной квалификации нарушителя.
Поведение потенциального нарушителя может быть следующим:

1. Нарушитель может появиться в любое время и в любом месте периметра автоматизированной системы.
2. Квалификация и осведомленность нарушителя может быть на уровне разработчика данной системы.
3. Постоянно хранимая информация о принципах работы системы, включая секретную, нарушителю известна.
4. Для достижения своей цели нарушитель выверит наиболее слабое звено в защите.
5. Нарушителем может быть законный пользователь системы.
6. Нарушитель действует один.

Основные принципы построения защиты:

1. Необходимо построить вокруг предмета защиты постоянно действующий замкнутый контур защиты.
2. Свойства преграды составляющие защиту должны, по возможности, соответствовать ожидаемой квалификации и осведомленности нарушителя.
3. Для входа в систему законного пользователя необходима переменная секретная информация, известная только ему.
4. Итоговая прочность защитного контура определяется его слабейшим звеном.
5. При наличии нескольких законных пользователей полезно обеспечить разграничение их доступа к информации в соответствии с полномочиями и выполняемыми функциями, реализуя таким образом принцип наименьшей осведомленности каждого пользователя с целью сокращения ущерба в случае, если имеет место безответственность одного из них.

Нарушители могут быть:

1. Нарушитель-профессионал.
2. Нарушитель высокой квалификации.
3. Относительно квалифицированный нарушитель-непрофессионал.
4. Безответственный пользователь.

Можно установить следующее распределение ВКНСД по классам:

1. Все возможные каналы несанкционированного доступа, возможные в данной вычислительной системе и в данный момент времени.
2. Все ВКНСД, кроме машинных носителей с остатками информации, подлежащей защите специальными криптографическими методами.
3. Только следующие ВКНСД:
• терминалы пользователей
• аппаратура регистрации, документирования, отображения информации
• машинные и бумажные носители информации
• средства загрузки программного обеспечения
• технологические пульты и органы управления
• внутренний монтаж аппаратуры
• линии связи между аппаратными средствами
4. Только следующие ВКНСД:
• терминалы пользователей
• машинные и бумажные носители информации
• средства загрузки программного обеспечения

Рекомендуемые материалы

Анализ возможных каналов НСД к информации показывает, что данные каналы необходимо разделить на 2 вида:

1. Контролируемые
• терминалы пользователей
• аппаратура регистрации, документирования, отображения информации
• средства загрузки программного обеспечения
• технологические пульты и органы управления
• внутренний монтаж аппаратуры
• побочные наводки информации на сетях электропитания и заземления аппаратуры, вспомогательных и посторонних коммуникациях, размещенных вблизи аппаратуры вычислительной системы
2. Неконтролируемые
• машинные носители ПО и информации, выносимые за пределы вычислительной системы
• долговременные запоминающие устройства с остатками информации, выносимыми за пределы вычислительной системы
• внешние каналы связи
• мусорная корзина

Основные тактики защиты информации от НСД в вычислительных системах заключаются в выполнении следующих задач:

1. Предупреждении и контроле попыток НСД
2. Своевременном обнаружении места и блокировки несанкционированных действий
3. Регистрации и документировании событий
4. Установление и устранение причины НСД
5. Ведение статистики и прогнозирования НСД

Информация в лекции "Основные принципы проведения ДМ" поможет Вам.

1.2. Основы проектирования КСИБ от несанкционированного доступа.

Для сетей, кроме защиты самой АСОИ (автоматизированной системы обработки информации) необходимо защитить и каналы связи.
Принимая во внимание, что информация в сети постоянно обновляется, а также и то, что на каналах связи, в отличие от элементов сети нарушитель ничем не рискует, особенно при пассивном перехвате информации, прочность защиты здесь должна быть особенно высокой.
От активного вмешательства нарушителя в процесс обмена информацией между элементами сети должна быть применена система обнаружения и блокировки несанкционированного доступа, но и при этом риск нарушителя по-прежнему не высок, т.к. у него и в этом случае, по причине сложности определения его пребывания, остается достаточно времени на то, чтобы отключиться и уничтожить свои следы. Поэтому в качестве сходной модели потенциального нарушителя высокой квалификации такой подход поможет защититься также от нарушителей, являющихся законными пользователями данной сети. Кроме того это позволит защитить системные отношения между элементами сети.
Поскольку физически каналы связи в сети защитить не представляется возможным, целесообразно строить защиту информации и сопровождающих ее служебных признаков на основе специальных криптографических преобразований, т.е. на основе самой информации, а не на ресурсах сети.
Такой основой должна быть кодограмма сообщений, которой обмениваются между собой элементы сети. Целостность этой кодограммы и содержащаяся в ней информация должны быть защищены от несанкционированного доступа.
Данная кодограмма, как правило, содержит адрес получателя, заголовок, информацию отправителя, концевик, адрес отправителя, исходящий номер и время отправления. В пакетном режиме добавляется еще и номер пакета, поскольку сообщение разбивается на пакеты, которые на объекте-получателе должны быть собраны в одно сообщение, чтобы оно приобрело первоначальный вид. Для синхронизации, приема и обработки кодограммы, в нее включаются признаки кадра. Кадр содержит информационное поле, а также заголовок и концевик, присваиваемый протоколом. Заголовок содержит служебную информацию, используемую протоколом канального уровня принимающей станции и служащую для идентификации сообщения правильного приема кадров, восстановления и повторной передачи в случае ошибок. Концевик содержит проверочное поле, служащее для коррекции и исправления ошибок.
Для обеспечения передачи блоков данных от передающей станции приемной кодограмма содержит признаки маршрута. Все эти и другие составляющие кодограммы формулируются на основе известной семиуровневой модели протокола взаимодействия открытых систем.
Анализ проведенных исследований в области безопасности информации в вычислительных сетях, позволяет взять за основу следующие требования, которые должны быть конечной целью при создании средств ее защиты.
После того, как соединение между абонентами вычислительной сети установлено, необходимо обеспечить четыре условия:

1. Получатель сообщения должен быть уверен в истинности источника данных.
2. Получатель сообщения должен быть уверен в истинности полученных данных.
3. Отправитель должен быть уверен в доставке данных получателю
4. Отправитель должен быть уверен в истинности доставленных получателю данных

При этом предполагается, что выполнение этих условий включает защиту от следующих активных вторжений нарушителя:

1. Воздействие на поток сообщений (изменение, удаление, задержки, переупорядочивание, дублирование и посылка ложных сообщений)
2. Воспрепятствие передачи сообщений
3. Осуществление ложных соединений

Однако, приведенные выше 4 условия не включают защиту от пассивных вторжений:

1. Чтение содержания сообщения
2. Анализ трафика и идентификаторов абонентов сети.

Отправитель и получатель должны в данной сети иметь полномочия на обмен друг с другом.
Для полноты постановки задачи к указанным 4-м условиям нужно добавить еще 4:

1. Отправитель и получатель должны быть уверены, что никому, кроме них и специального посредника факт передачи сообщения между ними не известен.
2. Отправитель и получатель должны быть уверены, что с доставленной информацией в сообщении никто кроме них не ознакомился.
3. Получатель должен быть уверен, что отправитель - это то лицо, за которое он себя выдает.
4. Отправитель должен быть уверен, что получатель - то лицо, которое ему необходимо для передачи сообщения.

Данные требования рассчитаны на защиту от квалифицированного нарушителя-профессионала. Защищать будем кодограмму. Нарушителю доступна вся кодограмма, включая служебные признаки.
Единственный метод защиты - это криптографические преобразования.
Один из методов должен быть таким, чтобы в кодограмме сохранились некоторые адреса и служебные признаки в открытом виде, поскольку всю кодограмму преобразовывать нецелесообразно по причине невозможности ее дальнейшей обработки.
Таким методом может быть использование механизма формирования цифровой подписи на базе несимметричных алгоритмов шифрования.
Для того, чтобы обеспечить возможность контроля и разграничения доступа, необходимо для всех участников обмена информацией помимо условных номеров присвоить переменные идентификаторы в виде паролей, которые могут передаваться в открытом виде, и подлинность которых будет обеспечиваться механизмом цифровой подписи.
Тем абонентам, которым присвоены соответствующие полномочия, должны быть предоставлены соответствующие значения паролей и закрытых ключей шифрования. Стойкость защитного механизма определяется стойкостью к подбору примененного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если оно составляет величину, превышающую время жизни защищаемой информации, то прочность этой преграды равна 1. При этом обратим внимание на существенную разницу во времени жизни самого сообщения и его служебных частей. Само сообщение в зависимости от назначения автоматизированных систем обработки данных может сохранять цену десятки лет, а его служебные части - не более 10 минут. Это позволяет существенно увеличить быстродействие шифрования и , может быть, даже упростить его для служебных частей. Такой большой набор процедур может вызвать сомнения у разработчиков по поводу реальности воплощения этой идеи из-за возможного увеличения времени обработки кодограммы. Однако, даже если это и случится, повышение безопасности информации стоит того. При реализации системы контроля и разграничении доступа в АСУ, потребуется также организовать систему сбора в сети сигналов, несовпадение кодов паролей, систему управления и распределения ключей шифрования информации и организационные мероприятия по безопасности информации.