Аудит
Класс C2 - вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой. Должна быть возможность регистрации следующих событий:
использование механизма идентификации и аутентификации;
внесение объектов в адресное пространство пользователя, например, открытие файла, запуск программы;
удаление объектов;
действия системных операторов, системных администраторов, администраторов безопасности;
другие события, затрагивающие информационную безопасность.
Каждая регистрационная запись должна включать следующие поля:
дата и время события;
идентификатор пользователя;
тип события;
результат действия (успех или неудача).
Для событий идентификации/аутентификации регистрируется также идентификатор устройства, например терминала. Для действий с объектами регистрируются имена объектов.
Системный администратор может выбирать набор регистрируемых событий для каждого пользователя.
Класс B1 - в дополнение к C2, должны регистрироваться операции выдачи на печать и ассоциированные внешние представления меток безопасности. При операциях с объектами, помимо имен, регистрируются их метки безопасности. Набор регистрируемых событий может различаться в зависимости от уровня секретности объектов.
Класс B2 - в дополнение к B1, должна быть возможность регистрировать события, связанные с организацией тайных каналов с памятью.
Класс B3 - в дополнение к B2, должна быть возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом.
Архитектура системы
Класс C1 - вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий, в частности от изменения команд и/или данных, и от попыток слежения за ходом работы. Ресурсы, контролируемые базой, могут составлять определенное подмножество всех субъектов и объектов системы.
Класс C2 - в дополнение к C1, вычислительная база должна изолировать защищаемые ресурсы в той мере, как это диктуется требованиями контроля доступа и подотчетности.
Класс B1 - в дополнение к C2, вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.
Класс B2 - в дополнение к B1, вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули. Вычислительная база должна эффективно использовать имеющееся оборудование для отделения элементов, критически важных с точки зрения защиты, от прочих компонентов системы. Модули базы должны проектироваться с учетом принципа минимизации привилегий. Для защиты логически раздельных хранимых объектов должны использоваться аппаратные средства, например сегментация. Должен быть полностью определен пользовательский интерфейс с вычислительной базой.
Класс B3 - в дополнение к B2, вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм. Этот механизм должен играть центральную роль во внутренней структуризации вычислительной базы и всей системы. База должна активно использовать разделение данных по уровням. Значительные инженерные усилия должны быть направлены на уменьшение сложности вычислительной базы и на вынесение из нее модулей, не являющихся критически важными с точки зрения защиты.
Целостность системы
Класс C1 - должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов вычислительной базы.
Анализ тайных каналов передачи информации
Класс B2 - системный архитектор должен тщательно проанализировать возможности по организации тайных каналов с памятью и оценить максимальную пропускную способность каждого выявленного канала.
Класс B3 - в дополнение к B2, аналогичная процедура должна быть проделана для временных каналов.
Класс A1 - в дополнение к B3, для анализа должны использоваться формальные методы.
Надежное администрирование
Класс B2 - система должна поддерживать разделение функций оператора и администратора.
Класс B3 - в дополнение к B2, должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий. Не относящиеся к защите действия администратора безопасности должны быть по возможности ограничены.
Надежное восстановление
Класс B3 - должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.
Тестирование
Класс C1 - защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты вычислительной базы.
Класс C2 - в дополнение к C1, тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Класс B1 - в дополнение к C2, группа специалистов, полностью понимающих конкретную реализацию вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию. Цель должна состоять в выявлении всех дефектов архитектуры и реализации, позволяющих субъекту без должной авторизации читать, изменять, удалять информацию или приводить базу в состояние, когда она перестает обслуживать запросы других субъектов. Все выявленные недостатки должны быть исправлены или нейтрализованы, после чего база подвергается повторному тестированию, чтобы убедиться в отсутствии прежних или приобретении новых недостатков.
Класс B2 - в дополнение к B1, должна быть продемонстрирована относительная устойчивость вычислительной базы к попыткам проникновения.
Класс B3 - в дополнение к B2, должна быть продемонстрирована устойчивость вычислительной базы к попыткам проникновения.
Класс A1 - в дополнение к B3, тестирование должно продемонстрировать, что реализация вычислительной базы соответствует формальным спецификациям верхнего уровня.
Основу тестирования средств защиты от проникновения в систему должно составлять наличие спецификаций на исходные тексты.
Верификация спецификаций архитектуры
Класс B1 - должна существовать неформальная или формальная модель политики безопасности, поддерживаемой вычислительной базой. Модель должна соответствовать основным посылкам политики безопасности на протяжении всего жизненного цикла системы.
Класс B2 - в дополнение к B1, модель политики безопасности должна быть формальной. Для вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс.
Класс B3 - в дополнение к B2, должны быть приведены убедительные аргументы соответствия между спецификациями и моделью.
Класс A1 - в дополнение к B3, помимо описательных должны быть представлены формальные спецификации верхнего уровня, относящиеся к аппаратным и/или микропрограммным элементам, составляющим интерфейс вычислительной базы. Комбинация формальных и неформальных методов должна подтвердить соответствие между спецификациями и моделью. Должны использоваться современные методы формальной спецификации и верификации систем, доступные Национальному центру компьютерной безопасности США.
Конфигурационное управление
Класс B2 - в процессе разработки и сопровождения вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль за изменениями в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации. Конфигурационное управление должно обеспечивать соответствие друг другу всех аспектов текущей версии вычислительной базы. Должны предоставляться средства генерации новых версий базы по исходным текстам и средства для сравнения версий, чтобы убедиться в том, что произведены только запланированные изменения.
Класс A1 - в дополнение к B2, механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности, включая спецификации и документацию. Для защиты эталонной копии материалов, использующихся для генерации надежной вычислительной базы, должна использоваться комбинация физических, административных и технических мер.
Надежное распространение
Класс A1 - должна поддерживаться целостность соответствия между эталонными данными, описывающими текущую версию вычислительной базы, и эталонной копией текстов этой версии. Должны существовать процедуры, подтверждающие соответствие между поставляемыми клиентам аппаратными и программными компонентами и эталонной копией.
Руководство пользователя по средствам безопасности
Класс C1 - отдельный фрагмент документации (глава, том) должен описывать защитные механизмы, предоставляемые вычислительной базой, и их взаимодействие между собой, содержать рекомендации по их использованию.
Руководство администратора по средствам безопасности
Класс C1 - руководство должно содержать сведения о функциях и привилегиях, которыми управляет системный администратор посредством механизмов безопасности.
Класс C2 - в дополнение к C1, должны описываться процедуры обработки регистрационной информации и управления файлами с такой информацией, а также структура записей для каждого типа регистрируемых событий.
Класс B1 - в дополнение к C2, руководство должно описывать функции оператора и администратора, затрагивающие безопасность, в том числе действия по изменению характеристик пользователей. Должны быть представлены рекомендации по согласованному и эффективному использованию средств безопасности, их взаимодействию друг с другом, по безопасной генерации новых версий вычислительной базы.
Класс B2 - в дополнение к B1, должны быть указаны модули вычислительной базы, содержащие механизмы проверки обращений. Должна быть описана процедура безопасной генерации новой версии базы после внесения изменений в исходные тексты.
Класс B3 - в дополнение к B2, должна быть описана процедура, обеспечивающая безопасность начального запуска системы и возобновления ее работы после сбоя.
Тестовая документация
Класс C1 - разработчик системы должен представить экспертному совету документ, содержащий план тестов, процедуры прогона тестов и результаты тестов.
Класс B2 - в дополнение к C1, тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.
Класс A1 - в дополнение к B2, должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами
.
Описание архитектуры
Класс C1 - должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации вычислительной базы. Если база состоит из нескольких модулей, должен быть описан интерфейс между ними.
Класс B1 - в дополнение к C1, должно быть представлено неформальное или формальное описание модели политики безопасности, проводимой в жизнь вычислительной базой. Необходимо наличие аргументов в пользу достаточности избранной модели для реализации политики безопасности. Должны быть описаны защитные механизмы базы и их место в модели.
Класс B2 - в дополнение к B1, модель политики безопасности должна быть формальной и доказательной. Должно быть показано, что описательные спецификации верхнего уровня точно отражают интерфейс вычислительной базы. Должно быть показано, как база реализует концепцию монитора обращений, почему она устойчива к попыткам отслеживания ее работы, почему ее нельзя обойти и почему она реализована корректно. Должна быть описана структура базы, чтобы облегчить ее тестирование и проверку соблюдения принципа минимизации привилегий. Документация должна содержать результаты анализа тайных каналов передачи информации и описание мер протоколирования, помогающих выявлять каналы с памятью.
Класс B3 - в дополнение к B2, должно быть неформально продемонстрировано соответствие между описательными спецификациями верхнего уровня и реализацией вычислительной базы.
Класс A1 - в дополнение к B3, должно быть неформально продемонстрировано соответствие между формальными спецификациями верхнего уровня и реализацией вычислительной базы.
Контрольные вопросы
Что понимается под безопасностью информационной системы?
Назовите основные аспекты информационной безопасности.
На какие группы можно разбить компоненты автоматизированной информационной системы?
Какие причины случайных воздействий при эксплуатации информационных систем?
Какими мотивами обусловлены действия нарушителя компьютерной системы?
Опишите гипотетическую модель потенциального нарушителя.
Проведите классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации.
Каким принципам должна соответствовать надежная система защиты?
На какие группы можно разбить аппаратно-программные средства защиты информации?
Какие типы информации можно выделить на основе которой осуществляются процедуры идентификации и аутентификации пользователя?
На какие классы делятся по способу функционирования системы шифрования?
Объясните понятие системы "прозрачного" шифрования.
Объясните понятие системы, специально вызываемые для осуществления шифрования.
Какие способы используются для распределения ключей между пользователями?
По каким критериям оценивается надежность систем?
Введение
Будем полагать, что пользователь локального сегмента КС использует ресурсы внешнего сегмента. Использование внешних ресурсов подразумевает существование потоков информации от объектов внешнего сегмента КС к ассоциированным объектам (в общем случае как функционально ассоциированным, так и к ассоциированным объектам-данным) субъектов локального сегмента и наоборот (причем данные потоки инициируются субъектами локального сегментами при управлении этими субъектами со стороны локальных пользователей), а также потоков от ассоциированных объектов субъектов внешнего сегмента к объектам локального сегмента (к которым могут относиться и потоки, инициируемые субъектами, управляемыми злоумышленником).
В данном случае можно говорить о внешнем злоумышленном воздействии. При этом необходимо учесть, что в подавляющем большинстве случаев локальный сегмент КС технически реализован на одном или нескольких связанных сегментах ЛВС и использует общее стандартизованное программное обеспечение в части коммуникации. Стандартной является операционная среда (среды) всей ЛВС.
Исходя из указанных положений, уточним положения модели воздействия на КС извне следующим образом. В едином пространстве объектов рассматриваемого локального сегмента КС (который соответствует, как правило, корпоративной сети организации) действует один или несколько субъектов (телекоммуникационных программных модулей) с возможностью внешнего управления. Внешнее управление реализуется возможностями телекоммуникационной программы по двунаправленной передаче данных по командам, исходящим от субъекта, принадлежащего внешнему сегменту КС. Под командами в данном случае понимается поток ассоциированных объектов внешнего субъекта к ассоциированным объектам локального телекоммуникационного субъекта, причем указанные ассоциированные объекты, измененные под воздействием потока от внешнего субъекта, существенно влияют на текущее состояние локального субъекта. При этом модули телекоммуникационного ПО, расположенные в локальном сегменте, имеют доступ к объектам этого сегмента как прочие локальные субъекты.
В чем состоит отличие от рассмотренных ранее положений реализации и гарантирования ПБ в КС? Отличие состоит в том, что, фактически, частью локальных субъектов управляет легальный пользователь, а частью – удаленный анонимный пользователь, который потенциально преследует злоумышленные цели.
Выделим пассивное воздействие, исходящее от субъектов внешней сети (чтение и транспортирование объектов локального сегмента во внешнюю сеть), и активное воздействие (модификация локальных объектов). Пассивное воздействие связанно с нарушением конфиденциальности корпоративной информации (компрометация), активное – с нарушением целостности.
Во множестве объектов можно выделить более ценные для злоумышленника – объекты, имеющие отношение к обеспечению локальной безопасности (например, для UNIX-систем, файл для аутентификации пользователей ect\password).
Активное воздействие может проявляться опосредованно, т.е. в принятых из внешней сети программных модулях могут находиться РПВ, либо специально интегрированные возможностями злоумышленных действий.
Отдельно выделим распространение разрушающих программных воздействий в интерпретируемых данных (активное воздействие). Сущность злоумышленного воздействия состоит в интеграции внутрь интерпретируемого объекта (обрабатываемого редакторами типа Word) операций, направленных на реплицирование (распространение) РПВ, либо на разрушение локальных данных. С другой стороны, можно рассмотреть и порождение субъекта в рамках локального сегмента КС, но инициированного внешним субъектом и из переданного извне объекта-источника. Программно-технически это механизмы удаленного запуска (REXEC) или удаленные вызовы процедур (Remote Procedure Call, RPC).
При проектировании защитных механизмов для локального сегмента КС представляется возможным двигаться по двум практически независимым направлениям – использовать локальные механизмы защиты (возможно, каким-либо образом скорректированные по отношению к описанной специфике угрозы) и синтезировать специализированные механизмы для защиты преимущественно от внешних угроз. Именно такого похода предлагается придерживаться ниже, выделяя методы проектирования локальных механизмов защиты, устойчивых к воздействию извне, и подход сетевой защиты, ориентированный на работу с интегральным потоком информации от внешней сети (внешнего сегмента КС).
В зарубежной литературе преобладает подход общей защиты локального сегмента (сформулированный вторым). Он характеризуется перенесением ответственности за защиту в локальном сегменте КС на уровень сетевого взаимодействия и реализуется технологией межсетевого экранирования (брандмауэр). Межсетевое экранирование – основной подход, предлагаемый в зарубежных системах, сопряженных с Internet. При этом анализируется поток информации сетевого уровня(Network), который обладает уникальной информацией, характеризующей отправителя и получателя пакета(адресом). Работа межсетевого экрана сводится к анализу последовательности пакетов (фильтрации) по некоторым априорно заданным критериям (при этом необходимо обратить внимание на необходимость двунаправленной фильтрации- для входящих и для исходящих пакетов).
В литературе описаны два основных подхода к процедуре фильтрации: пакетная фильтрация, или трансляция адресов(анализируется и /или преобразуется адресная часть пакетов), и фильтры прикладного уровня – ФПУ(в зарубежной литературе-proxy service или application proxy) ФПУ анализирует содержательную часть пакетов исходя из особенностей работы прикладных телекоммуникационных программ (приложений), которые порождают поток пакетов(обычно ФПУ ориентирован на распространение приложения типа FTP или Telenet).Для конкретной программы принципиально возможно по последовательности пакетов установить, к какому объекту обращается то или иное приложение(субъект).Однако в общем случае проблема установления факта доступа к объекту высокого уровня по информации низкого уровня иерархии для произвольного порождающего поток субъекта является практически неразрешимой. При этом ФПУ, будучи с точки зрения надежности фильтрации более надежным методом, тем не менее проигрывают в совместимости с приложениями (в смысле необеспечения корректной работы всех используемых в КС типов телекоммуникационных субъектов).
Описанные технические решения межсетевых экранов практически не поддаются осмыслению с точки зрения надёжностных характеристик защиты, т. е. не удается сделать ни детерминированных, ни вероятностных выводов о качестве фильтра. В связи с этим ниже вводится ряд уточняющих определений, описывающих процесс фильтрации с учетом логического уровня представления объектов, и доказывается ряд утверждений относительно гарантий работы экрана в рамках введенных понятий.
Предлагается рассматривать ситуацию, при которой на рабочих местах корпоративной ЛВС уже установлены средства защиты. Общепринятое исполнение программно- технических средств защиты предполагает реализацию политики безопасности с полным проецированием прав пользователя на права любого субъекта локального сегмента (т. е. если пользователю разрешён запуск какой- либо программы (т.е. произошла активация субъекта), то порожденный процесс обращается к объектам с правами инициировавшего его пользователя).Ниже будет показано, что такой подход некорректен для защиты при воздействии извне, поскольку доступ злоумышленника к локальным объектам через управляемый им телекоммуникационный модуль на локальном месте пользователя будет происходить с правами локального пользователя. Следовательно, политика безопасности при пользовании локальных механизмов защиты нуждается в некоторой конструктивной коррекции.
Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы.
Определим понятия локального и внешнего сегмента компьютерной системы (КС) в терминах понятий субъект и объект.
Определение 1. Локальный сегмент КС (ЛС КС) – подмножество субъектов и объектов КС, выделяемое по одному из следующих критериев:
- критерию группирования в одно множество всех субъектов с возможностью непосредственного управления субъектами (если такой возможностью обладает субъект);
- критерию локализации некоторого подмножества объектов и субъектов в рамках некоторой технической компоненты КС;- критерию присвоения объектам и субъектам ЛС КС некоторой информации, однозначно характеризующей субъект или объект (сетевой адрес ЛС КС).
Определение 2. Внешний сегмент КС – дополнение множества субъектов и объектов локального сегмента до всего множества субъектов и объектов КС.
Очевидно, что во внешнем сегменте могут быть выделены несколько локальных сегментов. Далее рассматривается один произвольно выделенный ЛС КС.
Непосредственное управление (один из критериев выделения ЛС КС) подразумевает возможность изменения состояния субъекта непосредственно через органы управления конкретной ЭВМ. На практике локальный сегмент включает в себя либо одну ЭВМ, либо сегмент ЛВС.
Удаленным субъектом называется субъект, принадлежащий множеству субъектов внешнего сегмента КС. Множества субъектов локального и внешнего сегмента не пересекаются.
Доступ удаленного субъекта к локальному объекту подразумевает организацию сложного потока от удаленного субъекта к ассоциированным объектам локального субъекта, т.е. фактически управление локальным субъектом со стороны удаленного субъекта. Целью удаленного злоумышленника (пользователя, управляющего удаленным субъектом) является организация потоков от локальных объектов, не принадлежащих множеству L (множество разрешенных потоков).
В случае разделения КС на локальный и внешний сегменты множество всех потоков можно разделить на четыре класса (поток между субъектом и объектом означает поток между ассоциированными объектами субъекта и объектов):
1. Потоки между локальными субъектами и локальными объектами.
2. Потоки между локальными субъектами и удаленными объектами.
3. Потоки между удаленными субъектами и локальными объектами.
4. Потоки между удаленными субъектами и удаленными объектами.
Четвертый класс описывает взаимодействие субъектов какого-либо локального сегмента, отличного от выделенного, либо удаленного относительно этого сегмента.
Третий класс описывает фактически взаимодействие между ассоциированными объектами субъектов локального сегмента и удаленными субъектами.
Второй класс также описывает потоки, которые могут реализоваться лишь через ассоциированные объекты удаленных субъектов.
Второй и третий класс по смыслу тождественны, поскольку выбор локального сегмента КС произволен.
Первый класс потоков не относится к сетевым средам, т.к. является локальным.
Рассмотрим потоки второго и третьего класса, т.е. потоки внешними субъектами и локальными объектами при обязательном участии в потоке локального субъекта.
В терминах потоков рассмотрим межсубъектное взаимодействие между удаленным субъектом X и локальным субъектом Si.
Целью данного взаимодействия является реализация потока между локальным объектом Oj и ассоциированным объектом Ox субъекта X, причем данный поток проходит через ассоциированные объекты локального объекта Si.
При реализации данного потока потенциально возможно порождение субъектом Si нового субъекта Si*:
Create(Si,Ov) -> Si*
Порождение данного субъекта может произойти из объекта-источника локального сегмента КС или внешнего сегмента КС.
Рассмотрим следующую упрощенную модель работы территориально распределенной КС, которая состоит их двух ЭВМ. Имеются две ЭВМ, соединенных каналом связи. На рассматриваемых ЭВМ установлено телекоммуникационное ПО (ТПО), обеспечивающее совметсную работу прикладных программ и аппаратуры передачи данных(модемов) для обмена информацией по каналу связи. Отметим, что передаваемая информация представляется в различных частях Кс на различных уровнях (файлы, пакеты и т.д.). Очевидно, что в телекоммуникационном ПО обеих ЭВМ имеется возможность чтения/записи на внешние носители прямого доступа, управляемая посылками из канала связи. Запись происходит происходит с участием собственно телекоммуникационного ПО либо прикладной программы принимающей станции. Кроме того, всегда существует возможность записи в оперативную память принимающей ЭВМ (буферизация). Буферизации могут подвергаться команды управления, поступающие от пердающей ЭВМ, либо передаваемые данные.
Злоумышленником полагаем в данном случае лицом, которое имеет доступ к каналу связи и располагает идентичным по отношению к передающей ЭВМ комплексом программных и аппаратных средств. Гаким образом, работу злоумышленника можно представить как работу либо передающей ЭВМ, либо принимающей, производящей посылку (или прием) на принимающую ЭВМ управляющей и содержательной информации. Обычно говорят о том, что на атакуемой ЭВМ работает некий программный продукт(субъект), который называется телекоммуникационным субъектом.
Злоумышленные действия в рассматриваемом случае возможны двух видов:
- пассивное воздействие, связанное с чтением данных с атакуемой ЭВМ и их траспотировкой на ЭВМ злоумышленника (воздействие инициировано с активной ЭВМ);
- активное воздействие, связанное с навязыванием данных (новых файлов) и модификацией уже существующих.
Обобщим данную модель и сформулируем ее на языке потоков.Введем следующие обозначения:
X - субъект внешнего сегмента КС, который инициирует поток через Si;
Si - телекоммуникационный субъект, принадлежащий подмножеству субъектов локального сегмента КС;
Oj - объект локального сегмента КС;
Si* - субъект локального сегмента, порожденный субъектом Si;
Ok - ассоциированный объект субъекта Si.
Обозначим потоки от ассоциированного объекта Ox субъекта X к ассоциированному объекту Ok субъекта Si и наоборот Stream(X,Ox) -> Ok и Stream(X,Ok) -> Ox. Предположим также, что свойства субъекта Si таковы, что возможно существование потоков вида
Stream (S,Oj) -> Ok и Stream(Si,Ok) -. Oj. По свойству транзитивности потоков имеет место доступ субъекта к объекту Oj через субъект Si.
Дата добавления: 2015-08-27; просмотров: 123 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |