Название: Проектирование экономических информационных систем - Смирнова Г. Н.

Жанр: Информатика

Рейтинг:

Просмотров: 794


Глава 10

ПРОЕКТИРОВАНИЕ ПРОЦЕССОВ ЗАЩИТЫ ДАННЫХ

 

10.1

Основные понятия

и методы защиты данных

Интерес к вопросам защиты информации в последнее время вырос, что связывают с возрастанием роли информационных ре­сурсов в конкурентной борьбе, расширением использования се­тей, а следовательно, и возможностью несанкционированного до­ступа к хранимой и передаваемой информации. Развитие средств, методов и форм автоматизации процессов хранения и обработки информации и массовое применение персональных компьютеров делают информацию гораздо более уязвимой. Информация, цир­кулирующая в них, может быть незаконно изменена, похищена или уничтожена. Основными факторами, способствующими по­вышению ее уязвимости, являются следующие:

увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

сосредоточение в единых базах данных информации различного назначения и принадлежности;

расширение круга пользователей, имеющих непосредственный доступ к ресурсам вычислительной системы и информацион­ной базы;

усложнение режимов работы технических средств вычисли­тельных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени;

автоматизация межмашинного обмена информацией, в том числе на больших расстояниях.

Поэтому основной проблемой, которую должны решить про­ектировщики при создании системы защиты данных в ИБ, явля­етсяпроблема обеспечения безопасности хранимых данных, пре­дусматривающая разработку системы мер обеспечения безопас­ности, направленных на предотвращение несанкционированного получения информации, физического уничтожения или модифи­кации защищаемой информации. Вопросы разработки способов и методов защиты данных в информационной базе являются толь­ко частью проблемы проектирования системы защиты в ЭИС и в настоящее время получили большую актуальность. Этим вопро­сам посвящено много работ, но наиболее полно и системно они изложены в работах [2,12,38,41,59,68].

Чтобы разработать систему защиты, необходимо прежде все­го определить, что такое «угроза безопасности информации», вы­явить возможные каналы утечки информации и пути несанкцио­нированного доступа к защищаемым данным. В литературе пред­ложены различные определения угрозы в зависимости от ее специфики, среды проявления, результата ее воздействия, при­носимого ею ущерба и т. д. Так, в работе [2 ] под угрозой понима­ется целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой в системе информа­ции и приводит к ее случайному или предумышленному измене­нию или уничтожению.

В работе [12 ] предлагается под «угрозой безопасности ин­формации» понимать «действие или событие, которое может при­вести к разрушению, искажению или несанкционированному ис­пользованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также про­граммные и обрабатываемые средства».

Случайные угрозы включают в себя ошибки, пропуски и т. д., а также события, не зависящие от человека, например природ­ные бедствия. Бедствия бывают природными или вызванными деятельностью. Меры защиты от них в основном организацион­ные. К ошибкам аппаратных и программных средств относятся повреждения компьютеров и периферийных устройств (дисков, лент и т. д.), ошибки в прикладных программах и др.

К ошибкам по невниманию, довольно часто возникающим во время технологического цикла обработки, передачи или хране­ния данных, относятся ошибки оператора или программиста, вмешательство во время выполнения тестовых программ, повреж­дение носителей информации и др.

Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т. д.), так и люди, внешние по отношению к системе, так называемые «хакеры».

Авторы на примере практической деятельности коммерчес­ких банков перечисляют основные виды угроз безопасности храни­мой информации, к которым они относят:

копирование и кражу программного обеспечения;

несанкционированный ввод данных;

изменение или уничтожение данных на магнитных носителях;

саботаж;

кражу информации;

раскрытие конфиденциальной информации, используя несан­кционированный доступ к базам данных, прослушивание ка­налов и т.п.;

компрометацию информации посредством внесения несанк­ционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо пред­принимать дополнительные усилия для выявления изменений и восстановления истинных сведений;

несанкционированное использование информационных ресур­сов, которое может нанести определенный ущерб, и этот ущерб может варьироваться от сокращения поступления фи­нансовых средств до полного выхода ЭИС из строя;

ошибочное использование информационных ресурсов, кото­рое может привести к их разрушению, раскрытию или комп­рометации, что является следствием ошибок, имеющихся в программном обеспечении ЭИС;

несанкционированный обмен информацией между абонента­ми, который может привести к получению одним из них све­дений, доступ к которым ему запрещен, что по своим послед­ствиям равносильно раскрытию содержания хранимой инфор­мации;

отказ в обслуживании, представляющий собой угрозу, источ­ником которой может являться ЭИС, особенно опасен в ситу­ациях, когда задержка с предоставлением информацион­ных ресурсов, необходимых для принятия решения, может стать причиной нерациональных действий руководителей предприятия.

Под несанкционированным доступом понимается нарушение установленных правил разграничения доступа, последовавшее в результате случайных или преднамеренных действий пользова­телей или других субъектов системы разграничения, являющейся составной частью системы защиты информации. Субъекты, со­вершившие несанкционированный доступ к информации, назы­ваются нарушителями. Нарушителем может быть любой человек из следующих категорий: штатные пользователи ЭИС; сотруд­ники-программисты, сопровождающие системное, общее и при­кладное программное обеспечение системы; обслуживающий пер­сонал (инженеры); другие сотрудники, имеющие санкционирован­ный доступ к ЭИС.

С точки зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабаты­ваемой конфиденциальной информации, а также ее искажение или разрушение в результате умышленного разрушения работоспо­собности ЭИС.

Под каналом несанкционированного доступа к информации понимается последовательность действий лиц и выполняемых ими технологических процедур, которые либо выполняются несанк­ционированно, либо обрабатываются неправильно в результате ошибок персонала или сбоя оборудования, приводящих к несан­кционированному доступу. Действия нарушителя можно разде­лить на четыре основные категории.

Прерывание - прекращение нормальной обработки инфор­мации, например, вследствие разрушения вычислительных средств. Отметим, что прерывание может иметь серьезные послед­ствия даже в том случае, когда сама информация никаким воз­действиям не подвергается.

Кража, или раскрытие, - чтение или копирование инфор­мации с целью получения данных, которые могут быть исполь­зованы либо злоумышленником, либо третьей стороной.

Видоизменение информации.

Разрушение - необратимое изменение информации, напри­мер стирание данных с диска.

К основным способам несанкционированного получения информации, сформулированным по данным зарубежной печа­ти, относят:

применение подслушивающих устройств (закладок);

дистанционное фотографирование;

перехват электронных излучений;

принудительное электромагнитное облучение (подсветка) ли­ний связи с целью осуществления паразитной модуляции не­сущей;

мистификация (маскировка под запросы системы);

перехват акустических излучений и восстановление текста принтера;

хищение носителей информации и производственных отходов;

считывание данных из массивов других пользователей;

чтение остаточной информации из памяти системы после вы­полнения санкционированных запросов;

копирование носителей информации с преодолением мер за­щиты;

маскировка под зарегистрированного пользователя;

использование программных ловушек;

незаконное подключение к аппаратуре и линиям связи;

вывод из строя механизмов защиты.

Для обеспечения защиты хранимых данных используется не­сколько методов и механизмов их реализации. В литературе вы­деляют следующие способы защиты:

физические (препятствие);

законодательные;

управление доступом;

криптографическое закрытие.

Физические способы защиты основаны на создании физичес­ких препятствий для злоумышленника, преграждающих ему путь к защищаемой информации (строгая система пропуска на терри­торию и в помещения с аппаратурой или с носителями информа­ции). Эти способы дают защиту только от «внешних» злоумыш­ленников и не защищают информацию от тех лиц, которые обла­дают правом входа в помещение.

Законодательные средства защиты составляют законодатель­ные акты, которые регламентируют правила использования и обработки информации ограниченного доступа и устанавлива­ют меры ответственности за нарушение этих правил.

Управление доступом представляет способ защиты информа­ции путем регулирования доступа ко всем ресурсам системы (тех­ническим, программным, элементам баз данных). В автоматизи­рованных системах для информационного обеспечения должны быть регламентированы порядок работы пользователей и персо­нала, право доступа к отдельным файлам в базах данных и т. д. Управление доступом предусматривает следующие функции защиты:

идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификато­ра: имени, кода, пароля и т.п.);

аутентификацию - опознание (установление подлинности) объекта или субъекта по предъявляемому им идентифика­тору;

авторизацию - проверку полномочий (проверку соответствия дня недели, времени суток, запрашиваемых ресурсов и про­цедур установленному регламенту);

разрешение и создание условий работы в пределах установлен­ного регламента;

регистрацию (протоколирование) обращений к защищаемым ресурсам;

реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных дей­ствий.

Самым распространенным методом установления подлинно­сти является метод паролей. Пароль представляет собой сгроку символов, которую пользователь должен ввести в систему каким-либо способом (напечатать, набрать на клавиатуре и т. п.). Если «веденный пароль соответствует хранящемуся в памяти, то пользователь получает доступ ко всей информации, защищенной >тим паролем. Пароль можно использовать и независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д. Используют различные виды паролей.

/. Простой пароль. Пользователь вводит такой пароль с клавиатуры после запроса, а компьютерная программа (или специальная микросхема) кодирует его и сравнивает с хранящимся в памяти эталоном. Преимущество простого пароля в том, что его не нужно записывать, а недостаток - в относительной легкости снятия защиты. Простой пароль рекомендуется использовать для защиты данных небольшого значения и стоимости.

2. Пароль однократного использования. Пользователю выдается список из N паролей, которые хранятся в памяти ком­пьютера в зашифрованном виде. После использования пароль стирается из памяти и вычеркивается из списка, так что перехват пароля теряет смысл. Такой пароль обеспечивает более высо­кую степень безопасности, но более сложен. Имеет он и другие недостатки. Во-первых, необходимо где-то хранить список паролей, так как запомнить его практически невозможно, а в случае ошибки в процессе передачи пользователь оказывается в затруднительном положении: он не знает, следует ли ему снова передать тот же самый пароль или послать следующий. Во-вторых, возникают чисто организационные трудности: список может занимать много места в памяти, его необходимо постоян­но изменять и т. д.

Пароль на основе выборки символов. Пользователь выводи і из пароля отдельные символы, позиции которых задаются і помощью преобразования случайных чисел или генератор.! псевдослучайных чисел. Очевидно, пароль следует менять доста точно часто, поскольку постороннее лицо может в конце концом составить пароль из отдельных символов.

Метод «запрос-ответ». Пользователь должен дать правит» ные ответы на набор вопросов, хранящихся в памяти компьютера и управляемых операционной системой. Иногда пользователи" задается много вопросов, и он может сам выбрать те из них, на которые он хочет ответить. Достоинство этого метода состоит » том, что пользователь может выбрать вопросы, а это дает весьма высокую степень безопасности в процессе включения в работу.

Пароль на основе алгоритма. Пароль определяется на осно­ве алгоритма, который хранится в памяти компьютера и извес­тен пользователю. Система выводит на экран случайное число, а пользователь, с одной стороны, и компьютер - с другой, на его основе вычисляют по известному алгоритму пароль. Такой тип пароля обеспечивает более высокую степень безопасности, чем многие другие типы, но более сложен и требует дополнительных затрат времени пользователя.

Пароль на основе персонального физического ключа. В памяти компьютера хранится таблица паролей, где они записаны как в зашифрованном, так и в открытом виде. Лицам, допущенным к работе в системе, выдается специальная магнитная карточка, на которую занесена информация, управляющая процессом шифро­вания. Пользователь дожен вставить карточку в считывающее устройство и ввести свой пароль в открытом виде. Введенный пароль кодируется с использованием информации, записанной на карточке, и ищется соответствующая точка входа в таблицу паролей. Если закодированный пароль соответствует хранящемуся эталону, подлинность пользователя считается установленной. Для такого типа пароля существует угроза того, что на основе анализа пары «шифрованный пароль - открытый пароль» злоумышленник сможет определить алгоритм кодирования. Поэтому рекоменду­ется применять стойкие схемы шифрования.

Парольная защита широко применяется в системах защиты информации и характеризуется простотой и дешевизной реали­зации, малыми затратами машинного времени, не требует боль­ших объемов памяти. Однако парольная защита часто не дает дос­таточного эффекта по следующим причинам.

Обычно задают слишком длинные пароли. Будучи не в состоянии запомнить пароль, пользователь записывает его на клочке бумаги, в записной книжке и т. п., что сразу делает пароль уязвимым.

Пользователи склонны к выбору тривиальных паролей, которые можно подобрать после небольшого числа попыток.

Процесс ввода пароля в систему поддается наблюдению даже в том случае, когда вводимые символы не отображаются на экране.

Таблица паролей, которая входит обычно в состав програм­много обеспечения операционной системы, может быть изменена, что нередко и происходит. Поэтому таблица паролей должна быть закодирована, а ключ алгоритма декодирования должен нахо­диться только у лица, отвечающего за безопасность информации.

В систему может быть внесен «троянский конь», перехва­рывающий вводимые пароли и записывающий их в отдельный файл, поэтому при работе с новыми программными продуктами необходима большая осторожность.

При работе с паролями рекомендуется применение следующих правил и мер предосторожности:

не печатать пароли и не выводить их на экран;

часто менять пароли - чем дольше используется один и тот же пароль, тем больше вероятность его раскрытия;

каждый пользователь должен хранить свой пароль и не позволять посторонним узнать его;

всегда зашифровывать пароли и обеспечивать их защиту недорогими и эффективными средствами;

правильно выбирать длину пароля (чем она больше, тем более высокую степень безопасности будет обеспечивать система), так как труднее будет отгадать пароль.

Основным методом защиты информации от несанкциониро­ванного доступа является метод обеспечения разграничения функ­циональных полномочий и доступа к информации, направленный на предотвращение не только возможности потенциального на­рушителя «читать» хранящуюся в ПЭВМ информацию, но и воз­можности нарушителя модифицировать ее штатными и нештат­ными средствами.

Требования по защите информации от несанкционированно­го доступа направлены на достижение (в определенном сочета­нии) трех основных свойств защищаемой информации:

конфиденциальность (засекреченная информация должш быть доступна только тому, кому она предназначена);

целостность (информация, на основе которой принимаюто важные решения, должна быть достоверной и точной и долЖ' на быть защищена от возможных непреднамеренных и зло< умышленных искажений);

готовность (информация и соответствующие информациои ные службы должны быть доступны, готовы к обслуживаню всегда, когда в этом возникает необходимость).

Вторым методом, дополняющим основной, является разра ботка процедуры контроля доступа к данным, которая призвані для решения двух задач:

сделать невозможным обход системы разграничения доступа действиями, находящимися в рамках выбранной модели;

гарантировать идентификацию пользователя, осуществляю­щего доступ к данным.

Одним из основных методов увеличения безопасности ЭИС яв­ляется регистрация пользователей и всех их действий, для чего не­обходимо разработать «Систему регистрации и учета», ответствен­ную за ведение регистрационного журнала, которая позволяет про­следить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В «Регистрационном жур­нале» фиксируются все осуществленные и неосуществленные по­пытки доступа к данным или программам и ведется список всех контролируемых запросов, осуществляемых пользователями сис­темы.

Одним из потенциальных каналов несанкционированного доступа к информации является несанкционированное изменение прикладных и специальных программ нарушителем с целью по­лучения конфиденциальной информации. Эти нарушения могут преследовать цель - изменение правил разграничения доступа или обхода их (при внедрении в прикладные программы системы за­щиты) либо организацию незаметного канала получения конфи­денциальной информации непосредственно из прикладных про­грамм (при внедрении в прикладные программы). Например, в работе [68] приводятся следующие виды вредительских программ

1. Лазейки (trapdoors). Лазейка представляет собой точку вхо­да в программу, благодаря чему открывается непосредственный доступ к некоторым системным функциям. Лазейки обычно встав­ляют во время проектирования системы. Системные программи-

 

і гы организуют их при отладке программы, но по завершении ее разработки их надо устранить. Обнаружить лазейки можно пу-I ем анализа работы программ.

Логические бомбы (logic bombs). Логическая бомба - это компьютерная программа, которая приводит к повреждению файлов или компьютеров. Повреждение варьируется от искаже­ния данных до полного стирания всех файлов и/или поврежде­ния компьютера. Логическую бомбу, как правило, вставляют во время разработки программы, а срабатывает она при выполне­нии некоторого условия (время, дата, кодовое слово).

Троянские кони (trojan horses). «Троянский конь» - это про­грамма, которая приводит к неожиданным (и обычно нежелатель­ным) последствиям в системе. Особенностью троянского коня является то, что пользователь обращается к этой программе, счи­тая ее полезной. «Троянские кони» способны раскрыть, изменить или уничтожить данные или файлы. Их встраивают в програм­мы широкого пользования, например в программы обслужива­ния сети, электронной почты и др. Антивирусные средства не обнаруживают эти программы, но системы управления доступом в больших компьютерах обладают механизмами идентификации и ограничения их действия. В «Оранжевой книге» Национально­го центра защиты компьютеров США ведется постоянно обнов­ляемый список известных программ этого рода.

Червяки (worms). Червяк - это программа, которая распро­страняется в системах и сетях по линиям связи. Такие программы подобны вирусам в том отношении, что они заражают другие программы, а отличаются от них тем, что они не способны само­воспроизводиться. В отличие от троянского коня червяк входит в систему без ведома пользователя и копирует себя на рабочих станциях сети.

Бактерии (bacteria). Этот термин вошел в употребление недавно и обозначает программу, которая делает копии самой себя и становится паразитом, перегружая память и процессор.

Вирусы (viruses). Определения вируса весьма разнообраз­ны, как и сами вирусы. Утвердилось определение доктора Фре­дерика Коуэна (Frederick Cohen): «Компьютерный вирус - это программа, которая способна заражать другие программы, мо­дифицируя их так, чтобы они включали в себя копию вируса (или его разновидность)». Объектами вируса являются: оцерационная система, системные файлы, секторы начальной загрузки дисков, командный файл, таблица размещения файлов (FAT), файлы типа

, 5-2639

225

 

СОМ или EXE, файл CONFIG.SYS. В зависимости от области распространения и воздействия вирусы делятся на разрушитель­ные и неразрушительные, резидентные и нерезидентные, заража­ющие сектор начальной загрузки, системные файлы, прикладные программы и др.

К числу методов противодействия этому относится метод контроля целостности базового программного обеспечения специ­альными программами. Однако этот метод недостаточен, по­скольку предполагает, что программы контроля целостности не могут быть подвергнуты модификации нарушителем.

Надежность защиты может быть обеспечена правильным под­бором основных механизмов защиты, некоторые из них рассмот­рим ниже.

Механизм регламентации, основанный на использовании ме­тода защиты информации, создает такие условия автоматизиро­ванной обработки, хранения и передачи защищаемой информа­ции, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Механизм аутентификации. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодей­ствующих объектов проверяет подлинность другого, тогда как во втором случае проверка является взаимной.

Криптографические методы защиты информации. Эти мето­ды защиты широко применяются за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. Для реализации мер безопасности используются различные способы шифрования (криптографии), суть которых заключается в том, что данные, отправляемые на хранение, или сообщения, готовые для передачи, зашифровываются и тем самым преобразуются в шифрограмму или закрытый текст. Санкционированный пользо­ватель получает данные или сообщение, дешифрует их или рас­крывает посредством обратного преобразования криптограммы, в результате чего получается исходный открытый текст. Методу преобразования в криптографической системе соответствует ис­пользование специального алгоритма. Действие такого алгорит­ма запускается уникальным числом (или битовой последователь­ностью), обычно называемым шифрующим ключом.

В современной криптографии существуют два типа крипто­графических алгоритмов:

1) классические алгоритмы, основанные на использовании закрытых, секретных ключей (симметричные);

 

2) алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключ (асимметричные). В на­стоящее время находят широкое практическое применение в сред­ствах защиты электронной информации алгоритмы с секретным ключом.

Рассмотрим кратко особенности их построения и применения.

/. Симметричное шифрование, применяемое в классической криптографии, предполагает использование одной секретной единицы - ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрова­ния данных, хранимых на магнитных или иных носителях инфор­мации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него. Секретные ключи представляют собой основу криптографических преобразований, для которых, следуя правилу Керкхофа, стойкость хорошей шиф­ровальной системы определяется лишь секретностью ключа.

Все многообразие существующих криптографических мето­дов специалисты сводят к следующим классам преобразований.

Моно- и многоалфавитные подстановки - наиболее простой вид преобразований, заключающийся в замене символов исход­ного текста на другие (того же алфавита) по более или менее слож­ному правилу. Для обеспечения высокой криптостойкости тре­буется использование больших ключей.

Перестановки - несложный метод криптографического пре­образования, используемый, как правило, в сочетании с другими методами.

Гаммирование - метод, который заключается в наложении на открытые данные некоторой псевдослучайной последовательно­сти, генерируемой на основе ключа.

Блочные шифры - представляют собой последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемую к блоку (части) шифруемого тек­ста. Блочные шифры на практике встречаются чаще, чем чистые преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шиф­рования основаны именно на этом классе шифров.

Самым простым способом шифрования является способ, ко­торый заключается в генерации гаммы шифра с помощью гене­ратора псевдослучайных чисел при определенном ключе и нало­жении полученной гаммы на открытые данные обратимым спо-

15*

227

 

собом. Под гаммой шифра понимается псевдослучайная двоич­ная последовательность, вырабатываемая по заданному алгорит­му, для шифрования открытых данных и расшифровывания за­шифрованных данных.

Для генерации гаммы применяют программы для ЭВМ, ко­торые называются генераторами случайных чисел. При этом тре­буется, чтобы, даже зная закон формирования, но не зная ключа в виде начальных условий, никто не смог бы отличить числовой ряд от случайного.

В работе [47] формулируются три основных требования к крип­тографически стойкому генератору псевдослучайной последова­тельности или гамме.

Период гаммы должен быть достаточно большим для шиф­рования сообщений различной длины.

Гамма должна быть труднопредсказуемой. Это значит, что если известны тип генератора и кусок гаммы, то невозможно пред­сказать следующий за этим куском бит гаммы с вероятностью выше х. Если криптоаналитику станет известна какая-то часть гаммы, он все же не сможет определить биты, предшествующие ей или следующие за ней.

Генерирование гаммы не должно быть связано с больши­ми техническими и организационными трудностями.

Таким образом, стойкость шифрования с помощью генера­тора псевдослучайных чисел зависит как от характеристик гене­ратора, так и - причем в большей степени - от алгоритма получе­ния гаммы.

Процесс расшифровывания данных сводится к повторной ге­нерации гаммы шифра при известном ключе и наложению такой гаммы на зашифрованные данные. Этот метод криптографичес­кой защиты реализуется достаточно легко и обеспечивает доволь­но высокую скорость шифрования, однако недостаточно стоек к дешифрованию и поэтому неприменим для серьезных информа­ционных систем.

Сегодня реализовано довольно много различных алгоритмов криптографической защиты информации. Среди них можно на­звать алгоритмы DES, Rainbow (США); FEAL-4 и FEAL-8 (Япо­ния); B-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147-89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты. Рассмотрим алгоритмы, наиболее широко при­меняемые в зарубежной и отечественной практике.

Алгоритм, изложенный в стандарте DES (Data Encryption Standard), принят в качестве федерального стандарта в 1977 г., наиболее распространен и широко применяется для шифрования данных в США. Этот алгоритм был разработан фирмой IBM для собственных целей. Однако после проверки Агентством Нацио­нальной Безопасности (АНБ) США он был рекомендован к при­менению в качестве федерального стандарта шифрования. Этот стандарт используется многими негосударственными финансо­выми институтами, в том числе банками и службами обращения денег. Алгоритм DES не является закрытым и был опубликован для широкого ознакомления, что позволяет пользователям сво­бодно применять его для своих целей.

При шифровании применяется 64-разрядный ключ. Для шиф­рования используются только 56 разрядов ключа, а остальные восемь разрядов являются контрольными. Алгоритм DES доста­точно надежен. Он обладает большой гибкостью при реализации различных приложений обработки данных, так как каждый блок данных шифруется независимо от других. Это позволяет расшиф­ровывать отдельные блоки зашифрованных сообщений или струк­туры данных, а следовательно, открывает возможность незави­симой передачи блоков данных или произвольного доступа к за­шифрованным данным. Алгоритм может реализовываться как программным, так и аппаратным способом. Существенный не­достаток этого алгоритма - малая длина ключа.

В настоящее время близится к завершению разработка ново­го американского стандарта шифрования AES (aes.nist.gov). На­циональный институт стандартов и технологий США (NIST) объявил о соответствующем конкурсе, предъявив следующие ус­ловия: длина ключа должна составлять 128,192 или 256 бит, дли­на блоков данных - 128 бит. Кроме того, новый алгоритм дол­жен работать быстрее DES.

Алгоритм шифрования, определяемый российским стандартом ГОСТ 28.147-89 «Системы обработки информации. Защита крип­тографическая. Алгоритм криптографического преобразования», является единым алгоритмом криптографической защиты данных для крупных информационных систем, локальных вычислитель­ных сетей и автономных компьютеров. Этот алгоритм может реа­лизовываться как аппаратным, так и программным способом, удовлетворяет всем криптографическим требованиям, сложив­шимся в мировой практике, и, как следствие, позволяет осуществ­лять криптографическую защиту любой информации независимо от степени ее секретности.

В алгоритме ГОСТ 28.147 - 89 в отличие от алгоритма DES используется 256-разрядный ключ, представляемый в виде вось­ми 32-разрядных чисел. Расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы. Алгоритм ГОСТ 28.147 - 89 полностью удовлетворяет всем тре­бованиям криптографии и обладает теми же достоинствами, что и другие алгоритмы (например, DES), но лишен их недостатков. Он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. Крупный недоста­ток этого алгоритма - большая сложность его программной реа­лизации и низкая скорость работы.

Из алгоритмов шифрования, разработанных в последнее вре­мя, большой интерес представляет алгоритм RC6 фирмы RSA Data Security. Этот алгоритм обладает следующими свойствами:

адаптивностью для аппаратных средств и программного обес­печения, что означает использование в нем только примитив­ных вычислительных операций, обычно присутствующих на типичных микропроцессорах;

быстротой, т.е. в базисных вычислительных операциях опе­раторы работают на полных словах данных;

адаптивностью на процессоры различных длин слова. Число w бит в слове - параметр алгоритма;

наличием параметра, отвечающего за «степень перемешива­ния», т.е. число раундов (итераций до 255). Пользователь мо­жет явно выбирать между более высоким быстродействием и более высоким перемешиванием;

низким требованием к памяти, что позволяет реализовывать алгоритм на устройствах с ограниченной памятью;

использованием циклических сдвигов, зависимых от данных, с переменным числом;

простотой и легкостью выполнения.

Алгоритм RC6 работает на четырех модулях w-бит слов и использует только четыре примитивных операции (и их инвер­сии), длина ключа до 2040 бит (255 байт). Алгоритм открыт для публикаций и полностью документирован, т.е. процедуры шиф­рования и расшифровывания «прозрачны» для пользователя.

2. Алгоритмы с обратным ключом. Асимметричные алгорит­мы шифрования. Эти алгоритмы, называемые также системами с открытым ключом, являются перспективными системами крип­тографической защиты. Их суть состоит в том, что ключ, исполь­зуемый для шифрования, отличен от ключа расшифровывания.

При этом ключ шифрования не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помо­щью известного ключа шифрования невозможно. Для расшиф­ровывания используется специальный секретный ключ. При этом знание открытого ключа не позволяет определить ключ секрет­ный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.

Суть криптографических систем с открытым ключом сводит­ся к тому, что в них используются так называемые необратимые функции (иногда их называют односторонними или однонаправ­ленными), которые характеризуются следующим свойством: для данного исходного значения с помощью некоторой известной функции довольно легко вычислить результат, но рассчитать по этому результату исходное значение чрезвычайно сложно.

Известно несколько криптосистем с открытым ключом, на­пример схема Т. Эль-Гамаля (Т. El Gamal), в которой использу­ется идея криптосистемы, предложенная У. Диффи (W. Diffie) и М. Э. Хеллманом (М. Е. Hellman), криптосистема RSA и др.

Наиболее разработана система RSA, предложенная в 1978 г. Алгоритм RSA назван по первым буквам фамилий его авторов: Р. Л. Райвеста (R. L. Rivest), А. Шамира (A. Shamir) и Л. Адлема-на (L. Adleman). RSA - это система коллективного пользования, в которой каждый из пользователей имеет свои ключи шифрова­ния и расшифровывания данных, причем секретен только ключ расшифровывания.

Специалисты считают, что системы с открытым ключом боль­ше подходят для шифрования передаваемых данных, чем для за­щиты данных, хранимых на носителях информации. Существует еще одна область применения этого алгоритма - цифровые под­писи, подтверждающие подлинность передаваемых документов и сообщений.

Асимметричные криптосистемы считаются перспективными, так как в них не используется передача ключей другим пользова­телям и они легко реализуются как аппаратным, так и програм­мным способом.

Однако системы типа RSA имеют свои недостатки. Они ра­ботают значительно медленнее, чем классические, и требуют дли­ны ключа порядка 300 - 600 бит. Поэтому все их достоинства могут быть сведены на нет низкой скоростью их работы. Кроме того, для ряда функций уже найдены алгоритмы инвертирова­ния, т.е. доказано, что они не являются необратимыми. Для фун­кций, используемых в системе RSA, такие алгоритмы не найде­ны, но нет и строгого доказательства необратимости используе­мых функций.

Проектируемая надежная криптографическая система долж­на удовлетворять таким требованиям:

процедуры шифрования и расшифровывания должны быть «прозрачны» для пользователя;

дешифрование закрытой информации должно быть макси­мально затруднено;

содержание передаваемой информации не должно сказывать­ся на эффективности криптографического алгоритма;

•           надежность криптозащиты не должна зависеть от содержания в секрете самого алгоритма шифрования (примерами этого являются как алгоритм DES, так и алгоритм ГОСТ 28.147 — 89). Стойкость любой системы закрытой связи определяется сте­пенью секретности используемого в ней ключа. Криптографичес­кие системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом.

Механизм обеспечения целостности данных применяется как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостнос­ти потока. Целостность блока обеспечивается выполнением вза­имосвязанных процедур шифрования и дешифрования отправи­телем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с крип­тографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в бло­ке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности пото­ка, который реализуется посредством шифрования с использова­нием ключей, изменяемых в зависимости от предшествующих блоков.

Защита от несанкционированного копирования ценной компью­терной информации является самостоятельным видом защиты имущественных прав, ориентированных на проблему защиты интеллектуальной собственности, воплощенной в виде ценных баз данных. Данная защита обычно осуществляется с помощью спе­циальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защитьі, проверки по обращению к устройствам хра­пения ключа и ключевым дискетам и т.д.), которые приводят исполняемый код защищаемой базы данных в состояние, препят­ствующее его выполнению на чужих машинах.

Для повышения защищенности применяются дополнительные аппаратные блоки (ключи), подключаемые к разъему принтера или системной шине ПЭВМ.

Необходимо иметь в виду, что подлежащие защите сведения могут быть получены «противником» не только за счет осуще­ствления проникновения к ЭВМ, которое с достаточной степенью надежности может быть предотвращено (например, все данные хранятся в зашифрованном виде), но и за счет побочных элект­ромагнитных излучений и наводок на цепи питания и заземления ЭВМ, а также на каналы связи.

Все без исключения электронные устройства, блоки и узлы ЭВМ в той или иной мере имеют излучение, причем подобные побочные сигналы могут быть достаточно мощными и могут рас­пространяться на расстояние от нескольких метров до нескольких километров. При этом наибольшую опасность представляет по­лучение «противником» информации о ключах. Восстановив ключ, можно предпринять ряд успешных действий по овладению зашифрованными данными, которые, как правило, охраняются менее тщательно, чем соответствующая открытая информация.

С этой точки зрения выгодно отличаются аппаратные и про­граммно-аппаратные средства защиты от несанкционирован­ного доступа, для которых побочные сигналы о ключевой инфор­мации существенно ниже, чем для чисто программных реали­заций.

 

10.2

Стандарты на создание систем защиты данных

При создании корпоративных ЭИС возрастает роль систем защиты данных. В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация специализи­рованными организациями на соответствие международным и национальным стандартам. В этом случае повышаются эффек­тивность и качество разрабатываемых систем защиты данных и возрастает степень доверия заказчиков к внедряемым ЭИС.

Основные понятия, требования, методы и средства проек­тирования и оценки системы информационной безопасности для ЭИС отражены в следующих основополагающих докумен­тах [12, 38-41]:

«Оранжевая книга» Национального центра защиты компью­теров США (TCSEC);

Гармонизированные критерии Европейских стран (ITSEC);

Рекомендации Х.800;

•           Концепция защиты от НСД Госкомиссии при Президенте РФ. Знание критериев оценки информационной безопасности, из­ложенных в этих документах, способно помочь проектировщикам при выборе и комплектовании аппаратно-программной конфигу­рации ЭИС. Кроме того, в процессе эксплуатации администратор системы защиты информации должен ориентироваться на действия сертифицирующих органов, поскольку обслуживаемая система, скорее всего, время от времени будет претерпевать изменения, и нужно, во-первых, оценивать целесообразность модификаций и их последствия, во-вторых, соответствующим образом корректиро­вать технологию пользования и администрирования системой. При этом целесообразно знать, на что обращают внимание при серти­фикации, поскольку это позволяет сконцентрироваться на анали­зе критически важных аспектов, повышая качество защиты.

Остановимся на кратком рассмотрении состава основных понятий и подходов к проектированию и оценке системы защи­ты информации в ЭИС, изложенных в этих документах.

«Оранжевая книга» Национального центра защиты компьютеров США (TCSEC)

«Оранжевая книга» - это название документа, который был впервые опубликован в августе 1983 г. в Министерстве обороны США. В этом документе дается пояснение понятия «безопасная система», которая «управляет посредством соответствующих средств доступом к информации так, что только должным обра­зом авторизованные лица или процессы, действующие от их име­ни, получают право читать, писать, создавать и удалять инфор­мацию». Очевидно, однако, что абсолютно безопасных систем не существует, и речь идет не о безопасных, а о надежных системах.

В «Оранжевой книге» надежная система определяется как «си­стема, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку инфор­мации разной степени секретности группой пользователей без нарушения прав доступа». Степень доверия, или надежность про­ектируемой или используемой системы защиты или ее компонен­тов, оценивается по двум основным критериям:

концепция безопасности;

гарантированность.

/. Концепция безопасности системы защиты

Концепция безопасности разрабатываемой системы - «это на­бор законов, правил и норм поведения, определяющих, как орга­низация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть концепция безопасности. В зависимости от сформулированной концепции можно выбирать конкретные механизмы, обеспечи­вающие безопасность системы. Концепция безопасности - это активный компонент защиты, включающий в себя анализ возмож­ных угроз и выбор мер противодействия» [12].

Концепция безопасности разрабатываемой системы соглас­но «Оранжевой книге» должна включать в себя следующие эле­менты:

произвольное управление доступом;

безопасность повторного использования объектов;

метки безопасности;

принудительное управление доступом. Рассмотрим содержание перечисленных элементов.

1.1. Произвольное управление доступом - это метод ограниче­ния доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управ­ления состоит в том, что некоторое лицо (обычно владелец объек­та) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

С концептуальной точки зрения текущее состояние прав дос­тупа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах - объекты. В клетках, расположенных на пересечении строк и столбцов, за­писываются способы доступа, допустимые для субъекта по отно­шению к объекту (например, чтение, запись, выполнение, возмож­ность передачи прав другим субъектам и т.п.).

Очевидно, прямолинейное представление подобной матрицы невозможно, поскольку она очень велика и разрежена (т.е. боль­шинство клеток в ней пусты). В операционных системах более компактное представление матрицы доступа основывается или на структурировании совокупности субъектов (например, владе­лец/группа/прочие), или на механизме списков управления дос­тупом, т.е. на представлении матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа. За счет использования метасимволов можно компактно описывать группы субъектов, удерживая тем самым размеры спис­ков управления доступом в разумных рамках.

Большинство операционных систем и систем управления ба­зами данных реализуют именно произвольное управление досту­пом. Главное его достоинство - гибкость, главные недостатки -рассредоточенность управления и сложность централизованно­го контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.

Безопасность повторного использования объектов - важ­ное на практике дополнение средств управления доступом, пре­дохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оператив­ной памяти (в частности, для буферов с образами экрана, рас­шифрованными паролями и т.п.), для дисковых блоков и магнит­ных носителей в целом.

Метки безопасности ассоциируются с субъектами и объек­тами для реализации принудительного управления доступом. Метка субъекта описывает его благонадежность, метка объекта -степень закрытости содержащейся в нем информации.

Согласно «Оранжевой книге» метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности, поддерживаемые системой, образуют упорядочен­ное множество, которое может выглядеть, например, так:

совершенно секретно;

секретно;

конфиденциально;

несекретно.

Главная проблема, которую необходимо решать в связи с мет­ками, - это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной бе­зопасности появятся легкоиспользуемые бреши. Во-вторых, при любых операциях с данными метки должны оставаться правиль­ными.

Одним из средств обеспечения целостности меток безопасно­сти является разделение устройств на многоуровневые и одно­уровневые. На многоуровневых устройствах может храниться информация разного уровня секретности (точнее, лежащая в оп­ределенном диапазоне уровней). Одноуровневое устройство мож­но рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уро­вень устройства, система может решить, допустимо ли записы­вать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на прин­тере общего пользования с уровнем «несекретно» потерпит не­удачу.

1.4. Принудительное управление доступом основано на сопос­тавлении меток безопасности субъекта и объекта. Этот способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов).

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта до­минирует над меткой объекта. Смысл сформулированного пра­вила понятен: читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В част­ности, конфиденциальный субъект может писать в секретные файлы, но не может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).

После того как зафиксированы метки безопасности субъек­тов и объектов, оказываются зафиксированными и права досту­па. В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объекту X еще и для пользова­теля F». Конечно, можно изменить метку безопасности пользо­вателя Y, но тогда он, скорее всего, получит доступ ко многим дополнительным объектам, а не только к X.

Принудительное управление доступом реализовано во мно­гих вариантах операционных систем и СУБД, отличающихся по­вышенными мерами безопасности. Независимо от практическо­го использования принципы принудительного управления явля­ются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удоб­нее проектировать в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. На прак­тике произвольное и принудительное управление доступом соче­тается в рамках одной системы, что позволяет использовать силь­ные стороны обоих подходов.

Если понимать систему безопасности узко, т.е. как правила разграничения доступа, то механизм подотчетности является до­полнением подобной системы. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:

идентификация и аутентификация;

предоставление надежного пути;

анализ регистрационной информации. Рассмотрим эти категории подробнее.

Идентификация и аутентификация. Прежде чем получить право совершать какие-либо действия в системе, каждый пользо­ватель должен идентифицировать себя. Обычный способ иден­тификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность личности пользо­вателя, т.е. что он является именно тем, за кого себя выдает. Стан­дартное средство проверки подлинности (аутентификации) - па­роль, хотя в принципе могут использоваться также разного рода личные карточки, биометрические устройства (сканирование ро­говицы или отпечатков пальцев) или их комбинация.

Предоставление надежного пути. Надежный путь связывает пользователя непосредственно с надежной вычислительной ба­зой, минуя другие, потенциально опасные компоненты системы. Цель предоставления надежного пути - дать пользователю воз­можность убедиться в подлинности обслуживающей его системы.

Задача обеспечения надежного пути становится чрезвычайно сложной, если пользователь общается с интеллектуальным тер­миналом, персональным компьютером или рабочей станцией, поскольку трудно гарантировать, что пользователь общается с подлинной программой login, а не с «троянским конем».

Анализ регистрационной информации - аудит имеет дело с дей­ствиями (событиями), затрагивающими безопасность системы. К таким событиям относятся:

вход в систему (успешный или нет);

выход из системы;

обращение к удаленной системе;

операции с файлами (открыть, закрыть, переименовать, уда­лить);

смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.). Полный перечень событий, потенциально подлежащих реги­страции, зависит от избранной системы безопасности и от специ­фики ЭИС. Протоколирование помогает следить за пользовате­лями и реконструировать прошедшие события. Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем. При протоколировании события записывается следующая инфор­мация:

 

дата и время события;

уникальный идентификатор пользователя - инициатора дей­ствия;

тип события;

результат действия (успех или неудача);

источник запроса (например, имя терминала);

имена затронутых объектов (например, открываемых или уда­ляемых файлов);

описание изменений, внесенных в базы данных защиты (на­пример, новая метка безопасности объекта);

метки безопасности субъектов и объектов события. Необходимо подчеркнуть важность не только сбора инфор­мации, но и ее регулярного и целенаправленного анализа. В пла­не анализа выгодное положение занимают средства аудита СУБД, поскольку к регистрационной информации могут естественным образом применяться произвольные SQL-запросы. Следователь­но, появляется возможность для выявления подозрительных дей­ствий применять сложные эвристики.

 

2. Гчрантированность системы защиты

Гарантированность - «мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (фор­мальной или нет) общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь выб­ранной концепции безопасности. Гарантированность можно счи­тать пассивным компонентом защиты, надзирающим за самими защитниками» [12].

Гарантированность - это мера уверенности, с которой мож­но утверждать, что для проведения в жизнь сформулированной концепции безопасности выбран подходящий набор средств и что каждое из этих средств правильно исполняет отведенную ему роль. В «Оранжевой книге» рассматриваются два вида гаранти-рованности - операционная и технологическая. Операционная гарантированность относится к архитектурным и реализацион­ным аспектам системы, в то время как технологическая - к мето­дам построения и сопровождения.

2.1. Операционная гарантированность - это способ убедиться в том, что архитектура системы и ее реализация действительно проводят в жизнь избранную концепцию безопасности и вклю­чают в себя проверку следующих элементов:

архитектуры системы;

целостности системы;

анализа тайных каналов передачи информации;

надежного администрирования;

надежного восстановления после сбоев.

Архитектура системы должна способствовать реализации мер безопасности или прямо поддерживать их. Примеры подоб­ных архитектурных решений в рамках аппаратуры и операцион­ной системы - разделение команд по уровням привилегирован­ности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра ОС. В принципе меры безопасности не обязательно должны быть заранее встроены в систему - достаточно принци­пиальной возможности дополнительной установки защитных продуктов надежности компонентов.

Целостность системы в данном контексте означает, что ап­паратные и программные компоненты надежной вычислитель­ной базы работают должным образом и что имеется аппаратное и программное обеспечение для периодической проверки цело­стности.

А нализ тайных каналов передачи информации - тема, специфич­ная для режимных систем, когда главное - обеспечить конфиден­циальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Обычно тайные каналы используются не столько для передачи информации от одного злоумышленника к другому, сколько для получения злоумышленником сведений от внедренного в систе­му «троянского коня».

 

Надежное администрирование в трактовке «Оранжевой кни­ги» означает, что должны быть логически выделены три роли -системного администратора, системного оператора и админист­ратора безопасности. Физически эти обязанности может выпол­нять один человек, но в соответствии с принципом миними­зации привилегий в каждый момент времени он должен выпол­нять только одну из трех ролей. Конкретный набор обязаннос­тей администраторов и оператора зависит от специфики орга­низации.

Надежное восстановление после сбоев - метод обеспечения гарантированное™, при котором должна быть сохранена це­лостность информации, в частности целостность меток безопас­ности. Надежное восстановление включает в себя два вида дея­тельности - подготовку к сбою (отказу) и собственно восста­новление. Подготовка к сбою - это и регулярное выполнение резервного копирования, и выработка планов действий в экст­ренных случаях, и поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или административных процедур.

2.2. Технологическая гарантированностъ охватывает весь жиз­ненный цикл системы, т.е. этапы проектирования, реализации, тестирования, внедрения и сопровождения. Все перечисленные действия должны выполняться в соответствии с жесткими стан­дартами, чтобы обезопаситься от утечки информации и нелегаль­ных «закладок».

Критерии, изложенные в «Оранжевой книге», позволили спе­циалистам ранжировать информационные системы защиты инфор­мации по степени надежности. В этом документе определяются четыре уровня безопасности (надежности) - D, С, В и А. Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он содержит две подсистемы управления дос­тупом. По мере перехода от уровня С к А к надежности систем предъявляются все более жесткие требования. Уровни С и В под­разделяются на классы (CI, С2, Bl, В2, ВЗ) с постепенным возрас­танием надежности. Таким образом, всего имеется шесть классов безопасности-С1, С2, Bl, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому клас­су, ее концепция безопасности и гарантированностъ должны удов­летворять разработанной системе требований, соответствующей этому классу.

, 6-2639

241

 

Гармонизированные критерии Европейских стран (ITSЕС)

Следуя по пути интеграции, Европейские страны приняли со­гласованные (гармонизированные) критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC) [12, 122], опубликованные в июне 1991 г. от имени соответствующих органов четырех стран - Фран­ции, Германии, Нидерландов и Великобритании.

Принципиально важной чертой европейских критериев явля­ется отсутствие априорных требований к условиям, в которых должна работать информационная система. Организация, запра­шивающая сертификационные услуги, формулирует цель оцен­ки, т.е. описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защит­ные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели разработанными функци­ями, т.е. насколько корректны и эффективны архитектура и реа­лизация механизмов безопасности в описанных разработчиком условиях.

Таким образом, в терминологии «Оранжевой книги» европей­ские критерии относятся к оценке степени гарантированности безопасной работы спроектированной системы.

Европейские критерии рассматривают следующие основные понятия, составляющие базу информационной безопасности:

конфиденциальность, т.е. защиту от несанкционированного получения информации;

целостность, т.е. защиту от несанкционированного изменения информации;

доступность, т.е. защиту от несанкционированного удержа­ния информации и ресурсов.

В европейских критериях средства, имеющие отношение к информационной безопасности, предлагается рассматривать на трех уровнях детализации. Наиболее абстрактный взгляд каса­ется лишь целей безопасности. На этом уровне получают ответ на вопрос: зачем нужны функции безопасности? Второй уровень содержит спецификации функций безопасности, т. е. здесь вы­является, какая функциональность на самом деле обеспечи­вается. На третьем уровне содержится информация о механиз­мах безопасности, показывающих, как реализуется указанная функция.

 

Критерии рекомендуют выделить в спецификациях реализуе­мых функций обеспечения безопасности более расширенный по сравнению с «Оранжевой книгой» состав разделов или классов функций.

Идентификация и аутентификация.

Управление доступом.

Подотчетность.

Аудит.

Повторное использование объектов.

Точность информации.

Надежность обслуживания.

Обмен данными.

Чтобы облегчить формулировку цели оценки, европейские критерии содержат в качестве приложения описание десяти при­мерных классов функциональности, типичных для правитель­ственных и коммерческих систем. Пять из них (F-Cl, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности «Оранжевой книги».

Кроме того, в критериях определены три уровня мощности механизмов защиты- базовый, средний и высокий. Согласно кри­териям мощность можно считать базовой, если механизм спосо­бен противостоять отдельным случайным атакам. Мощность можно считать средней, если механизм способен противостоять злоумышленникам с ограниченными ресурсами и возможностя­ми. Наконец, мощность можно считать высокой, если есть уве­ренность, что механизм может быть побежден только злоумыш­ленником с высокой квалификацией, набор возможностей и ре­сурсов которого выходит за пределы практичности.

Важной характеристикой является простота использования продукта или системы. Должны существовать средства, инфор­мирующие персонал о переходе объекта в небезопасное состоя­ние (что может случиться в результате сбоя, ошибок


Оцените книгу: 1 2 3 4 5