Оригинал страницы смотрите здесь
|
|
|
|
|
20 апреля 2024 | |
НацБез.Ру:
ВЕРСИЯ ДЛЯ ПЕЧАТИ Оригинал страницы смотрите здесь |
|
|||
Большинство потребителей средств защиты информации не требуется убеждать в том, что современные универсальные ОС не обеспечивают эффективной защиты информации от несанкционированного доступа, что особенно критично при обработке конфиденциальных данных.
В качестве подтверждения сказанному, приведем выдержку из недавно опубликованной на сайте www.itsec.ru статьи («Нарушение конфиденциальности информации – самая большая внутренняя ИТ-угроза» от 08.06.2005), в которой отмечено, что одним из основных элементов безопасности является операционная система компьютера. Это утверждение подтверждается следующим. Британские исследователи из группы mi2g, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с ноября 2003 по октябрь 2004 года, отметили, что среди компьютеров под управлением ОС Linux взломанными оказались 65%, под управлением Windows – 25% (приводим данные по этим системам, поскольку, во-первых, в каком-то смысле, они сегодня позиционируются в качестве альтернативных вариантов, во-вторых, обе эти системы достаточно широко используются на практике, что может служить подтверждением объективности полученной статистической оценки, т.к., очевидно, что чем меньше система используется, тем меньше она подвергается атакам, тем менее корректна будет оценка).
Недоверие к встроенным в ОС механизмам защиты, обусловливает целесообразность применения добавочных средств защиты информации от несанкционированного доступа (СЗИ НСД), которые сегодня достаточно широко представлены на отечественном рынке. При этом перед потребителем встает задача сравнительного анализа альтернативных СЗИ НСД.
Формализованные требования к защите конфиденциальной информации.
Формализованные требования к защите автоматизированной системы, используемой для обработки конфиденциальной информации, определены документом: «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» - в части защиты конфиденциальной информации - требованиями к АС класса защищенности 1Г.
Сразу, в порядке замечания, отметим, что требования к иным группам АС (2 и 3) в современных условиях (если мы не говорим об MS DOS) теряют свою актуальность. Это обусловлено тем, что в современных системах (например, ОС Windows и Unix) всегда должны быть заведены, по крайней мере, две учетные записи – администратора и пользователя, права доступа к ресурсам для которых принципиально различаются, на чем, по большому счету строится вся защита современных ОС (работа пользователя под учетной записью администратора принципиально недопустима, если мы говорим о защите информации).
Требования к АС первой группы (включающие требования к техническим средствам защиты информации) представлены в Табл.1.
Обозначения, использованные в Табл.1.
“ - “ - нет требований к данному классу;
“ + “ - есть требования к данному классу.
Таблица 1
Формализованные требования к АС первой группы
|
Подсистемы и требования |
Классы | ||||
|
1Д |
1Г |
1В |
1Б |
1А | |
|
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: · в систему · к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ · к программам · к томам, каталогам, файлам, записям, полям записей 1.2. Управление потоками информации |
+ - - - - |
+ + + + - |
+ + + + + |
+ + + + + |
+ + + + + |
|
2. Подсистема регистрации и учета 2.1. Регистрация и учет: · входа (выхода) субъектов доступа в (из) систему (узел сети) · выдачи печатных (графических) выходных документов · запуска (завершения) программ и процессов (заданий, задач) · доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи · доступа программ субъектов доступа к терминалам, ЭВМ , узлам сети ЭВМ, программам, томам, каталогам, файлам, записям, полям записей · изменения полномочий субъектов доступа · создаваемых защищаемых объектов доступа 2.2. Учет носителей информации 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей 2.4. Сигнализация попыток нарушения защиты |
- - - - - - + - - |
+ + + + - - + + - |
+ + + + + + + + + |
+ + + + + + + + + |
+ + + + + + + + + |
|
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах 3.3. Использование аттестованных (сертифицированных) криптографических средств |
- - - |
- - - |
- - - |
+ - + |
+ + + |
|
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации 4.2. Физическая охрана средств вычислительной техники и носителей информации 4.3. Наличие администратора (службы) защиты информации в АС 4.4. Периодическое тестирование СЗИ НСД 4.5. Наличие средств восстановления СЗИ НСД 4.6. Исп-ние сертифицированных средств защиты |
+ + - + + - |
+ + - + + - |
+ + + + + + |
+ + + + + + |
+ + + + + + |
К недостаткам сведенных в Табл.1 требований можно отнести то, что они не детализируют ни требования к корректности реализации механизмов защиты с учетом архитектурных особенностей современных ОС, в частности ОС семейства Windows, ни требования к достаточности, применительно к условиям использования средств защиты (к полноте). Поэтому использование данных требований для сравнительного анализа СЗИ НСД потребителем явно недостаточно.
Перечень подсистем защиты конфиденциальной информации и требований к ним, включая введенные нами уточняющие требования, применительно для защиты АС, реализованной в сети, на основе платформы ОС Windows 2000/XP/2003, представлены в Табл.2.
Замечание. Здесь сведены только интересующие нас требования к техническим средствам защиты (не представлены требования к организационным мерам) конфиденциальной информации.
Таблица 2
Подсистемы и требования к защите конфиденциальной информации
в автоматизированной системе
|
Подсистемы и требования |
Класс 1Г |
|
Контроль доступа | |
|
1. Подсистема контроля доступа в систему: Ø Загрузка в штатном режиме Ø Загрузка в безопасном режиме (размешена только администратору) Ø Доступ при выходе из хранителя экрана Ø Доступ при смене пользователя |
+ + + |
|
2. Подсистемы контроля доступа субъектов к объектам Примечания: 1. Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. 2. Должна быть реализована разрешительная политика доступа к ресурсам: «Все что не разрешено – явно не указано, то запрещено». |
|
|
2. 1. Подсистема контроля доступа к объектам файловой системы (дискам, папкам, файлам) на жестком диске и на любом внешнем носителе: Ø К локальным объектам Ø К разделенным в сети объектам: Ø К удаленному объекту Ø От удаленного пользователя |
+ + + |
|
2.2. Подсистема контроля доступа к системным объектам (в частности, запрет модификации системного диска) Ø Для прикладных пользователей Ø Для системных пользователей |
+ |
|
2.3. Подсистема контроля идентификации объекта файловой системы Ø По длинному имени Ø По короткому имени Ø По ID |
+ + |
|
2.4. Подсистема контроля идентификации субъекта доступа - контроль заимствования прав пользователями (контроль сервиса олицетворения) |
+ |
|
2.5. Подсистема контроля доступа к неразделяемым системой и приложениями файловым объекта |
+ |
|
2.6. Подсистема обеспечения замкнутости программной среды (контроль доступа к исполнению файлов) Ø Списком разрешенных к запуску процессов Ø Списком папок, из которых разрешен запуск процессов |
+ |
|
2.7. Подсистема контроля доступа к объектам реестра ОС (ветви, ключи реестра ОС) Ø Для прикладных пользователей Ø Для системных пользователей |
+ |
|
2.8. Подсистема контроля доступа к устройствам (к любой сущности, принимающей запрос на обслуживание: порты, внешние накопители, принтеры, контроллеры и т.д.): Ø К локальным устройствам Ø К разделенным в сети устройствам |
+ |
|
2.9. Подсистема контроля доступа к виртуальным каналам связи сети (к объектам, имеющим свой адрес в сети): Ø К удаленным объектам Ø От удаленных объектов |
+ |
|
2.10. Подсистема контроля доступа к настройкам механизмов защиты (доступ разрешен только администратору, сущность «Владелец» информации должна быть исключена из схемы администрирования как таковая) |
+ |
|
Регистрация и учет Примечание. Регистрация и учет должны осуществляться подсистемами контроля доступа: |
|
|
1. Подсистемой контроля доступа в систему (1) В параметрах регистрации указываются: Ø Дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; Ø Результат попытки входа: успешная или неуспешная; Ø идентификатор субъекта, предъявленный при попытке доступа; Ø пароль, предъявленный субъектом при неуспешной попытке. |
+ |
|
2. Подсистемами контроля доступа субъектов к объектам (2) В параметрах регистрации указываются: Ø дата и время зарегистрированного события – доступ субъекта к объекту; Ø имя (идентификатор) пользователя, инициировавшего доступ к объекту (имя и эффективное имя пользователя); Ø имя (идентификатор) программы (процесса), инициировавшего доступ к объекту; Ø тип и идентификатор объекта, к которому инициирован доступ субъектом; Ø тип запрошенного субъектом доступа к объекту (чтение, запись, исполнение и т.д.); Ø - результат доступа (успешный, неуспешный – несанкционированный). |
+ |
|
Очистка памяти | |
|
1. Подсистема очистки (обезличивания) освобождаемых областей оперативной памяти |
+ |
|
2. Подсистема очистки (обезличивания) освобождаемых областей накопителей (при удалении или модификации файла). Ø Файлов на локальных дисках и внешних носителях Ø Файлов на разделенных в сети дисках и внешних носителях |
+ |
|
Обеспечение целостности | |
|
1. Подсистема обеспечения корректности загрузки программных и информационных компонент ОС и СЗИ НСД (опционально, для наиболее критичных объектов, реализуется аппаратной компонентой СЗИ НСД) |
+ |
|
2. Подсистема обеспечения целостности (контроля и автоматического восстановления из резервной копии) программных и информационных компонент СЗИ НСД при загрузке системы |
+ |
|
3. Подсистема периодического контроля целостности программных и информационных компонент СЗИ НСД (с возможностью реакции на обнаруженное нарушение) |
+ |
|
4. Подсистема периодического контроля активности и корректности функционирования программных компонент СЗИ НСД (с возможностью реакции на обнаруженное нарушение) |
+ |
Итак, в Табл.2 представлен набор требований, включающих, как требования к корректности реализации механизмов защиты, так и требования к их достаточности (полноте), применительно к условиям использования в составе сети (в частности, в ЛВС).
Отметим, что в Табл.2 не включено ни одного требования, являющегося дополнительным к формализованным требованиям (см. Табл.1), изложенным в соответствующих нормативных документах, либо противоречащего им – внесены лишь уточняющие требования, с учетом рассматриваемой области приложений средства защиты (сетевая АС, реализованная на платформе ОС Windows), которые напрямую следуют из требований соответствующих нормативных документов.
Используя требования, представленные в табл.1 (расставив знаки «+», либо «-» в каждой строке таблице), уже можно провести корректное сравнение представленных на рынке альтернативных вариантов СЗИ НСД для защиты конфиденциальной информации, оценить достаточность их применения в АС, в части выполнения формализованных требований к защите конфиденциальной информации. Корректное, а не полное потому, что в Табл.2 сведены лишь формализованные требования (с их уточнениями), в то время, как СЗИ НСД могут обладать и принципиально иными возможностями (расширенными свойствами защиты).
Возможности КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003.
ЗАО «НПП «Информационные технологии в бизнесе» завершена разработка комплексной системы защиты конфиденциальной информации - КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 (в настоящее время находится на сертификации). Используя сформулированные нами требования в Табл.2, проиллюстрируем возможности данного средства защиты. КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 не только реализует все требования, сведенные в Табл.2 (в каждой строке Табл.2 можем поставить знак «+»), но и характеризуется рядом ключевых дополнительных возможностей.
Подсистемы и требования к защите информации в АС, реализуемые КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 приведены в Табл.3.
Обозначения, использованные в Табл.3.
Ø черный цвет – формализованные требования к АС;
Ø подчеркнутым шрифтом отмечены дополнительные возможности КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003.
Таблица 3
Подсистемы и требования к защите информации
в АС, реализуемые КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003
|
Подсистемы и реализуемые требования |
«Панцирь-К» для ОС Windows 2000/XP/2003 |
|
Контроль доступа | |
|
1. Подсистема контроля доступа в систему: Ø Загрузка в штатном режиме Ø Загрузка в безопасном режиме (размешена только администратору) Ø Доступ при выходе из хранителя экрана Ø Доступ при смене пользователя Примечание. Реализовано подключение аппаратных средств хранения и ввода пароля: файловых устройств (Flash-устройство, дискета, CD-ROM диск), электронного ключа eToken. Ø Запрет повторного доступа в систему (сведение задачи к однопользовательской, многозадачной). В общем виде решается задача изоляции программных модулей – в системе всегда может быть зарегистрирован только один пользователь. |
+ + + + |
|
2. Подсистемы контроля доступа субъектов к объектам Примечания: 1. Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. 2. Должна быть реализована разрешительная политика доступа к ресурсам: «Все что не разрешено – явно не указано, то запрещено». 3. Права доступа задаются не для объектов, а назначаются субъектам – ключевое решение в части реализации индуктивной модели безопасности и упрощения администрирования |
|
|
2. 1. Подсистема контроля доступа к объектам файловой системы (дискам, папкам, файлам) на жестком диске и на любом внешнем носителе: Ø К локальным объектам Ø К разделенным в сети объектам: Ø К удаленному объекту Ø От удаленного пользователя |
+ + + |
|
2.2. Подсистема контроля доступа к системным объектам (в частности, запрет модификации системного диска) Ø Для прикладных пользователей Ø Для системных пользователей |
+ |
|
2.3. Подсистема контроля идентификации объекта файловой системы Ø По длинному имени Ø По короткому имени Ø По ID |
+ + |
|
2.4. Подсистема контроля идентификации субъекта доступа - контроль заимствования прав пользователями (контроль сервиса олицетворения) |
+ |
|
2.5. Подсистема контроля доступа к неразделяемым системой и приложениями файловым объекта |
+ |
|
2.6. Подсистема обеспечения замкнутости программной среды (контроль доступа к исполнению файлов) Ø Списком разрешенных к запуску процессов Ø Списком папок, из которых разрешен запуск процессов |
+ |
|
2.7. Подсистема контроля доступа к объектам реестра ОС (ветви, ключи реестра ОС) Ø Для прикладных пользователей Ø Для системных пользователей |
+ |
|
2.8. Подсистема контроля доступа к устройствам (к любой сущности, принимающей запрос на обслуживание: порты, внешние накопители, принтеры, контроллеры и т.д.): Ø К локальным устройствам Ø К разделенным в сети устройствам |
+ |
|
2.9. Подсистема контроля доступа к виртуальным каналам связи сети (к объектам, имеющим свой адрес в сети): Ø К удаленным объектам Ø От удаленных объектов |
+ |
|
2.10. Подсистема контроля доступа к настройкам механизмов защиты (доступ разрешен только администратору, сущность «Владелец» информации должна быть исключена из схемы администрирования как таковая) |
+ |
|
2.11. Подсистема доверительного контроля доступа к ресурсам. Для подсистем 2.1 – 2.10 права доступа могут назначаться и разграничиваться отдельно для субъекта «пользователь», отдельно для субъекта «процесс», комбинированно – «для пользователя, осуществляющего доступ процессом» |
+ |
|
Регистрация и учет Примечание. Регистрация и учет должны осуществляться подсистемами контроля доступа: |
|
|
1. Подсистемой контроля доступа в систему (1) В параметрах регистрации указываются: Ø дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; Ø результат попытки входа: успешная или неуспешная; Ø идентификатор субъекта, предъявленный при попытке доступа; Ø пароль, предъявленный субъектом при неуспешной попытке. |
+ |
|
2. Подсистемами контроля доступа субъектов к объектам (2) В параметрах регистрации указываются: Ø дата и время зарегистрированного события – доступ субъекта к объекту; Ø имя (идентификатор) пользователя, инициировавшего доступ к объекту (имя и эффективное имя пользователя); Ø имя (идентификатор) программы (процесса), инициировавшего доступ к объекту; Ø тип и идентификатор объекта, к которому инициирован доступ субъектом; Ø тип запрошенного субъектом доступа к объекту (чтение, запись, исполнение и т.д.); Ø - результат доступа (успешный, неуспешный – несанкционированный). |
|
|
3. Подсистемой контроля доступа к настройкам механизмов защиты (2.9), в части: Ø изменения полномочий субъектов доступа Ø создания защищаемых объектов доступа В параметрах регистрации указывается все по п.п.2 |
+ |
|
Сигнализация попыток нарушения защиты Ø Локально Ø Удаленно (на сервер безопасности) |
+ |
|
Криптографическая защита | |
|
1. Подсистема шифрования конфиденциальных данных «на лету» |
|
|
Ø Шифрование конфиденциальной информации (объектами могут служить логические диски, папки, файлы) на жестком диске и внешних носителях: · Локальные объекты · Разделенные в сети (удаленные) объекты (данные по каналу передаются в зашифрованном виде) Ø Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах (ключевая информация присваивается объекту) Ø Использование аттестованных (сертифицированных) криптографических средств (подключен криптопровайдер «Signal-COM CSP» Примечание. Реализовано подключение аппаратных средств хранения и ввода ключей шифровани: файловых устройств (Flash-устройство, дискета, CD-ROM диск), электронного ключа eToken. |
+ +
|
|
Очистка памяти | |
|
1. Подсистема очистки (обезличивания) освобождаемых областей оперативной памяти |
+ |
|
2. Подсистема очистки (обезличивания) освобождаемых областей накопителей (при удалении или модификации файла). Ø Файлов на локальных дисках и внешних носителях Ø Файлов на разделенных в сети дисках и внешних носителях |
+ |
|
Обеспечение целостности | |
|
1. Подсистема обеспечения корректности загрузки программных и информационных компонент ОС и СЗИ НСД (опционально, для наиболее критичных объектов, реализуется аппаратной компонентой СЗИ НСД) |
+ |
|
2. Подсистема обеспечения целостности (контроля и автоматического восстановления из резервной копии) программных и информационных компонент СЗИ НСД при загрузке системы |
+ |
|
3. Подсистема периодического контроля целостности программных и информационных компонент СЗИ НСД (с возможностью реакции на обнаруженное нарушение) |
+ |
|
4. Подсистема периодического контроля активности и корректности функционирования программных компонент СЗИ НСД (с возможностью реакции на обнаруженное нарушение) |
+ |
|
5. Подсистема контроля целостности файловых объектов: Ø Периодический контроль Ø Асинхронный контроль (по факту выявления несанкционированного события) |
+ |
|
6. Подсистема контроля целостности программ (исполняемых файлов) перед запуском |
+ |
|
7. Подсистема контроля санкционированности событий (противодействие ошибкам и закладкам в системном и прикладном ПО) |
+ |
|
8. Подсистема периодического контроля целостности объектов реестра ОС |
+ |
Реализация данных дополнительных возможностей позволяет говорить о реализации комплексной системы защиты информации (КСЗИ), обеспечивающей:
Ø Эффективную защиту информации от несанкционированного доступа (эффективная, т.к. возможности СЗИ НСД принципиально расширены);
Ø Криптографическую защиту информации - шифрование локальных и разделенных в сети файловых объектов (логических дисков, каталогов, файлов) на жестком диске и внешних носителях, с реализацией ключевой политики (в том числе и сетевой), не позволяющей несанкционированно раскрыть данные даже санкционированному пользователю, при наличии у него ключа шифрования, зашифрованных данных, и средства шифрования;
Ø Противодействие ошибкам и закладкам в системном и прикладном ПО (механизм контроля санкционированных событий);
Ø Антивирусное противодействие и противодействие шпионским программам, основанные на использовании механизмов контроля доступа к ресурсам (механизма обеспечение замкнутости программной среды и доверительного контроля доступа к ресурсам – контроля доступа процессов к ресурсам).
В заключение отметим, что в работе нами предлагается некий инструментарий (определяемый набором параметров, обязательных для реализации в СЗИ НСД) сравнительного анализа СЗИ НСД. При этом полное сравнение (с учетом дополнительных свойств) возможностей СЗИ НСД целесообразно лишь при условии, что альтернативными средствами в полном объеме выполняются формализованные требования (дополнительные возможности не должны быть реализованы за счет основных, если они не решают задачи последних).
Более подробную информацию о разработках компании можно получить на сайте: www.npp-itb.spb.ru, либо запросить интересующие сведения по системам защиты и условиям их поставки по электронной почте: info@npp-itb.spb.ru.
Автор - сотрудник ЗАО «НПП «Информационные технологии в бизнесе»
info@npp-itb.spb.ru
