Основы информационной безопасности Курс лекций. Учебное пособие Издание третье В .А. Галатенко под редакцией академика РАН В. Б. Бетелина
Рекомендовано для студентов высших учебных заведений, обучающихся по специальностям в области информационных технологий
Серия «Основы информационных технологий»
Интернет-Университет Информационных Технологий www.intuit.ru Москва, 2006
УДК 002:34+004.056.5 ББК 67.401+32.973.2-018.2 Г15 Основы информационной безопасности : курс лекций : учебное пособие / Издание третье / Галатенко В. А. Под редакцией академика РАН В. Б. Бетелина / — М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2006. — 208 с. ISBN 5-9556-0052-3 В курс включены сведения, необходимые всем специалистам в области информационной безопасности (ИБ). Рассматриваются основные понятия ИБ, структура мер в области ИБ, кратко описываются меры законодательного, административного, процедурного и программно- технического уровней. Рекомендовано для студентов высших учебных специальностям в области информационных технологий.
заведений,
обучающихся по
Библиогр. 29
Издание осуществлено при финансовой и технической поддержке компаний: Издательство «Открытые Системы», «РМ Телеком» и Kraftway Computers
Полное или частичное воспроизведение или размножения каким-либо способом, в том числе и публикация в Сети, настоящего издания допускается только с письменного разрешения Интернет-Университета Информационных Технологий. © Интернет-Университет Информационных Технологий, www.intuit.ru, 2003-2006
ISBN 5-9556-0052-3
О проекте
Интернет-Университет И н ф о р м а ц и о н н ы х Технологий — это первое в России высшее учебное заведение, которое предоставляет возможность получить дополнительное образование во Всемирной Сети. Web-сайт университета находится п о адресу www.intuit.ru. М ы рады, что Вы решили расширить свои знания в области к о м п ь ю терных технологий. Современный м и р — это м и р компьютеров и и н ф о р мации. Компьютерная индустрия — самый быстрорастущий сектор э к о н о м и к и , и ее рост будет продолжаться еще долгое время. Во времена жесткой конкуренции от уровня развития и н ф о р м а ц и о н н ы х технологий, достиже¬ н и й научной мысли и перспективных инженерных решений зависит успех не только отдельных людей и компаний, н о и целых стран. Вы выбрали са¬ мое подходящее время для изучения компьютерных дисциплин. Профес¬ сионалы в области и н ф о р м а ц и о н н ы х технологий сейчас востребованы везде: в науке, экономике, образовании, медицине и других областях, в го сударственных и частных компаниях, в России и за рубежом. Анализ д а н ных, прогнозы, организация связи, создание программного обеспечения, построение моделей процессов — вот далеко н е полный список областей применения знаний для компьютерных специалистов. Обучение в университете ведется п о собственным учебным планам, разработанным ведущими российскими специалистами на основе между¬ народных образовательных стандартов Computer Curricula 2001 Computer Science. Изучать учебные курсы м о ж н о самостоятельно п о учебникам или на сайте Интернет-университета, задания выполняются только н а сайте. Для обучения необходимо зарегистрироваться н а сайте университета. Удостоверение об о к о н ч а н и и учебного курса или специальности выдает¬ ся п р и условии в ы п о л н е н и я всех заданий к л е к ц и я м и успешной сдачи итогового экзамена. Книга, которую Вы держите в руках, очередная в многотомной серии «Основы и н ф о р м а ц и о н н ы х технологий», выпускаемой ИнтернетУ н и в е р с и т е т о м И н ф о р м а ц и о н н ы х Технологий. В э т о й с е р и и будут в ы п у щ е н ы учебники п о всем базовым областям з н а н и й , связанным с компьютерными д и с ц и п л и н а м и . Добро пожаловать в Интернет-Университет Информационных Технологий! Анатолий Шкред
[email protected]
Предисловие И н ф о р м а ц и о н н а я безопасность ( И Б ) — сравнительно молодая, быс тро развивающаяся область и н ф о р м а ц и о н н ы х технологий ( И Т ) , для ус пешного освоения которой важно с самого начала усвоить современный, согласованный с другими ветвями И Т базис. Это первая задача курса, для р е ш е н и я которой применяется объектно-ориентированный подход. Успех в области И Б может принести только к о м п л е к с н ы й подход. Описание общей структуры и отдельных уровней такого подхода — вторая задача курса. Для ее р е ш е н и я рассматриваются меры законодательного, административного, процедурного и программно-технического уровней. Приводятся сведения о российском и зарубежном законодательстве в об ласти И Б , о проблемах, существующих в настоящее время в российском законодательстве. На административном уровне рассматриваются п о л и тика и программа безопасности, их типовая структура, меры по выработ ке и сопровождению. На процедурном уровне описываются нетехничес кие меры безопасности, связанные с людьми. Формулируются основные п р и н ц и п ы , обеспечивающие успех таких мер. Программно-технический уровень, в соответствии с объектным подходом, трактуется как совокупность сервисов. Дается описание каж¬ дого сервиса. Предполагается, что большинство п о н я т и й , введенных в д а н н о м курсе, более подробно будет рассмотрено в других, специальных курсах. Цель курса — заложить методически правильные основы з н а н и й , не¬ обходимые будущим специалистам-практикам в области информацион¬ ной безопасности.
Об авторе Галатенко Владимир Антонович Д о к т о р ф и з и к о - м а т е м а т и ч е с к и х наук, з а в е д у ю щ и й деле и н ф о р м а ц и о н н о й б е з о п а с н о с т и Н И И с и с т е м н ы х РАН. Автор теоретических и п р а к т и ч е с к и х р а з р а б о т о к , п о с о б и й и статей п о и н ф о р м а ц и о н н о й б е з о п а с н о с т и программирования. 4
с е к т о р о м в от¬ исследований книг, учебных и технологии
Лекции Л е к ц и я 1.
Л е к ц и я 2.
П о н я т и е и н ф о р м а ц и о н н о й безопасности. Основные составляющие. Важность проблемы
11
Распространение объектно-ориентированного подхода на и н ф о р м а ц и о н н у ю безопасность
23
Л е к ц и я 3.
Наиболее распространенные угрозы
37
Л е к ц и я 4.
Законодательный уровень и н ф о р м а ц и о н н о й безопасности
53
Стандарты и с п е ц и ф и к а ц и и в области и н ф о р м а ц и о н н о й безопасности
77
Л е к ц и я 5.
Л е к ц и я 6.
Административный уровень и н ф о р м а ц и о н н о й безопасности
111
Л е к ц и я 7.
Управление р и с к а м и
123
Л е к ц и я 8.
Процедурный уровень и н ф о р м а ц и о н н о й безопасности . 133
Л е к ц и я 9.
О с н о в н ы е программно-технические меры
Л е к ц и я 10. И д е н т и ф и к а ц и я и аутентификация, управление доступом
149
161
Л е к ц и я 11. Протоколирование и аудит, ш и ф р о в а н и е , контроль целостности
185
Л е к ц и я 12. Экранирование, анализ з а щ и щ е н н о с т и
203
Л е к ц и я 13. Обеспечение высокой доступности
217
Л е к ц и я 14. Туннелирование и управление
231
Л е к ц и я 15. Заключение
243
5
Содержание Л е к ц и я 1. П о н я т и е и н ф о р м а ц и о н н о й безопасности. Основные составляющие. Важность проблемы П о н я т и е и н ф о р м а ц и о н н о й безопасности Основные составляющие и н ф о р м а ц и о н н о й безопасности Важность и сложность проблемы и н ф о р м а ц и о н н о й безопасности
11 11 13 15
Л е к ц и я 2. Распространение объектно-ориентированного подхода на и н ф о р м а ц и о н н у ю безопасность О необходимости объектно-ориентированного подхода к и н ф о р м а ц и о н н о й безопасности Основные понятия объектно-ориентированного подхода П р и м е н е н и е объектно-ориентированного подхода к рассмотрению защищаемых систем Недостатки традиционного подхода к и н ф о р м а ц и о н н о й безоспасности с объектной точки зрения
25
Л е к ц и я 3. Наиболее распространенные угрозы Основные определения и критерии к л а с с и ф и к а ц и и угроз Наиболее распространенные угрозы доступности Некоторые примеры угроз доступности Вредоносное программное обеспечение Основные угрозы целостности Основные угрозы конфиденциальности
28 28 30 31 33 36 38
Л е к ц и я 4. Законодательный уровень и н ф о р м а ц и о н н о й безопасности Что такое законодательный уровень и н ф о р м а ц и о н н о й безопасности и почему он важен Обзор российского законодательства в области и н ф о р м а ц и о н н о й безопасности Правовые акты общего назначения, затрагивающие вопросы информационной безопасности Закон «Об информации, информатизации и защите информации» Другие законы и нормативные акты Обзор зарубежного законодательства в области и н ф о р м а ц и о н н о й безопасности О текущем состоянии российского законодательства в области и н ф о р м а ц и о н н о й безопасности 6
18 18 19 22
40 40 41 41 43 47 53 57
Л е к ц и я 5. Стандарты и с п е ц и ф и к а ц и и в области и н ф о р м а ц и о н н о й безопасности Оценочные стандарты и технические с п е ц и ф и к а ц и и . «Оранжевая книга» к а к о ц е н о ч н ы й стандарт Основные понятия Механизмы безопасности Классы безопасности И н ф о р м а ц и о н н а я безопасность распределенных систем. Рекомендации X.800 Сетевые сервисы безопасности Сетевые механизмы безопасности Администрирование средств безопасности Стандарт I S O / I E C 15408 «Критерии о ц е н к и безопасности и н ф о р м а ц и о н н ы х технологий» Основные понятия Функциональные требования Требования доверия безопасности Гармонизированные критерии Европейских стран Интерпретация «Оранжевой книги» для сетевых конфигураций Руководящие документы Гостехкомиссии России Л е к ц и я 6. Административный уровень и н ф о р м а ц и о н н о й безопасности Основные понятия Политика безопасности Программа безопасности Синхронизация программы безопасности с ж и з н е н н ы м циклом систем Л е к ц и я 7. Управление р и с к а м и
60 61 78 80 83 70 70 71 72 74 74 77 79 81 83 85 90 90 91 95 96 99
Основные понятия Подготовительные этапы управления рисками Основные этапы управления р и с к а м и
99 101 103
Л е к ц и я 8. Процедурный уровень и н ф о р м а ц и о н н о й безопасности . . . 106 Основные классы мер процедурного уровня Управление персоналом Физическая защита Поддержание работоспособности Реагирование на нарушения режима безопасности П л а н и р о в а н и е восстановительных работ 7
106 107 109 139 114 115
Л е к ц и я 9. Основные программно-технические меры
118
Основные понятия программно-технического уровня и н ф о р м а ц и о н н о й безопасности Особенности современных и н ф о р м а ц и о н н ы х систем, существенные с точки зрения безопасности Архитектурная безопасность
121 122
Л е к ц и я 10. И д е н т и ф и к а ц и я и аутентификация, управление доступом
126
118
И д е н т и ф и к а ц и я и аутентификация 127 Основные понятия 127 Парольная аутентификация 128 Одноразовые пароли 130 Сервер аутентификации Kerberos 131 Идентификация/аутентификация с помощью биометрических данньж 132 Управление доступом 134 Основные понятия 134 Ролевое управление доступом 137 Управление доступом в Java-среде 141 Возможный подход к управлению доступом в распределенной объектной среде 144 Л е к ц и я 11. Протоколирование и аудит, ш и ф р о в а н и е , контроль целостности Протоколирование и аудит Основные понятия Активный аудит Основные понятия Функциональные компоненты и архитектура Шифрование Контроль целостности Цифровые сертификаты
147 147 147 149 149 152 153 157 159
Л е к ц и я 12. Экранирование, анализ з а щ и щ е н н о с т и
161
Экранирование Основные понятия Архитектурные аспекты Классификация межсетевых экранов Анализ з а щ и щ е н н о с т и
161 161 164 166 170
8
Л е к ц и я 13. Обеспечение высокой доступности Доступность Основные понятия Основы мер обеспечения высокой доступности Отказоустойчивость и зона риска Обеспечение отказоустойчивости Программное обеспечение промежуточного слоя Обеспечение обслуживаемости
172 172 172 175 176 178 180 181
Л е к ц и я 14. Туннелирование и управление Туннелирование Управление Основные понятия Возможности типичных систем
183 183 185 185 187
Л е к ц и я 15. Заключение Что такое и н ф о р м а ц и о н н а я безопасность. Основные составляющие и н ф о р м а ц и о н н о й безопасности. Важность и сложность проблемы и н ф о р м а ц и о н н о й безопасности Законодательный, административный и процедурный уровни Программно-технические меры
191
193 196
Литература
200
Статьи по теме курса
201
Сайты по теме курса
203
9
191
Внимание! На сайте Интернет-университета информационных технологий Вы можете пройти тестирование по каждой лекции и курсу в целом. Добро пожаловать на наш сайт:
www.intuit.ru
10
Лекция 1
Понятие информационной безопасности
Л е к ц и я 1 . Понятие и н ф о р м а ц и о н н о й б е з о п а с н о с т и . Основные составляющие. Важность проблемы
Под информационной безопасностью (ИБ) следует понимать защиту интере сов субъектов информационных отношений. Ниже описаны основные ее со ставляющие — конфиденциальность, целостность, доступность. Приводится статистика нарушений ИБ, описываются наиболее характерные случаи. Ключевые слова: и н ф о р м а ц и о н н а я безопасность, защита и н ф о р м а ц и и , субъект и н ф о р м а ц и о н н ы х отношений, неприемлемый ущерб, поддерживающая инфраструктура, доступность, целостность, к о н фиденциальность, доктрина и н ф о р м а ц и о н н о й безопасности Рос сийской Федерации, компьютерное преступление, ж и з н е н н ы й цикл и н ф о р м а ц и о н н ы х систем.
Понятие и н ф о р м а ц и о н н о й б е з о п а с н о с т и Словосочетание « и н ф о р м а ц и о н н а я безопасность» в разных контек¬ стах может иметь различный смысл. В Д о к т р и н е и н ф о р м а ц и о н н о й безопасности Российской Федерации термин « и н ф о р м а ц и о н н а я безопасность» используется в ш и р о к о м с м ы с ле. Имеется в виду состояние з а щ и щ е н н о с т и национальных интересов в и н ф о р м а ц и о н н о й сфере, определяемых совокупностью сбалансирован¬ ных интересов личности, общества и государства. В Законе Р Ф «Об участии в международном и н ф о р м а ц и о н н о м обме¬ не» и н ф о р м а ц и о н н а я безопасность определяется аналогичным образом — к а к состояние защищенности и н ф о р м а ц и о н н о й среды общества, обеспе¬ ч и в а ю щ е е ее формирование, использование и развитие в интересах граж¬ дан, организаций, государства. В д а н н о м курсе н а ш е в н и м а н и е будет сосредоточено на хранении, обработке и передаче и н ф о р м а ц и и вне зависимости от того, на каком я з ы к е (русском или каком-либо ином) она закодирована, кто или что я в ляется ее источником и какое психологическое воздействие она оказыва ет на людей. Поэтому термин « и н ф о р м а ц и о н н а я безопасность» будет и с пользоваться в узком смысле, так, как это принято, н а п р и м е р , в англо я з ы ч н о й литературе. П о д и н ф о р м а ц и о н н о й безопасностью м ы будем п о н и м а т ь защи¬ щ е н н о с т ь и н ф о р м а ц и и и поддерживающей инфраструктуры от случай¬ н ы х и л и п р е д н а м е р е н н ы х воздействий естественного и л и искусственно11
Курс
Основы информационной безопасности
го характера, которые могут нанести н е п р и е м л е м ы й ущерб субъектам и н ф о р м а ц и о н н ы х о т н о ш е н и й , в том ч и с л е владельцам и пользователям и н ф о р м а ц и и и п о д д е р ж и в а ю щ е й инфраструктуры. (Чуть дальше м ы по¬ я с н и м , что следует п о н и м а т ь под п о д д е р ж и в а ю щ е й инфраструктурой.) Защита и н ф о р м а ц и и — это комплекс мероприятий, направленных на обеспечение и н ф о р м а ц и о н н о й безопасности. Таким образом, правильный с методологической точки зрения под ход к проблемам и н ф о р м а ц и о н н о й безопасности начинается с выявления субъектов и н ф о р м а ц и о н н ы х о т н о ш е н и й и интересов этих субъектов, свя занных с использованием и н ф о р м а ц и о н н ы х систем ( И С ) . Угрозы и н ф о р м а ц и о н н о й безопасности — это оборотная сторона использования ин¬ ф о р м а ц и о н н ы х технологий. И з этого положения м о ж н о вывести два важных следствия: 1 Трактовка проблем, связанных с и н ф о р м а ц и о н н о й безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить р е ж и м н ы е государствен¬ ные организации и учебные институты. В первом случае «пусть луч¬ ше все сломается, чем враг узнает хоть один секретный бит», во вто¬ ром — «да нет у нас никаких секретов, л и ш ь бы все работало». 2 И н ф о р м а ц и о н н а я безопасность не сводится исключительно к защи¬ те от несанкционированного доступа к и н ф о р м а ц и и , это принципи¬ ально более ш и р о к о е понятие. Субъект и н ф о р м а ц и о н н ы х о т н о ш е н и й может пострадать (понести убытки и / и л и получить моральный ущерб) не только от несанкционированного доступа, но и от полом¬ ки системы, вызвавшей перерыв в работе. Более того, для многих от¬ крытых организаций (например, учебных) собственно защита от не¬ санкционированного доступа к и н ф о р м а ц и и стоит по важности от¬ нюдь не на первом месте. В о з в р а щ а я с ь к в о п р о с а м т е р м и н о л о г и и , о т м е т и м , что т е р м и н «компьютерная безопасность» (как эквивалент или заменитель И Б ) представляется н а м с л и ш к о м узким. К о м п ь ю т е р ы — только одна из с о ставляющих и н ф о р м а ц и о н н ы х систем, и хотя н а ш е в н и м а н и е будет с о средоточено в первую очередь на и н ф о р м а ц и и , которая хранится, обра батывается и передается с п о м о щ ь ю компьютеров, ее безопасность о п ределяется всей совокупностью составляющих и, в первую очередь, са м ы м слабым звеном, к о т о р ы м в п о д а в л я ю щ е м большинстве случаев оказывается человек ( з а п и с а в ш и й , н а п р и м е р , свой пароль на «горчич¬ нике», п р и л е п л е н н о м к монитору). Согласно определению и н ф о р м а ц и о н н о й безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой м о ж н о отнести системы электро-, водо- и теплоснабжения, кон¬ д и ц и о н е р ы , средства коммуникаций и, к о н е ч н о , обслуживающий персо12
Лекция 1
Понятие информационной безопасности
нал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать л и ш ь то, как она влияет на выполнение и н ф о р м а ц и о н н о й системой предписанных ей ф у н к ц и й . Обратим внимание, что в определении И Б перед существительным «ущерб» стоит прилагательное «неприемлемый». Очевидно, застраховать ся от всех видов ущерба невозможно, тем более невозможно сделать это э к о н о м и ч е с к и целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться н и к а к нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но ч а щ е порог неприемлемости имеет материальное (денежное) выражение, а целью защиты и н ф о р м а ц и и становится уменьшение размеров ущерба до допустимых значений.
Основные составляющие информационной безопасности И н ф о р м а ц и о н н а я безопасность — многогранная, м о ж н о даже ска зать, многомерная область деятельности, в которой успех может принес¬ ти только систематический, к о м п л е к с н ы й подход. Спектр интересов субъектов, связанных с использованием инфор¬ м а ц и о н н ы х систем, м о ж н о разделить на следующие категории: обеспече¬ н и е доступности, целостности и конфиденциальности и н ф о р м а ц и о н н ы х ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих И Б включают защиту от н е санкционированного копирования и н ф о р м а ц и и , н о , на н а ш взгляд, это с л и ш к о м специфический аспект с сомнительными ш а н с а м и на успех, по¬ этому м ы не станем его выделять. П о я с н и м понятия доступности, целостности и конфиденциальности. Доступность — это возможность за приемлемое время получить тре¬ буемую и н ф о р м а ц и о н н у ю услугу. П о д целостностью подразумевается актуальность и непротиворечи вость и н ф о р м а ц и и , ее защищенность от разрушения и н е с а н к ц и о н и р о ванного изменения. Н а к о н е ц , конфиденциальность — это защита от несанкционирован¬ ного доступа к и н ф о р м а ц и и . И н ф о р м а ц и о н н ы е с и с т е м ы создаются ( п р и о б р е т а ю т с я ) д л я полу ч е н и я о п р е д е л е н н ы х и н ф о р м а ц и о н н ы х услуг. Если по тем и л и и н ы м п р и ч и н а м предоставить эти услуги п о л ь з о в а т е л я м с т а н о в и т с я невоз¬ м о ж н о , это, о ч е в и д н о , н а н о с и т ущерб всем субъектам и н ф о р м а ц и о н ¬ н ы х о т н о ш е н и й . Поэтому, не п р о т и в о п о с т а в л я я д о с т у п н о с т ь осталь13
Курс
Основы информационной безопасности
н ы м а с п е к т а м , м ы в ы д е л я е м ее к а к в а ж н е й ш и й э л е м е н т и н ф о р м а ц и ¬ онной безопасности. Особенно ярко ведущая роль доступности проявляется в разного р о д а с и с т е м а х у п р а в л е н и я — п р о и з в о д с т в о м , т р а н с п о р т о м и т.п. В н е ш н е м е н е е д р а м а т и ч н ы е , н о т а к ж е весьма н е п р и я т н ы е п о с л е д с т вия — и материальные, и моральные — может иметь длительная недо с т у п н о с т ь и н ф о р м а ц и о н н ы х услуг, к о т о р ы м и пользуется б о л ь ш о е ко¬ л и ч е с т в о л ю д е й ( п р о д а ж а ж е л е з н о д о р о ж н ы х и а в и а б и л е т о в , банков¬ с к и е услуги и т.п.). Целостность м о ж н о подразделить на статическую (понимаемую как неизменность и н ф о р м а ц и о н н ы х объектов) и динамическую (относящую ся к корректному в ы п о л н е н и ю сложных действий (транзакций)). Средст ва контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, пере упорядочения или дублирования отдельных сообщений. Целостность оказывается в а ж н е й ш и м аспектом И Б в тех случаях, когда и н ф о р м а ц и я служит «руководством к действию». Рецептура ле¬ карств, предписанные м е д и ц и н с к и е процедуры, набор и характеристики комплектующих изделий, ход технологического процесса — все это при¬ меры и н ф о р м а ц и и , нарушение целостности которой может оказаться в буквальном смысле смертельным. Н е п р и я т н о и искажение о ф и ц и а л ь н о й и н ф о р м а ц и и , будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность — самый проработанный у нас в стране аспект и н ф о р м а ц и о н н о й безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информацион¬ ных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки и н ф о р м а ц и и являются закрыты¬ м и , так что большинство пользователей л и ш е н о возможности составить представление о потенциальных рисках. Во-вторых, на пути пользова тельской криптографии как основного средства обеспечения к о н ф и д е н циальности стоят многочисленные законодательные препоны и техниче¬ ские проблемы. Если вернуться к анализу интересов различных категорий субъектов и н ф о р м а ц и о н н ы х о т н о ш е н и й , то почти для всех, кто реально использует И С , на первом месте стоит доступность. Практически не уступает ей по важности целостность — какой смысл в и н ф о р м а ц и о н н о й услуге, если она содержит и с к а ж е н н ы е сведения? Н а к о н е ц , к о н ф и д е н ц и а л ь н ы е моменты есть также у многих органи¬ заций (даже в упоминавшихся в ы ш е учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли). 14
Лекция 1
Понятие информационной безопасности
Важность и сложность проблемы информационной безопасности И н ф о р м а ц и о н н а я безопасность является одним из важнейших ас¬ пектов интегральной безопасности, на каком бы уровне м ы н и рассмат¬ ривали последнюю — национальном, отраслевом, корпоративном и л и персональном. Для иллюстрации этого положения ограничимся несколькими при¬ мерами. • В Д о к т р и н е и н ф о р м а ц и о н н о й безопасности Российской Феде р а ц и и (здесь, подчеркнем, термин « и н ф о р м а ц и о н н а я безопас ность» используется в ш и р о к о м смысле) защита от несанкцио¬ нированного доступа к и н ф о р м а ц и о н н ы м ресурсам, обеспече¬ н и е безопасности и н ф о р м а ц и о н н ы х и телекоммуникационных систем выделены в качестве важных составляющих националь¬ ных интересов Р Ф в и н ф о р м а ц и о н н о й сфере. • П о распоряжению президента С Ш А Клинтона (от 15 июля 1996 года, номер 13010) была создана Комиссия по защите критичес¬ к и важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года при подготовке доклада президенту глава вышеупомянутой комиссии Роберт Марш заявил, что в на стоящее время н и правительство, н и частный сектор н е распола¬ гают средствами защиты от компьютерных атак, способных вы¬ вести из строя коммуникационные сети и сети энергоснабжения. • А м е р и к а н с к и й ракетный крейсер «Йорктаун» был вынужден вернуться в порт из-за многочисленных проблем с программ¬ ным обеспечением, функционировавшим на платформе Windows N T 4.0 (Government Computer News, июль 1998). Таким оказался побочный э ф ф е к т программы В М Ф С Ш А п о макси¬ мально ш и р о к о м у использованию коммерческого программно¬ го обеспечения с целью с н и ж е н и я стоимости военной техники. • Заместитель начальника управления п о э к о н о м и ч е с к и м пре ступлениям Министерства внутренних дел России сообщил, что российские хакеры с 1994 по 1996 год предприняли почти 500 п о п ы т о к п р о н и к н о в е н и я в компьютерную сеть Централь¬ ного банка России. В 1995 году и м и было похищено 250 милли¬ ардов рублей (ИТАР-ТАСС, AP, 17 сентября 1996 года). • К а к сообщил журнал Internet Week от 23 марта 1998 года, поте¬ р и крупнейших к о м п а н и й , вызванные компьютерными втор¬ ж е н и я м и , продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности. Согласно результатам 15
Курс
Основы информационной безопасности
совместного исследования Института и н ф о р м а ц и о н н о й безо¬ пасности и ФБР, в 1997 году ущерб от компьютерных преступ¬ лений достиг 136 миллионов долларов, что на 36% больше, чем в 1996 году. К а ж д о е к о м п ь ю т е р н о е преступление н а н о с и т ущерб п р и м е р н о в 200 тысяч долларов. • В середине июля 1996 года корпорация General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном обеспече¬ н и и двигателя могла привести к пожару. • В феврале 2001 года двое б ы в ш и х сотрудников к о м п а н и и Commerce One, воспользовавшись паролем администратора, удалили с сервера ф а й л ы , составлявшие крупный (на несколь ко миллионов долларов) проект для иностранного заказчика. К счастью, имелась резервная к о п и я проекта, так что реальные потери ограничились расходами на следствие и средства защи¬ ты от подобных инцидентов в будущем. В августе 2002 года пре¬ ступники предстали перед судом. • Одна студентка потеряла стипендию в 18 тысяч долларов в Мичи¬ ганском университете из-за того, что ее соседка по комнате вос¬ пользовалась их общим системным входом и отправила от имени своей жертвы электронное письмо с отказом от стипендии. Понятно, что подобных примеров множество, можно вспомнить и дру гие случаи — недостатка в нарушениях И Б нет и не предвидится. Чего стоит одна только «Проблема 2000» — стыд и позор программистского сообщества! П р и анализе проблематики, связанной с и н ф о р м а ц и о н н о й безопас¬ ностью, необходимо учитывать с п е ц и ф и к у данного аспекта безопаснос¬ ти, состоящую в том, что и н ф о р м а ц и о н н а я безопасности есть составная часть и н ф о р м а ц и о н н ы х технологий — области, развивающейся беспреце дентно высокими темпами. Здесь важны не столько отдельные р е ш е н и я (законы, учебные курсы, программно-технические изделия), находящие ся на современном уровне, сколько механизмы генерации новых р е ш е н и й , позволяющие жить в темпе технического прогресса. К сожалению, современная технология программирования не п о з воляет создавать безошибочные программы, что не способствует быстро му развитию средств обеспечения И Б . Следует исходить из того, что не¬ обходимо конструировать надежные системы ( и н ф о р м а ц и о н н о й безо¬ пасности) с п р и в л е ч е н и е м н е н а д е ж н ы х к о м п о н е н т о в (программ). В п р и н ц и п е , это возможно, но требует соблюдения определенных архитек турных п р и н ц и п о в и контроля состояния защищенности на всем протя¬ ж е н и и жизненного цикла И С . Приведем еще несколько цифр. В марте 1999 года был опубликован оче редной, четвертый по счету, годовой отчет «Компьютерная преступность и бе16
Лекция 1
Понятие информационной безопасности
зопасность-1999: проблемы и тенденции» (Issues and Trends: 1999 C S I / F B I Computer Crime and Security Survey). В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступ¬ лений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% опрошенных; в 55% случаях отмеча лись нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны ваши Web-серверы и систе м ы электронной коммерции за последние 12 месяцев?» ответили «не знаю». В аналогичном отчете, опубликованном в апреле 2002 года, ц и ф р ы изменились, но тенденция осталась прежней: 90% респондентов (преиму¬ щественно из крупных к о м п а н и й и правительственных структур) сооб¬ щ и л и , что за последние 12 месяцев в их организациях имели место нару ш е н и я и н ф о р м а ц и о н н о й безопасности; 80% констатировали финансо¬ вые потери от этих нарушений; 44% (223 респондента) смогли и / и л и за¬ хотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Н а и б о л ь ш и й ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно). Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года. Л и ш ь 22% респондентов заявили об отсутствии нарушений информационной безопасности. Наряду с распро странением вирусов отмечается резкий рост числа внешних атак. Увеличение числа атак — еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной техно¬ логии программирования) и, как следствие, появляются новые виды атак. Так, в и н ф о р м а ц и о н н о м письме Национального центра защиты ин¬ фраструктуры С Ш А (National Infrastructure Protection Center, N I P C ) от 21 июля 1999 года сообщается, что за период с 3 по 16 июля 1999 года выяв лено девять проблем с П О , р и с к использования которых оценивается как средний или высокий (общее число обнаруженных уязвимых мест равно 17). Среди «пострадавших» операционных платформ — почти все разно¬ видности О С Unix, Windows, M a c O S , так что никто не может чувствовать себя с п о к о й н о , поскольку новые о ш и б к и тут ж е начинают активно и с пользоваться злоумышленниками. В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутрен¬ ним, атакам автоматизированным и скоординированным. Иногда нападе¬ ние длится доли секунды; порой прощупывание уязвимых мест ведется мед ленно и растягивается на часы, так что подозрительная активность практи¬ чески незаметна. Целью злоумышленников может быть нарушение всех со¬ ставляющих И Б — доступности, целостности или конфиденциальности. 17
Курс
Основы информационной безопасности
Л е к ц и я 2. Р а с п р о с т р а н е н и е объектно-ориентированного подхода на и н ф о р м а ц и о н н у ю б е з о п а с н о с т ь
В этой лекции закладываются методические основы курса. Кратко формули руются необходимые понятия объектно-ориентированного подхода, в соот ветствии с ним выделяются уровни мер в области ИБ с небольшим числом сущностей на каждом из них. Ключевые слова: сложные системы, принцип «разделяй и властвуй», декомпозиция, структурный подход, объектно-ориентированный под ход, класс, объект, метод объекта, инкапсуляция, наследование, поли морфизм, грань объекта, уровень детализации, компонентная объект ная среда, компонент, контейнер, ортогональные совокупности гра¬ ней, уровень детализации И С , деление на субъекты и объекты, безо¬ пасность повторного использования объектов, учет семантики, троян ские программы, операционная система как сервис безопасности.
О необходимости объектно-ориентированного подхода к информационной безопасности В настоящее время и н ф о р м а ц и о н н а я безопасность является относи тельно замкнутой д и с ц и п л и н о й , развитие которой не всегда синхронизи¬ ровано с и з м е н е н и я м и в других областях и н ф о р м а ц и о н н ы х технологий. В частности, в И Б пока не н а ш л и отражения основные положения объект но-ориентированного подхода, ставшего основой при построении совре менных и н ф о р м а ц и о н н ы х систем. Н е учитываются в И Б и достижения в технологии программирования, основанные на н а к о п л е н и и и многократ ном использовании программистских знаний. Н а наш взгляд, это очень серьезная проблема, затрудняющая прогресс в области И Б . Попытки создания больших систем еще в 60-х годах вскрыли много численные проблемы программирования, главной из которых является сложность создаваемых и сопровождаемых систем. Результатами исследо¬ ваний в области технологии программирования стали сначала структури¬ рованное программирование, затем объектно-ориентированный подход. Объектно-ориентированный подход является основой современной технологии программирования, и с п ы т а н н ы м методом борьбы со с л о ж н о стью систем. Представляется естественным и, более того, необходимым, 18
Лекция 2
Распространение объектно-ориентированного подхода на ИБ
стремление распространить этот подход и на системы и н ф о р м а ц и о н н о й безопасности, для которых, как и для программирования в целом, имеет место упомянутая проблема сложности. Сложность эта имеет двоякую природу. Во-первых, сложны не толь¬ ко аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности. Во-вторых, быстро нарастает сложность семейства нормативных документов, таких, например, как п р о ф и л и за¬ щ и т ы на основе «Общих критериев», речь о которых впереди. Эта слож ность менее очевидна, но ею также нельзя пренебрегать; необходимо из¬ начально строить семейства документов по объектному принципу. Любой разумный метод борьбы со сложностью опирается на принцип «devide et impera» — «разделяй и властвуй». В данном контексте этот п р и н ц и п означает, что сложная система (информационной безопасности) на верхнем уровне должна состоять из небольшого числа относительно неза висимых компонентов. Относительная независимость здесь и далее п о н и мается как минимизация числа связей между компонентами. Затем деком позиции подвергаются выделенные на первом этапе компоненты, и так да лее до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции. Важнейший вопрос, в о з н и к а ю щ и й п р и реализации п р и н ц и п а «раз¬ деляй и властвуй», — как, собственно говоря, разделять. Упоминавшийся в ы ш е структурный подход опирается на алгоритмическую д е к о м п о з и ц и ю , когда выделяются ф у н к ц и о н а л ь н ы е элементы системы. Основная проблема структурного подхода состоит в том, что о н н е п р и м е н и м на р а н н и х этапах анализа и моделирования предметной области, когда до алгоритмов и ф у н к ц и й дело еще не дошло. Нужен подход «широкого спе¬ ктра», не и м е ю щ и й такого концептуального разрыва с анализируемыми системами и п р и м е н и м ы й на всех этапах разработки и реализации слож¬ ных систем. М ы постараемся показать, что объектно-ориентированный подход удовлетворяет таким требованиям.
Основные понятия объектно-ориентированного подхода Объектно-ориентированный подход использует объектную деком¬ п о з и ц и ю , то есть поведение системы описывается в терминах взаимодей ствия объектов. Что ж е понимается под объектом и каковы другие основополагаю щ и е п о н я т и я данного подхода? Прежде всего, введем понятие класса. Класс — это абстракция мно¬ жества сущностей реального мира, объединенных общностью структуры и поведения. 19
Курс
Основы информационной безопасности
Объект — это элемент класса, то есть абстракция определенной сущ¬ ности. Подчеркнем, что объекты активны, у них есть не только внутренняя структура, но и поведение, которое описывается так называемыми мето¬ д а м и объекта. Н а п р и м е р , может быть определен класс «пользователь», ха¬ рактеризующий «пользователя вообще», то есть ассоциированные с поль зователями д а н н ы е и их поведение (методы). После этого может быть со¬ здан объект «пользователь Иванов» с соответствующей конкретизацией данных и, возможно, методов. К активности объектов м ы еще вернемся. Следующую группу важнейших понятий объектного подхода состав ляют инкапсуляция, наследование и п о л и м о р ф и з м . О с н о в н ы м инструментом борьбы со сложностью в объектно-ориен¬ тированном подходе является инкапсуляция — сокрытие реализации объ¬ ектов (их внутренней структуры и деталей реализации методов) с предо¬ ставлением вовне только строго определенных интерфейсов. Понятие «полиморфизм» может трактоваться как способность объек та принадлежать более чем одному классу. Введение этого понятия отража ет необходимость смотреть на объекты под разными углами зрения, выде лять при построении абстракций разные аспекты сущностей моделируемой предметной области, не нарушая при этом целостности объекта. (Строго говоря, существуют и другие виды полиморфизма, такие как перегрузка и параметрический полиморфизм, но нас они сейчас не интересуют.) Наследование означает построение новых классов на основе сущест¬ вующих с возможностью добавления или переопределения данных и м е тодов. Наследование является важным инструментом борьбы с р а з м н о ж е н и е м сущностей без необходимости. Общая и н ф о р м а ц и я не дублиру ется, указывается только то, что меняется. П р и этом класс-потомок п о мнит о своих «корнях». Очень важно и то, что наследование и п о л и м о р ф и з м в совокупности наделяют объектно-ориентированную систему способностью к относи¬ тельно безболезненной эволюции. Средства и н ф о р м а ц и о н н о й безопас¬ ности приходится постоянно модифицировать и обновлять, и если нель зя сделать так, чтобы это было экономически выгодно, И Б из инструмен та защиты превращается в обузу. М ы еще вернемся к механизму наследования при рассмотрении р о левого управления доступом. П о п о л н и м рассмотренный в ы ш е классический набор понятий объ ектно-ориентированного подхода еще двумя понятиями: грани объекта и уровня детализации. Объекты реального мира обладают, как правило, несколькими отно¬ сительно независимыми характеристиками. Применительно к объектной 20
Лекция 2
Распространение объектно-ориентированного подхода на ИБ
модели будем называть такие характеристики гранями. М ы уже сталкива лись с тремя о с н о в н ы м и гранями И Б — доступностью, целостностью и конфиденциальностью. П о н я т и е грани позволяет более естественно, чем п о л и м о р ф и з м , смотреть на объекты с разных точек зрения и строить раз¬ ноплановые абстракции. П о н я т и е уровня детализации важно не только для визуализации объектов, но и для систематического рассмотрения сложных систем, представленных в иерархическом виде. Само по себе оно очень простое: если очередной уровень иерархии рассматривается с уровнем детализа ц и и n > 0, то следующий — с уровнем (n - 1 ) . Объект с уровнем дета лизации 0 считается атомарным. П о н я т и е уровня детализации показа позволяет рассматривать ие¬ рархии с потенциально бесконечной высотой, варьировать детализацию к а к объектов в целом, так и их граней. Весьма распространенной конкретизацией объектно-ориентирован¬ ного подхода являются к о м п о н е н т н ы е объектные среды, к числу которых принадлежит, например, JavaBeans. Здесь появляется два новых важных понятия: компонент и контейнер. Н е ф о р м а л ь н о компонент м о ж н о определить как многократно ис¬ пользуемый объект, допускающий обработку в графическом инструмен¬ тальном окружении и сохранение в долговременной памяти. К о н т е й н е р ы могут включать в себя множество компонентов, обра зуя о б щ и й контекст взаимодействия с другими к о м п о н е н т а м и и с окруже¬ нием. К о н т е й н е р ы могут выступать в роли компонентов других контей¬ неров. К о м п о н е н т н ы е объектные среды обладают всеми достоинствами, присущими объектно-ориентированному подходу: • инкапсуляция объектных компонентов скрывает сложность ре ализации, делая видимым только предоставляемый вовне ин¬ терфейс; • наследование позволяет развивать созданные ранее к о м п о н е н ты, не нарушая целостность объектной оболочки; • п о л и м о р ф и з м по сути дает возможность группировать объекты, характеристики которых с некоторой точки зрения м о ж н о счи¬ тать сходными. П о н я т и я ж е компонента и контейнера необходимы н а м потому, что с их п о м о щ ь ю м ы можем естественным образом представить защищае¬ мую И С и сами защитные средства. В частности, контейнер может опре¬ делять границы контролируемой зоны (задавать так называемый «пери¬ метр безопасности»). На этом м ы завершаем описание основных понятий объектно-ори¬ ентированного подхода. 21
Курс
Основы информационной безопасности
Применение объектно-ориентированного подхода к рассмотрению защищаемых систем Попытаемся применить объектно-ориентированный подход к во¬ просам и н ф о р м а ц и о н н о й безопасности. Проблема обеспечения и н ф о р м а ц и о н н о й безопасности — к о м п л е к с ная, защищать приходится сложные системы, и сами з а щ и т н ы е средства тоже сложны, поэтому н а м понадобятся все введенные понятия. Начнем с понятия грани. Фактически три грани уже были введены: это доступность, целост¬ ность и конфиденциальность. И х м о ж н о рассматривать относительно не¬ зависимо, и считается, что если все они обеспечены, то обеспечена и И Б в целом (то есть субъектам и н ф о р м а ц и о н н ы х о т н о ш е н и й не будет нане¬ сен неприемлемый ущерб). Таким образом, м ы структурировали нашу цель. Теперь нужно структурировать средства ее достижения. Введем следующие грани: • законодательные меры обеспечения и н ф о р м а ц и о н н о й безопас¬ ности; • административные меры (приказы и другие действия руковод ства организаций, связанных с з а щ и щ а е м ы м и информацион¬ н ы м и системами); • процедурные меры (меры безопасности, ориентированные на людей); • программно-технические меры. В дальнейшей части курса м ы п о я с н и м подробнее, что понимается под каждой из выделенных граней. Здесь же отметим, что, в п р и н ц и п е , их м о ж н о рассматривать и как результат варьирования уровня детализации (по этой п р и ч и н е м ы будем употреблять словосочетания «законодатель¬ н ы й уровень», «процедурный уровень» и т.п.). З а к о н ы и нормативные ак¬ ты ориентированы на всех субъектов и н ф о р м а ц и о н н ы х о т н о ш е н и й неза¬ висимо от их организационной принадлежности (это могут быть как юри¬ дические, так и физические лица) в пределах страны (международные к о н в е н ц и и имеют даже более широкую область действия), администра¬ тивные меры — на всех субъектов в пределах организации, процедурные — на отдельных людей (или небольшие категории субъектов), программнотехнические — на оборудование и программное обеспечение. П р и такой трактовке в переходе с уровня на уровень м о ж н о усмотреть п р и м е н е н и е наследования (каждый следующий уровень не отменяет, а дополняет пре¬ дыдущий), а также п о л и м о р ф и з м а (субъекты выступают сразу в несколь¬ ких ипостасях — например, к а к и н и ц и а т о р ы административных мер и как обычные пользователи, обязанные этим мерам подчиняться). 22
Лекция 2
Распространение объектно-ориентированного подхода на ИБ
Очевидно, для всех выделенных, относительно независимых граней действует п р и н ц и п инкапсуляции (это и значит, что грани «относительно независимы»). Более того, эти две совокупности граней м о ж н о назвать ортогональными, поскольку для ф и к с и р о в а н н о й грани в одной совокуп¬ ности (например, доступности) грани в другой совокупности д о л ж н ы пробегать все множество возможных значений (нужно рассмотреть зако¬ нодательные, административные, процедурные и программно-техничес¬ к и е меры). Ортогональных совокупностей не должно быть много; думает¬ ся, двух совокупностей с числом элементов, соответственно, 3 и 4 уже д о статочно, так к а к они дают 12 комбинаций. Продемонстрируем теперь, как м о ж н о рассматривать защищаемую И С , варьируя уровень детализации. Пусть интересы субъектов и н ф о р м а ц и о н н ы х о т н о ш е н и й концент¬ рируются вокруг И С некой организации, располагающей двумя террито¬ риально р а з н е с е н н ы м и производственными площадками, на каждой из которых есть серверы, обслуживающие своих и внешних пользователей, а также пользователи, нуждающиеся во внутренних и внешних сервисах. Одна из площадок оборудована в н е ш н и м подключением (то есть имеет выход в Internet). П р и взгляде с нулевым уровнем детализации м ы увидим л и ш ь то, что у организации есть и н ф о р м а ц и о н н а я система (см. рис. 2.0).
ИС организации Рис. 2.0. И С при рассмотрении с уровнем детализации 0. Подобная точка зрения может показаться несостоятельной, но это не так. Уже здесь необходимо учесть законы, применимые к организациям, располагающим и н ф о р м а ц и о н н ы м и системами. Возможно, какую-либо информацию нельзя хранить и обрабатывать на компьютерах, если И С не была аттестована на соответствие определенным требованиям. На админи¬ стративном уровне могут быть декларированы цели, ради которых создава¬ лась И С , общие правила закупок, внедрения новых компонентов, эксплу атации и т.п. На процедурном уровне нужно определить требования к ф и зической безопасности И С и пути их выполнения, правила противопожар ной безопасности и т.п. На программно-техническом уровне могут быть определены предпочтительные аппаратно-программные платформы и т.п. П о каким критериям проводить д е к о м п о з и ц и ю И С — в значитель¬ н о й степени дело вкуса. Будем считать, что на первом уровне детализации делаются видимыми сервисы и пользователи, точнее, разделение на кли¬ ентскую и серверную часть (рис. 2.1). 23
Курс
Основы информационной безопасности
ИС организации: Сервисы (без конкретизации) Пользователи (без конкретизации) Рис. 2.1. И С при рассмотрении с уровнем детализации 1. На этом уровне следует сформулировать требования к сервисам (к самому их наличию, к доступности, целостности и конфиденциальности предоставляемых и н ф о р м а ц и о н н ы х услуг), изложить способы выполне н и я этих требований, определить общие правила поведения пользовате¬ лей, необходимый уровень их предварительной подготовки, методы кон¬ троля их поведения, порядок п о о щ р е н и я и наказания и т.п. Могут быть сформулированы требования и предпочтения по о т н о ш е н и ю к сервер¬ н ы м и клиентским платформам. На втором уровне детализации м ы увидим следующее (см. рис. 2.2).
Internet Сервисы, используемые организацией (без конкретизации) Пользователи сервисов организации (без конкретизации)
ИС организации: Предоставляемые сервисы (без конкретизации) Внутренние сервисы (без конкретизации) Пользователи внешних сервисов (без конкретизации) Пользователи внутренних сервисов (без конкретизации)
Рис. 2.2. И С при рассмотрении с уровнем детализации 2. 24
Лекция 2
Распространение объектно-ориентированного подхода на ИБ
На этом уровне нас все еще не интересует внутренняя структура И С организации, равно как и детали Internet. Констатируется только существо вание связи между этими сетями, наличие в них пользователей, а также пре доставляемых и внутренних сервисов. Что это за сервисы, пока неважно. Находясь на уровне детализации 2, м ы д о л ж н ы учитывать законы, п р и м е н и м ы е к организациям, И С которых снабжены в н е ш н и м и подклю ч е н и я м и . Речь идет о допустимости такого подключения, о его защите, об ответственности пользователей, обращающихся к в н е ш н и м сервисам, и об ответственности организаций, открывающих свои сервисы для в н е ш него доступа. Конкретизация аналогичной направленности, с учетом н а личия внешнего подключения, должна быть выполнена на администра тивном, процедурном и программно-техническом уровнях. Обратим в н и м а н и е на т о , что контейнер (в смысле компонентной объектной среды) « И С организации» задает границы контролируемой з о н ы , в пределах которых организация проводит определенную политику. Internet живет п о другим правилам, которые организация должна прини¬ мать, как данность. Увеличивая уровень детализации, м о ж н о разглядеть две разнесен н ы е производственные площадки и каналы связи между н и м и , распреде¬ л е н и е сервисов и пользователей по этим площадкам и средства обеспече¬ н и я безопасности внутренних к о м м у н и к а ц и й , специфику отдельных сер висов, разные категории пользователей и т.п. М ы , однако, на этом оста новимся.
Недостатки традиционного подхода к информационной безопасности с объектной точки зрения Исходя и з основных положений объектно-ориентированного под¬ хода, следует в первую очередь признать устаревшим традиционное деле¬ н и е на активные и пассивные сущности (субъекты и объекты в привыч¬ н о й для дообъектной И Б терминологии). Подобное деление устарело, п о крайней мере, по двум причинам. Во-первых, в объектном подходе пассивных объектов нет. М о ж н о считать, что все объекты активны одновременно и п р и необходимости вызывают методы друг друга. К а к реализованы э т и методы (и, в частнос¬ ти, к а к организован доступ к п е р е м е н н ы м и их значениям) — внутреннее дело вызываемого объекта; детали реализации скрыты, инкапсулирова ны. Вызывающему объекту доступен только предоставляемый интерфейс. Во-вторых, нельзя сказать, что какие-то программы (методы) в ы полняются от и м е н и пользователя. Реализации объектов сложны, так что последние нельзя рассматривать всего л и ш ь к а к инструменты выполне25
Курс
Основы информационной безопасности
н и я воли пользователей. Скорее м о ж н о считать, что пользователь прямо или (как правило) косвенно, на свой страх и риск, «просит» некоторый объект об определенной и н ф о р м а ц и о н н о й услуге. Когда активизируется вызываемый метод, объект действует скорее от имени (во всяком случае, по воле) своего создателя, ч е м от и м е н и вызвавшего его пользователя. М о ж н о считать, что объекты обладают достаточной «свободой воли», чтобы выполнять действия, о которых пользователь н е только н е просил, но даже не догадывается об их возможности. Особенно это справедливо в сетевой среде и для программного обеспечения ( П О ) , полученного через Internet, н о может оказаться верным и для коммерческого П О , закуплен¬ ного п о всем правилам у солидной ф и р м ы . Для иллюстрации приведем следующий гипотетический пример. Б а н к , И С которого имеет соединение с Internet, приобрел за рубежом ав¬ томатизированную банковскую систему (АБС). Только спустя некоторое время в банке решили, что внешнее соединение нуждается в защите, и ус¬ тановили межсетевой экран. Изучение регистрационной и н ф о р м а ц и и экрана показало, что вре¬ мя от времени за рубеж отправляются IP-пакеты, содержащие какие-то н е п о н я т н ы е д а н н ы е (наверное, з а ш и ф р о в а н н ы е , р е ш и л и в банке). Стали разбираться, куда ж е пакеты направляются, и оказалось, что идут о н и в фирму, разработавшую А Б С . Возникло подозрение, что в А Б С встроена закладка, чтобы получать и н ф о р м а ц и ю о деятельности банка. Связались с ф и р м о й ; там очень удивились, поначалу все отрицали, н о в к о н ц е кон¬ цов выяснили, что один из программистов н е убрал из поставленного в банк варианта отладочную выдачу, которая была организована через сеть (как передача IP-пакетов специфического вида, с я в н о заданным IP-адресом рабочего места этого программиста). Таким образом, никакого злого умысла н е было, однако некоторое время и н ф о р м а ц и я о платежах свобод но гуляла по сетям. В дальнейшей части курса, в л е к ц и и , п о с в я щ е н н о й разграничению доступа, м ы обсудим, к а к м о ж н о кардинальным образом решить подоб¬ н ы е проблемы. Здесь отметим л и ш ь , что п р и определении допустимости доступа важно н е только (и н е столько), кто обратился к объекту, н о и т о , какова семантика действия. Б е з привлечения семантики нельзя опреде лить т а к называемые «троянские программы», в ы п о л н я ю щ и е , п о м и м о декларированных, некоторые скрытые (обычно негативные) действия. По-видимому, следует признать устаревшим и положение о том, что разграничение доступа направлено на защиту от злоумышленников. При¬ веденный в ы ш е пример показывает, что внутренние о ш и б к и распреде¬ ленных И С представляют н е меньшую опасность, а гарантировать их от сутствие в сложных системах современная технология программирования не позволяет. 26
Лекция 2
Распространение объектно-ориентированного подхода на ИБ
В дообъектной И Б одним из важнейших требований является безо пасность повторного использования пассивных сущностей (таких, на пример, как динамически выделяемые области памяти). Очевидно, по¬ добное требование вступает в к о н ф л и к т с таким фундаментальным прин¬ ц и п о м , как инкапсуляция. Объект нельзя очистить в н е ш н и м образом (за полнить нулями или случайной последовательностью бит), если только о н сам не предоставляет соответствующий метод. П р и наличии такого метода надежность очистки зависит от корректности его реализации и вызова. Одним из самых прочных стереотипов среди специалистов по И Б является трактовка операционной системы как доминирующего средства безопасности. Н а разработку з а щ и щ е н н ы х О С выделяются значительные средства, зачастую в ущерб остальным направлениям защиты и, следова¬ тельно, в ущерб реальной безопасности. В современных И С , выстроен¬ ных в многоуровневой архитектуре клиент/сервер, О С не контролирует объекты, с которыми работают пользователи, равно к а к и действия самих пользователей, которые регистрируются и учитываются прикладными средствами. Основной функцией безопасности О С становится защита возможностей, предоставляемых привилегированным пользователям, от атак пользователей обычных. Это важно, но безопасность такими мерами не исчерпывается. Далее м ы рассмотрим подход к построению программно-технического уровня И Б в виде совокупности сервисов безопасности.
27
Курс
Основы информационной безопасности
Л е к ц и я 3. Н а и б о л е е р а с п р о с т р а н е н н ы е у г р о з ы
Знание возможных угроз, а также уязвимых мест защиты, которые эти угро зы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Ключевые слова: угроза, атака, уязвимость, о к н о опасности, источ¬ н и к угрозы, з л о у м ы ш л е н н и к , н е п р е д н а м е р е н н ы е о ш и б к и , отказ пользователей, внутренний отказ, отказ поддерживающей инфра¬ структуры, о б и ж е н н ы е сотрудники, с т и х и й н ы е бедствия, п о в р е ж д е н и е оборудования, аварии поддерживающей инфраструктуры, агрессивное потребление ресурсов, л о к а л ь н о е потребление, уда¬ л е н н о е потребление, вредоносное П О , бомба, вирус, червь, т р о я н ская программа, п е р е п о л н е н и е буфера, активное содержимое, м о бильные агенты, статическая целостность, д и н а м и ч е с к а я целост¬ ность, целостность данных, целостность п р о г р а м м н о й среды, неотказуемость, кража, подлог, перехват д а н н ы х , злоупотребление пол¬ н о м о ч и я м и , маскарад, методы морально-психологического в о з действия.
Основные определения и критерии классификации угроз Угроза — это потенциальная возможность определенным образом нарушить и н ф о р м а ц и о н н у ю безопасность. П о п ы т к а реализации угрозы называется атакой, а тот, кто предпри¬ нимает такую попытку, — злоумышленником. Потенциальные злоумыш¬ л е н н и к и называются источниками угрозы. Ч а щ е всего угроза является следствием наличия уязвимых мест в за¬ щите и н ф о р м а ц и о н н ы х систем (таких, например, как возможность до¬ ступа посторонних лиц к критически важному оборудованию или ошиб¬ к и в программном обеспечении). Промежуток времени от момента, когда появляется возможность и с пользовать слабое место, и до момента, когда пробел ликвидируется, н а зывается о к н о м опасности, ассоциированным с д а н н ы м уязвимым мес¬ том. П о к а существует о к н о опасности, возможны успешные атаки на И С . Если речь идет об ошибках в П О , то о к н о опасности «открывается» с появлением средств использования о ш и б к и и ликвидируется при н а л о ж е н и и заплат, ее исправляющих. 28
Лекция 3
Наиболее распространенные угрозы
Для большинства уязвимых мест о к н о опасности существует сравни тельно долго (несколько дней, иногда — недель), поскольку за это время д о л ж н ы произойти следующие события: • должно стать известно о средствах использования пробела в защите; • д о л ж н ы быть выпущены соответствующие заплаты; • заплаты д о л ж н ы быть установлены в защищаемой И С . М ы уже указывали, что новые уязвимые места и средства их исполь зования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат — как м о ж н о более оперативно. Отметим, что некоторые угрозы нельзя считать следствием каких-то о ш и б о к или просчетов; о н и существуют в силу самой природы современ¬ ных И С . Н а п р и м е р , угроза отключения электричества или выхода его па¬ раметров за допустимые границы существует в силу зависимости аппарат¬ ного обеспечения И С от качественного электропитания. Рассмотрим наиболее распространенные угрозы, которым подверже¬ н ы современные и н ф о р м а ц и о н н ы е системы. Иметь представление о воз¬ можных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее э к о н о м и ч н ы е средства обеспечения безопасности. С л и ш к о м много м и ф о в су¬ ществует в сфере и н ф о р м а ц и о н н ы х технологий (вспомним все ту ж е «Проблему 2000»), поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где о н и не особен¬ но нужны, за счет ослабления действительно уязвимых направлений. Подчеркнем, что само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организа ц и и угроз конфиденциальности может просто не существовать — вся и н формация считается общедоступной; однако в большинстве случаев неле гальный доступ представляется серьезной опасностью. И н ы м и словами, угрозы, как и все в И Б , зависят от интересов субъектов и н ф о р м а ц и о н н ы х отношений (и от того, какой ущерб является для них неприемлемым). М ы попытаемся взглянуть на предмет с точки зрения т и п и ч н о й (на н а ш взгляд) организации. Впрочем, многие угрозы (например, пожар) опасны для всех. Угрозы м о ж н о классифицировать по нескольким критериям: • по аспекту и н ф о р м а ц и о н н о й безопасности (доступность, цело¬ стность, конфиденциальность), против которого угрозы на¬ правлены в первую очередь; • по компонентам и н ф о р м а ц и о н н ы х систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); 29
Курс
Основы информационной безопасности
•
по способу осуществления (случайные/преднамеренные дейст вия природного/техногенного характера); • по расположению источника угроз (внутри/вне рассматривае¬ мой И С ) . В качестве основного критерия м ы будем использовать первый (по аспекту И Б ) , привлекая при необходимости остальные.
Наиболее распространенные угрозы доступности С а м ы м и частыми и самыми о п а с н ы м и (с точки зрения размера ущерба) являются непреднамеренные о ш и б к и штатных пользователей, операторов, системных администраторов и других л и ц , обслуживающих и н ф о р м а ц и о н н ы е системы. Иногда такие о ш и б к и и являются собственно угрозами (неправильно введенные д а н н ы е или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно о ш и б к и администрирования). П о н е которым д а н н ы м , до 65% потерь — следствие непреднамеренных ошибок. П о ж а р ы и наводнения не приносят столько бед, сколько безграмот¬ ность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренны¬ ми о ш и б к а м и — максимальная автоматизация и строгий контроль. Другие угрозы доступности классифицируем по компонентам И С , на которые нацелены угрозы: • отказ пользователей; • внутренний отказ и н ф о р м а ц и о н н о й системы; • отказ поддерживающей инфраструктуры. Обычно применительно к пользователям рассматриваются следую¬ щ и е угрозы: • нежелание работать с и н ф о р м а ц и о н н о й системой (чаще всего проявляется при необходимости осваивать новые возможности и п р и расхождении между запросами пользователей и фактиче¬ с к и м и возможностями и техническими характеристиками); • невозможность работать с системой в силу отсутствия соответ¬ ствующей подготовки (недостаток общей компьютерной гра¬ мотности, неумение интерпретировать диагностические сооб¬ щ е н и я , неумение работать с документацией и т.п.); • невозможность работать с системой в силу отсутствия техниче¬ ской поддержки (неполнота документации, недостаток спра¬ вочной и н ф о р м а ц и и и т.п.). О с н о в н ы м и источниками внутренних отказов являются: • отступление (случайное или умышленное) от установленных 30
Лекция 3
Наиболее распространенные угрозы
правил эксплуатации; выход системы из штатного режима эксплуатации в силу слу¬ чайных или преднамеренных действий пользователей или об¬ служивающего персонала (превышение расчетного числа запро¬ сов, чрезмерный объем обрабатываемой и н ф о р м а ц и и и т.п.); • о ш и б к и при (пере)конфигурировании системы; • отказы программного и аппаратного обеспечения; • разрушение данных; • разрушение или повреждение аппаратуры. П о о т н о ш е н и ю к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы: • нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и / и л и теплоснабжения, к о н д и ц и о н и р о вания; • разрушение или повреждение п о м е щ е н и й ; • невозможность и л и н е ж е л а н и е обслуживающего персонала и / и л и пользователей выполнять свои обязанности (граждан ские беспорядки, аварии на транспорте, террористический акт и л и его угроза, забастовка и т.п.). Весьма опасны так называемые «обиженные» сотрудники — нынеш¬ н и е и бывшие. К а к правило, они стремятся нанести вред организации«обидчику», например: • испортить оборудование; • встроить логическую бомбу, которая со временем разрушит программы и / и л и д а н н ы е ; • удалить данные. О б и ж е н н ы е сотрудники, даже бывшие, знакомы с порядками в орга¬ н и з а ц и и и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к и н ф о р м а ц и о н н ы м ресурсам аннулировались. Опасны, разумеется, стихийные бедствия и события, воспринимае м ы е к а к стихийные бедствия,— пожары, наводнения, землетрясения, ура ганы. П о статистике, на долю огня, воды и тому подобных «злоумышлен ников» (среди которых самый опасный — перебой электропитания) п р и ходится 13% потерь, нанесенных и н ф о р м а ц и о н н ы м системам. •
Некоторые примеры угроз доступности Угрозы доступности могут выглядеть грубо — как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение может вызываться естественными п р и ч и н а м и (чаще всего — грозами). К сожалению, находящиеся в массовом использовании источ31
Курс
Основы информационной безопасности
н и к и бесперебойного питания не защищают от м о щ н ы х кратковремен ных импульсов, и случаи выгорания оборудования — не редкость. В п р и н ц и п е , м о щ н ы й кратковременный импульс, способный разру¬ шить д а н н ы е на магнитных носителях, м о ж н о сгенерировать и искусст¬ в е н н ы м образом — с п о м о щ ь ю так называемых высокоэнергетических ра¬ диочастотных пушек. Н о , наверное, в н а ш и х условиях подобную угрозу следует все ж е признать надуманной. Действительно опасны протечки водопровода и отопительной сис¬ темы. Часто организации, чтобы сэкономить на арендной плате, снимают п о м е щ е н и я в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. Автору курса довелось быть свидетелем ситуа ц и и , когда прорвало трубу с горячей водой, и системный блок компьюте ра (это была рабочая станция производства Sun Microsystems) оказался за полнен кипятком. Когда кипяток вылили, а компьютер просушили, он возобновил нормальную работу, но лучше таких опытов не ставить... Летом, в сильную жару, норовят сломаться кондиционеры, установлен ные в серверных залах, набитых дорогостоящим оборудованием. В результа те значительный ущерб наносится и репутации, и кошельку организации. Общеизвестно, что периодически необходимо производить резерв¬ ное копирование данных. Однако даже если это предложение выполняет ся, резервные носители зачастую хранят небрежно (к этому м ы еще вер немся при обсуждении угроз конфиденциальности), не обеспечивая их защиту от вредного воздействия окружающей среды. И когда требуется восстановить д а н н ы е , оказывается, что эти самые носители н и к а к не ж е лают читаться. Перейдем теперь к угрозам доступности, которые будут похитрее засоров канализации. Речь пойдет о программных атаках на доступность. В качестве средства вывода системы из штатного режима эксплуата¬ ц и и может использоваться агрессивное потребление ресурсов (обычно — полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). П о расположению источника угрозы такое п о требление подразделяется на локальное и удаленное. П р и просчетах в конфигурации системы локальная программа способна практически м о нополизировать процессор и / и л и физическую память, сведя скорость в ы полнения других программ к нулю. Простейший пример удаленного потребления ресурсов — атака, п о лучившая наименование «SYN-наводнение». Она представляет собой п о пытку переполнить таблицу «полуоткрытых» T C P - с о е д и н е н и й сервера (установление соединений начинается, но не заканчивается). Такая атака по меньшей мере затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный. 32
Лекция 3
Наиболее распространенные угрозы
П о о т н о ш е н и ю к атаке «Papa Smurf» уязвимы сети, в о с п р и н и м а ю щ и е ping-пакеты с широковещательными адресами. Ответы на такие па кеты «съедают» полосу пропускания. Удаленное потребление ресурсов в последнее время проявляется в особенно опасной форме — к а к скоординированные распределенные ата¬ к и , когда на сервер с множества разных адресов с максимальной скоро¬ стью направляются вполне легальные запросы на соединение и / и л и об¬ служивание. Временем начала «моды» на подобные атаки м о ж н о считать февраль 2000 года, когда жертвами оказались несколько крупнейших си¬ стем электронной к о м м е р ц и и (точнее — владельцы и пользователи сис¬ тем). Отметим, что если имеет место архитектурный просчет в виде разбалансированности между пропускной способностью сети и производи¬ тельностью сервера, то защититься от распределенных атак на доступ¬ ность крайне трудно. Для выведения систем и з штатного режима эксплуатации могут и с пользоваться уязвимые места в виде программных и аппаратных ошибок. Н а п р и м е р , известная ошибка в процессоре Pentium I дает возможность локальному пользователю путем в ы п о л н е н и я определенной команды «подвесить» компьютер, так что помогает только аппаратный RESET. Программа «Teardrop» удаленно «подвешивает» компьютеры, э к с плуатируя ошибку в сборке фрагментированных IP-пакетов.
Вредоносное программное обеспечение Одним и з опаснейших способов проведения атак является внедре н и е в атакуемые системы вредоносного программного обеспечения. М ы выделим следующие грани вредоносного П О : • вредоносная ф у н к ц и я ; • способ распространения; • внешнее представление. Часть, осуществляющую разрушительную функцию, будем называть «бомбой» (хотя, возможно, более удачными терминами были бы «заряд» или «боеголовка»). Вообще говоря, спектр вредоносных функций неограничен, поскольку «бомба», как и любая другая программа, может обладать сколь угодно сложной логикой, но обычно «бомбы» предназначаются для: • внедрения другого вредоносного П О ; • получения контроля над атакуемой системой; • агрессивного потребления ресурсов; • и з м е н е н и я или разрушения программ и / и л и данных. П о механизму распространения различают: • вирусы — код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы; 33
Курс
Основы информационной безопасности
•
«черви» — код, способный самостоятельно, то есть без внедре н и я в другие программы, вызывать распространение своих к о п и й по И С и их в ы п о л н е н и е (для активизации вируса требуется запуск зараженной программы). Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется в н е ш н я я п о м о щ ь , такая как пересыл¬ ка зараженного файла. «Черви», напротив, ориентированы в первую оче¬ редь на путешествия по сети. Иногда само распространение вредоносного П О вызывает агрессив¬ ное потребление ресурсов и, следовательно, является вредоносной ф у н к цией. Н а п р и м е р , «черви» «съедают» полосу пропускания сети и ресурсы почтовых систем. П о этой п р и ч и н е для атак на доступность они не нуж даются во встраивании специальных «бомб». Вредоносный код, который выглядит как ф у н к ц и о н а л ь н о полезная программа, называется троянским. Н а п р и м е р , обычная программа, буду ч и пораженной вирусом, становится троянской; порой троянские про¬ граммы изготавливают вручную и подсовывают доверчивым пользовате¬ лям в к а к о й - л и б о привлекательной упаковке. Отметим, что д а н н ы е нами определения и приведенная классифика ц и я вредоносного П О отличаются от общепринятых. Н а п р и м е р , в ГОСТ Р 51275-99 «Защита и н ф о р м а ц и и . Объект информатизации. Факторы, воздействующие на и н ф о р м а ц и ю . О б щ и е положения» содержится следу¬ ющее определение: «Программный вирус — это исполняемый или интерпретируемый про¬ граммный код, обладающий свойством несанкционированного распрост¬ ранения и самовоспроизведения в автоматизированных системах или теле коммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах». На н а ш взгляд, подобное определение неудачно, поскольку в нем с м е ш а н ы ф у н к ц и о н а л ь н ы е и транспортные аспекты. Окно опасности для вредоносного П О появляется с выпуском новой разновидности «бомб», вирусов и / и л и «червей» и перестает существовать с обновлением базы данных антивирусных программ и наложением дру¬ гих необходимых заплат. П о традиции из всего вредоносного П О наибольшее в н и м а н и е об¬ щественности приходится на долю вирусов. Однако до марта 1999 года с п о л н ы м правом м о ж н о было утверждать, что «несмотря на экспоненци¬ альный рост числа известных вирусов, аналогичного роста количества инцидентов, вызванных и м и , не зарегистрировано. Соблюдение неслож¬ ных правил "компьютерной гигиены" практически сводит р и с к зараже н и я к нулю. Там, где работают, а не играют, число зараженных компьюте ров составляет л и ш ь доли процента». 34
Лекция 3
Наиболее распространенные угрозы
В марте 1999 года, с появлением вируса «Melissa», ситуация карди нальным образом изменилась. «Melissa» — это макровирус для файлов MS-Word, распространяющийся посредством электронной почты в при¬ соединенных файлах. Когда такой (зараженный) присоединенный файл открывают, о н рассылает свои к о п и и по первым 50 адресам и з адресной к н и г и Microsoft Outlook. В результате почтовые серверы подвергаются атаке на доступность. В д а н н о м случае н а м хотелось бы отметить два момента. 1. К а к уже говорилось, пассивные объекты отходят в прошлое; так на зываемое активное содержимое становится нормой. Ф а й л ы , кото р ы е п о всем признакам д о л ж н ы были бы относиться к д а н н ы м (на¬ пример, документы в форматах MS-Word и л и Postscript, тексты поч¬ товых сообщений), способны содержать интерпретируемые компо¬ ненты, которые могут запускаться н е я в н ы м образом п р и открытии файла. К а к и всякое в целом прогрессивное явление, такое «повы¬ ш е н и е активности данных» имеет свою оборотную сторону (в рас¬ сматриваемом случае — отставание в разработке механизмов безо¬ пасности и о ш и б к и в их реализации). Обычные пользователи е щ е н е скоро научатся применять интерпретируемые к о м п о н е н т ы «в м и р ных целях» (или хотя бы узнают об их существовании), а перед зло у м ы ш л е н н и к а м и открылось по существу неограниченное поле д е я тельности. К а к н и банально это звучит, н о если для стрельбы п о в о робьям выкатывается пушка, то пострадает в основном стреляющий. 2. Интеграция разных сервисов, наличие среди них сетевых, всеобщая связность многократно увеличивают потенциал для атак на доступ¬ н о с т ь , облегчают р а с п р о с т р а н е н и е в р е д о н о с н о г о П О (вирус «Melissa» — классический тому пример). Образно говоря, многие и н ф о р м а ц и о н н ы е системы, если н е принять защитных мер, оказыва ются «в одной лодке» (точнее — в корабле без переборок), так что до¬ статочно одной пробоины, чтобы «лодка» тут ж е пошла ко дну. К а к это часто бывает, вслед за «Melissa» появилась на свет целая се р и я вирусов, «червей» и их к о м б и н а ц и й : «Explorer.zip» (июнь 1999), «Bubble Boy» (ноябрь 1999), «ILOVEYOU» (май 2000) и т.д. Н е то что бы от н и х был особенно большой ущерб, н о общественный резонанс о н и вызвали немалый. Активное содержимое, п о м и м о интерпретируемых компонентов до¬ кументов и других файлов данных, имеет е щ е одно популярное обличье — так называемые мобильные агенты. Это программы, которые загружают ся на другие компьютеры и там выполняются. Наиболее известные п р и меры мобильных агентов — Java-апплеты, загружаемые на пользователь ский компьютер и интерпретируемые Internet-навигаторами. Оказалось, что разработать для н и х модель безопасности, оставляющую достаточно 35
Курс
Основы информационной безопасности
возможностей для полезных действий, н е так-то просто; еще сложнее ре¬ ализовать такую модель без ошибок. В августе 1999 года стали известны недочеты в реализации технологий ActiveX и Java в рамках Microsoft Internet Explorer, которые давали возможность размещать на Web-серверах вредоносные апплеты, позволяющие получать п о л н ы й контроль над системой-визитером. Для внедрения «бомб» часто используются о ш и б к и типа «перепол н е н и е буфера», когда программа, работая с областью памяти, выходит за границы допустимого и записывает в нужные злоумышленнику места оп¬ ределенные данные. Так действовал е щ е в 1988 году знаменитый «червь Морриса»; в и ю н е 1999 года хакеры нашли способ использовать анало¬ гичный метод по о т н о ш е н и ю к Microsoft Internet Information Server (IIS), чтобы получить контроль н а д Web-сервером. Окно опасности охватило сразу около полутора миллионов серверных систем... Н е забыты современными з л о у м ы ш л е н н и к а м и и и с п ы т а н н ы е тро¬ я н с к и е программы. Н а п р и м е р , «троянцы» Back Orifice и Netbus позволя¬ ют получить контроль н а д пользовательскими системами с р а з л и ч н ы м и вариантами MS-Windows. Таким образом, действие вредоносного П О может быть направлено не только против доступности, н о и против других основных аспектов ин¬ ф о р м а ц и о н н о й безопасности.
Основные угрозы целостности На втором месте по размерам ущерба (после непреднамеренных о ш и б о к и упущений) стоят кражи и подлоги. П о д а н н ы м газеты U S A Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организаци¬ я м был нанесен о б щ и й ущерб в размере 882 миллионов долларов. М о ж н о предположить, что реальный ущерб был намного больше, поскольку мно¬ гие организации п о п о н я т н ы м п р и ч и н а м скрывают такие инциденты; н е вызывает с о м н е н и й , что в н а ш и д н и ущерб от такого рода действий вырос многократно. В большинстве случаев в и н о в н и к а м и оказывались штатные сотруд¬ н и к и организаций, отлично знакомые с режимом работы и мерами защи¬ ты. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, ч е м о внешних. Ранее м ы проводили различие между статической и динамической целостностью. С целью нарушения статической целостности злоумыш¬ л е н н и к (как правило, штатный сотрудник) может: • ввести неверные данные; • изменить данные. 36
Лекция 3
Наиболее распространенные угрозы
И н о г д а и з м е н я ю т с я с о д е р ж а т е л ь н ы е д а н н ы е , и н о г д а — служеб н а я и н ф о р м а ц и я . П о к а з а т е л ь н ы й случай н а р у ш е н и я ц е л о с т н о с т и и м е л место в 1996 году. С л у ж а щ а я Oracle ( л и ч н ы й с е к р е т а р ь в и ц е - п р е зидента) предъявила судебный иск, обвиняя президента корпорации в н е з а к о н н о м у в о л ь н е н и и п о с л е того, к а к о н а отвергла его у х а ж и в а н и я . В д о к а з а т е л ь с т в о с в о е й п р а в о т ы ж е н щ и н а п р и в е л а э л е к т р о н н о е пись¬ м о , я к о б ы о т п р а в л е н н о е ее н а ч а л ь н и к о м президенту. С о д е р ж а н и е п и с ь м а д л я нас сейчас н е в а ж н о ; в а ж н о в р е м я о т п р а в к и . Д е л о в т о м , ч т о в и ц е - п р е з и д е н т п р е д ъ я в и л , в с в о ю очередь, ф а й л с р е г и с т р а ц и о н ной информацией компании сотовой связи, из которого явствовало, ч т о в у к а з а н н о е в р е м я о н р а з г о в а р и в а л по м о б и л ь н о м у телефону, н а ходясь вдалеке от своего р а б о ч е г о места. Т а к и м о б р а з о м , в суде с о с т о я л о с ь п р о т и в о с т о я н и е « ф а й л п р о т и в ф а й л а » . О ч е в и д н о , о д и н из н и х был ф а л ь с и ф и ц и р о в а н и л и и з м е н е н , то есть была н а р у ш е н а его цело¬ с т н о с т ь . Суд р е ш и л , ч т о п о д д е л а л и э л е к т р о н н о е п и с ь м о ( с е к р е т а р ш а з н а л а п а р о л ь в и ц е - п р е з и д е н т а , п о с к о л ь к у ей б ы л о п о р у ч е н о его ме¬ н я т ь ) , и и с к был отвергнут... (Теоретически возможно, что оба фигурировавших на суде файла были п о д л и н н ы м и , корректными с точки зрения целостности, а письмо отправили пакетными средствами, однако, на наш взгляд, это было бы очень странное для вице-президента действие.) И з приведенного случая м о ж н о сделать вывод не только об угрозах нарушения целостности, но и об опасности слепого доверия компьютер¬ н о й и н ф о р м а ц и и . Заголовки электронного письма могут быть поддела¬ н ы ; письмо в целом может быть фальсифицировано л и ц о м , з н а ю щ и м па¬ роль отправителя (мы приводили соответствующие примеры). Отметим, что последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие раз¬ ных аспектов и н ф о р м а ц и о н н о й безопасности: если нарушена конфиден¬ циальность, может пострадать целостность. Е щ е один урок: угрозой целостности является не только ф а л ь с и ф и к а ц и я или и з м е н е н и е данных, но и отказ от совершенных действий. Если нет средств обеспечить «неотказуемость», компьютерные д а н н ы е не мо¬ гут рассматриваться в качестве доказательства. Потенциально уязвимы с точки зрения нарушения целостности не только д а н н ы е , но и программы. Внедрение рассмотренного в ы ш е вредо¬ носного П О — пример подобного нарушения. Угрозами д и н а м и ч е с к о й ц е л о с т н о с т и я в л я ю т с я н а р у ш е н и е ато м а р н о с т и т р а н з а к ц и й , п е р е у п о р я д о ч е н и е , кража, д у б л и р о в а н и е д а н н ы х и л и в н е с е н и е д о п о л н и т е л ь н ы х с о о б щ е н и й (сетевых п а к е т о в и т.п.). Со¬ ответствующие действия в сетевой среде н а з ы в а ю т с я а к т и в н ы м прослу¬ шиванием. 37
Курс
Основы информационной безопасности
Основные угрозы конфиденциальности Конфиденциальную и н ф о р м а ц и ю м о ж н о разделить на предметную и служебную. Служебная и н ф о р м а ц и я (например, пароли пользователей) не относится к определенной предметной области, в и н ф о р м а ц и о н н о й системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей и н ф о р м а ц и и , в том числе предметной. Даже если и н ф о р м а ц и я хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности мо¬ гут носить некомпьютерный и вообще нетехнический характер. М н о г и м людям приходится выступать в качестве пользователей не одной, а целого ряда систем ( и н ф о р м а ц и о н н ы х сервисов). Если для д о ступа к таким системам используются многоразовые пароли или иная конфиденциальная и н ф о р м а ц и я , то наверняка эти д а н н ы е будут хранить ся не только в голове, но и в записной к н и ж к е или на листках бумаги, к о торые пользователь часто оставляет на рабочем столе, а то и попросту те ряет. И дело здесь не в неорганизованности людей, а в изначальной не¬ пригодности парольной схемы. Невозможно помнить много разных па¬ ролей; рекомендации по их регулярной (по возможности — частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко з а п о м и н а е м ы м (и столь ж е легко угадываемым) паролям. О п и с а н н ы й класс уязвимых мест м о ж н о назвать размещением кон¬ фиденциальных данных в среде, где и м не обеспечена (зачастую — и не может быть обеспечена) необходимая защита. Угроза ж е состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. П о м и м о паролей, хранящихся в записных к н и ж к а х пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает в о з м о ж н ы м перехват д а н ных. Для атаки могут использоваться разные технические средства (под¬ слушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна — осуществить доступ к д а н н ы м в тот момент, когда о н и наименее з а щ и щ е н ы . Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании И С , но и, что очень важно, при всех измене¬ ниях. Весьма опасной угрозой являются... выставки, на которые многие ор ганизации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки — это слишком суровое испытание честности всех участников. 38
Лекция 3
Наиболее распространенные угрозы
Е щ е один пример и з м е н е н и я , о котором часто забывают, — хранение данных на резервных носителях. Для защиты данных на основных н о с и телях применяются развитые системы управления доступом; к о п и и ж е нередко просто лежат в шкафах и получить доступ к н и м могут многие. Перехват данных — очень серьезная угроза, и если к о н ф и д е н ц и а л ь ность действительно является критичной, а д а н н ы е передаются по м н о гим каналам, их защита может оказаться весьма сложной и дорогостоя¬ щей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, мо¬ жет кто угодно, так что эту угрозу нужно принимать во в н и м а н и е по от¬ н о ш е н и ю не только к в н е ш н и м , но и к внутренним коммуникациям. Кражи оборудования являются угрозой не только для резервных н о сителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто те ряют. Опасной нетехнической угрозой конфиденциальности являются ме тоды морально-психологического воздействия, такие как маскарад — в ы п о л н е н и е действий под видом лица, обладающего п о л н о м о ч и я м и для д о ступа к д а н н ы м (см., например, статью Айрэ Винклера «Задание: шпио¬ наж» в Jet Info, 1996, 19). К н е п р и я т н ы м угрозам, от которых трудно защищаться, м о ж н о от нести злоупотребление полномочиями. Н а многих типах систем привиле¬ гированный пользователь (например системный администратор) спосо¬ бен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сер¬ висном обслуживании. Обычно сервисный инженер получает неограни¬ ч е н н ы й доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов. Таковы основные угрозы, которые наносят наибольший ущерб субъ¬ ектам и н ф о р м а ц и о н н ы х отношений.
39
Курс
Основы информационной безопасности
Лекция 4. Законодательный уровень информационной безопасности
Эта лекция посвящена российскому и зарубежному законодательству в обла сти ИБ и проблемам, которые существуют в настоящее время в российском законодательстве. Ключевые слова: комплексный подход к И Б , законодательный уро вень, ограничительные меры, направляющие и координирующие ме¬ ры, право на информацию, право на личную и семейную тайну, бан¬ ковская тайна, государственная тайна, коммерческая тайна, служеб ная тайна, средства защиты информации, информация, документиро ванная информация, документ, и н ф о р м а ц и о н н ы е процессы, и н ф о р мационная система, информационные ресурсы, информация о граж данах, персональные данные, конфиденциальная информация, поль зователь информации, лицензия, лицензируемый вид деятельности, лицензирование, лицензирующие органы, лицензиат, электронный документ, электронная цифровая подпись, владелец сертификата ключа подписи, средства электронной цифровой подписи, сертифи¬ кат средств электронной цифровой подписи, закрытый ключ элек¬ тронной цифровой подписи, открытый ключ электронной цифровой подписи, сертификат ключа подписи, подтверждение подлинности электронной цифровой подписи в электронном документе, пользова¬ тель сертификата ключа подписи, информационная система общего пользования, корпоративная информационная система, план обеспе чения И Б , программа безопасности, добровольный стандарт, анализ рисков, оценка уязвимостей, инфраструктура открытых ключей, ре зервная инфраструктура, защита персональных данных, субъект дан¬ ных, ответственность, глобальные сети, нормативные документы.
Что т а к о е з а к о н о д а т е л ь н ы й у р о в е н ь и н ф о р м а ц и о н н о й б е з о п а с н о с т и и п о ч е м у он в а ж е н В деле обеспечения и н ф о р м а ц и о н н о й безопасности успех может принести только комплексный подход. М ы уже указывали, что для защи¬ ты интересов субъектов и н ф о р м а ц и о н н ы х о т н о ш е н и й необходимо соче¬ тать меры следующих уровней: • законодательного; • административного (приказы и другие действия руководства 40
Лекция 4
Законодательный уровень информационной безопасности
организаций, связанных с з а щ и щ а е м ы м и и н ф о р м а ц и о н н ы м и системами); • процедурного (меры безопасности, ориентированные на людей); • программно-технического. Законодательный уровень является в а ж н е й ш и м для обеспечения и н ф о р м а ц и о н н о й безопасности. Большинство людей не совершают про¬ тивоправных действий не потому, что это технически невозможно, а по¬ тому, что это осуждается и / и л и наказывается обществом, потому, что так поступать не принято. М ы будем различать на законодательном уровне две группы мер: • меры, направленные на создание и поддержание в обществе не¬ гативного (в том числе с п р и м е н е н и е м наказаний) отношения к н а р у ш е н и я м и нарушителям и н ф о р м а ц и о н н о й безопасности (назовем их мерами ограничительной направленности); • н а п р а в л я ю щ и е и координирующие меры, способствующие по¬ в ы ш е н и ю образованности общества в области информацион¬ н о й безопасности, помогающие в разработке и распростране¬ н и и средств обеспечения и н ф о р м а ц и о н н о й безопасности (ме¬ р ы созидательной направленности). На практике обе группы мер важны в равной степени, но нам хоте¬ лось бы выделить аспект осознанного соблюдения норм и правил И Б . Это важно для всех субъектов и н ф о р м а ц и о н н ы х отношений, поскольку рас¬ считывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность п р и расследовании и судебном разбирательстве компьютерных преступлений без специаль¬ н о й подготовки невозможно. Самое важное (и, вероятно, самое трудное) на законодательном уровне — создать механизм, позволяющий согласовать процесс разработ ки законов с реалиями и прогрессом и н ф о р м а ц и о н н ы х технологий. Зако¬ н ы не могут опережать ж и з н ь , но важно, чтобы отставание не было слиш¬ ком большим, так как на практике, п о м и м о прочих отрицательных мо¬ ментов, это ведет к с н и ж е н и ю и н ф о р м а ц и о н н о й безопасности.
Обзор российского законодательства в области информационной безопасности Правовые акты общего назначения, затрагивающие вопросы информационной безопасности О с н о в н ы м законом Российской Федерации является Конституция, принятая 12 декабря 1993 года. 41
Курс
Основы информационной безопасности
В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обяза н ы обеспечить каждому возможность ознакомления с документами и ма¬ териалами, непосредственно затрагивающими его права и свободы, если и н о е не предусмотрено законом. Статья 41 гарантирует право на знание фактов и обстоятельств, с о здающих угрозу для ж и з н и и здоровья людей, статья 42 — право на знание достоверной и н ф о р м а ц и и о состоянии окружающей среды. В п р и н ц и п е , право на и н ф о р м а ц и ю может реализовываться средст вами бумажных технологий, но в современных условиях наиболее прак т и ч н ы м и удобным для граждан является создание соответствующими за¬ конодательными, исполнительными и судебными органами информаци¬ онных серверов и поддержание доступности и целостности представлен¬ ных на них сведений, то есть обеспечение их (серверов) и н ф о р м а ц и о н н о й безопасности. Статья 23 Конституции гарантирует право на личную и семейную тай¬ ну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29 — право свободно искать, получать, переда вать, производить и распространять информацию любым законным спосо бом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по ком¬ пьютерным сетям, а также доступ к средствам защиты информации. В Гражданском кодексе Российской Федерации (в своем изложении м ы опираемся на редакцию от 15 мая 2001 года) фигурируют такие п о н я тия, как банковская, коммерческая и служебная тайна. Согласно статье 139, и н ф о р м а ц и я составляет служебную или коммерческую тайну в слу чае, когда и н ф о р м а ц и я имеет действительную или потенциальную ком¬ мерческую ценность в силу неизвестности ее третьим л и ц а м , к ней нет свободного доступа на законном основании, и обладатель и н ф о р м а ц и и принимает меры к охране ее конфиденциальности. Это подразумевает, как м и н и м у м , компетентность в вопросах И Б и наличие доступных (и за¬ конных) средств обеспечения конфиденциальности. Весьма продвинутым в плане и н ф о р м а ц и о н н о й безопасности я в л я ется Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года). Глава 28 — «Преступления в сфере компьютерной и н ф о р м а ции» — содержит три статьи: • статья 272. Неправомерный доступ к компьютерной информа¬ ции; • статья 273. Создание, использование и распространение вредо носных программ для Э В М ; • статья 274. Нарушение правил эксплуатации Э В М , системы Э В М или их сети. 42
Лекция 4
Законодательный уровень информационной безопасности
Первая имеет дело с посягательствами на конфиденциальность, вто рая — с вредоносным П О , третья — с нарушениями доступности и целост¬ ности, п о в л е к ш и м и за собой уничтожение, блокирование или модифика¬ ц и ю охраняемой законом и н ф о р м а ц и и ЭВМ. Включение в сферу дейст вия У К Р Ф вопросов доступности и н ф о р м а ц и о н н ы х сервисов представ ляется нам очень своевременным. Статья 138 У К Р Ф , з а щ и щ а я конфиденциальность персональных данных, предусматривает наказание за нарушение т а й н ы переписки, те¬ л е ф о н н ы х переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой т а й н ы играет статья 183 У К Р Ф . Интересы государства в плане обеспечения конфиденциальности и н ф о р м а ц и и н а ш л и наиболее полное выражение в Законе «О государст¬ венной тайне» (с и з м е н е н и я м и и д о п о л н е н и я м и от 6 октября 1997 года). В н е м гостайна определена к а к з а щ и щ а е м ы е государством сведения в об¬ ласти его военной, внешнеполитической, экономической, разведыва¬ тельной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Россий¬ ской Федерации. Там же дается определение средств защиты информа¬ ц и и . Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализо ваны, а также средства контроля эффективности защиты и н ф о р м а ц и и . Подчеркнем важность последней части определения.
Закон «Об информации, информатизации и защите информации» Основополагающим среди российских законов, посвященных во¬ просам и н ф о р м а ц и о н н о й безопасности, следует считать закон «Об ин¬ ф о р м а ц и и , и н ф о р м а т и з а ц и и и защите информации» от 20 февраля 1995 года номер 2 4 - Ф З (принят Государственной Думой 25 января 1995 года). В н е м даются основные определения и намечаются направления развития законодательства в д а н н о й области. Процитируем некоторые из этих определений: • информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от ф о р м ы их представления; • документированная информация (документ) — зафиксированная на материальном носителе и н ф о р м а ц и я с реквизитами, позво л я ю щ и м и ее идентифицировать; • информационные процессы — процессы сбора, обработки, на¬ к о п л е н и я , хранения, поиска и распространения и н ф о р м а ц и и ; 43
Курс
Основы информационной безопасности
•
информационная система — организационно упорядоченная сово¬ купность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислитель¬ ной техники и связи, реализующих информационные процессы; • информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в ин¬ ф о р м а ц и о н н ы х системах (библиотеках, архивах, фондах, бан¬ ках данных, других и н ф о р м а ц и о н н ы х системах); • информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах ж и з н и гражданина, позво л я ю щ и е идентифицировать его личность; • конфиденциальная информация — документированная и н ф о р м а ц и я , доступ к которой ограничивается в соответствии с законо¬ дательством Российской Федерации; • пользователь (потребитель) информации — субъект, обращаю щ и й с я к и н ф о р м а ц и о н н о й системе или посреднику за получе н и е м необходимой ему и н ф о р м а ц и и и пользующийся ею. М ы , разумеется, не будем обсуждать качество данных в Законе опре делений. Обратим л и ш ь в н и м а н и е на гибкость определения к о н ф и д е н ц и альной и н ф о р м а ц и и , которая не сводится к сведениям, составляющим государственную тайну, а также на понятие персональных данных, закла¬ дывающее основу защиты последних. Закон выделяет следующие цели защиты и н ф о р м а ц и и : • предотвращение утечки, х и щ е н и я , утраты, искажения, поддел¬ ки информации; • предотвращение угроз безопасности личности, общества, госу¬ дарства; • предотвращение н е с а н к ц и о н и р о в а н н ы х действий по уничто¬ ж е н и ю , м о д и ф и к а ц и и , искажению, к о п и р о в а н и ю , блокирова¬ нию информации; • предотвращение других ф о р м незаконного вмешательства в ин¬ ф о р м а ц и о н н ы е ресурсы и и н ф о р м а ц и о н н ы е системы, обеспе¬ чение правового режима документированной и н ф о р м а ц и и как объекта собственности; • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имею¬ щихся в и н ф о р м а ц и о н н ы х системах; • сохранение государственной тайны, конфиденциальности доку¬ ментированной информации в соответствии с законодательством; • обеспечение прав субъектов в и н ф о р м а ц и о н н ы х процессах и п р и разработке, производстве и п р и м е н е н и и и н ф о р м а ц и о н н ы х систем, технологий и средств их обеспечения. 44
Лекция 4
Законодательный уровень информационной безопасности
Отметим, что Закон на первое место ставит сохранение конфиден¬ циальности и н ф о р м а ц и и . Целостность представлена также достаточно п о л н о , хотя и на втором месте. О доступности (»предотвращение несанк ц и о н и р о в а н н ы х действий по ... блокированию информации») сказано до¬ вольно мало. Продолжим цитирование: «Защите подлежит любая документированная и н ф о р м а ц и я , непра¬ вомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу». П о сути, это п о л о ж е н и е констатирует, что з а щ и т а и н ф о р м а ц и и н а п р а в л е н а на о б е с п е ч е н и е и н т е р е с о в субъектов и н ф о р м а ц и о н н ы х от¬ ношений. Далее. «Режим защиты и н ф о р м а ц и и устанавливается: • в о т н о ш е н и и сведений, отнесенных к государственной тайне, — у п о л н о м о ч е н н ы м и органами на основании Закона Российской Федерации «О государственной тайне»; • в о т н о ш е н и и к о н ф и д е н ц и а л ь н о й документированной инфор¬ м а ц и и — собственником и н ф о р м а ц и о н н ы х ресурсов или упол¬ н о м о ч е н н ы м л и ц о м на основании настоящего Федерального закона; • в о т н о ш е н и и персональных данных — федеральным законом.» Здесь я в н о выделены три вида защищаемой и н ф о р м а ц и и , ко второ му из которых принадлежит, в частности, коммерческая и н ф о р м а ц и я . Поскольку защите подлежит только документированная и н ф о р м а ц и я , необходимым условием является ф и к с а ц и я коммерческой и н ф о р м а ц и и на материальном носителе и снабжение ее реквизитами. Отметим, что в д а н н о м месте Закона речь идет только о конфиденциальности; остальные аспекты И Б забыты. Обратим внимание, что защиту государственной тайны и персональ ных данных берет на себя государство; за другую конфиденциальную ин¬ ф о р м а ц и ю отвечают ее собственники. К а к ж е защищать информацию? В качестве основного закон предла гает для этой цели м о щ н ы е универсальные средства: лицензирование и сертификацию. Процитируем статью 19. 1. И н ф о р м а ц и о н н ы е системы, базы и банки данных, предназначенные для и н ф о р м а ц и о н н о г о обслуживания граждан и организаций, под лежат сертификации в порядке, установленном Законом Россий¬ ской Федерации «О с е р т и ф и к а ц и и продукции и услуг». 2. И н ф о р м а ц и о н н ы е системы органов государственной власти Рос¬ сийской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организа¬ ц и й , которые обрабатывают документированную и н ф о р м а ц и ю с ог45
Курс
Основы информационной безопасности
р а н и ч е н н ы м доступом, а также средства защиты этих систем подле¬ жат обязательной сертификации. П о р я д о к сертификации определя ется законодательством Российской Федерации. 3. Организации, выполняющие работы в области проектирования, произ¬ водства средств защиты информации и обработки персональных дан¬ ных, получают лицензии на этот вид деятельности. Порядок лицензи рования определяется законодательством Российской Федерации. 4. Интересы потребителя и н ф о р м а ц и и при использовании импортной продукции в и н ф о р м а ц и о н н ы х системах защищаются таможенными органами Российской Федерации на основе международной систе¬ м ы сертификации. Здесь трудно удержаться от риторического вопроса: а есть ли в России информационные системы без импортной продукции? Получается, что на защите интересов потребителей стоит в данном случае только таможня... И еще несколько пунктов, теперь из статьи 22: 2. Владелец документов, массива документов, и н ф о р м а ц и о н н ы х сис¬ тем обеспечивает уровень защиты и н ф о р м а ц и и в соответствии с за¬ конодательством Российской Федерации. 3. Риск, связанный с использованием несертифицированных и н ф о р м а ц и о н н ы х систем и средств их обеспечения, лежит на собственни ке (владельце) этих систем и средств. Риск, связанный с использова¬ нием и н ф о р м а ц и и , полученной из несертифицированной системы, лежит на потребителе и н ф о р м а ц и и . 4. Собственник документов, массива документов, и н ф о р м а ц и о н н ы х систем может обращаться в организации, осуществляющие серти¬ ф и к а ц и ю средств защиты и н ф о р м а ц и о н н ы х систем и информаци¬ онных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. 5. Владелец документов, массива документов, и н ф о р м а ц и о н н ы х с и с тем обязан оповещать собственника и н ф о р м а ц и о н н ы х ресурсов и (или) и н ф о р м а ц и о н н ы х систем о всех фактах нарушения режима за¬ щиты информации. И з пункта 5 следует, что д о л ж н ы обнаруживаться все (успешные) атаки на И С . Вспомним в этой связи один из результатов опроса (см. лек ц и ю 1): около трети респондентов-американцев не знали, были ли взло м а н ы их И С за последние 12 месяцев. П о нашему законодательству их м о ж н о было бы привлечь к ответственности... Далее, статья 23 «Защита прав субъектов в сфере и н ф о р м а ц и о н н ы х процессов и информатизации» содержит следующий пункт: 2. Защита прав субъектов в указанной сфере осуществляется судом, ар¬ битражным судом, третейским судом с учетом с п е ц и ф и к и правона¬ рушений и нанесенного ущерба. 46
Лекция 4
Законодательный уровень информационной безопасности
Очень важными являются пункты статьи 5, касающиеся юридичес¬ кой силы электронного документа и электронной ц и ф р о в о й подписи: 3. Юридическая сила документа, хранимого, обрабатываемого и пере¬ даваемого с п о м о щ ь ю автоматизированных и н ф о р м а ц и о н н ы х и те¬ л е к о м м у н и к а ц и о н н ы х систем, может подтверждаться электронной ц и ф р о в о й подписью. Юридическая сила электронной ц и ф р о в о й подписи признается при н а л и ч и и в автоматизированной и н ф о р м а ц и о н н о й системе про¬ граммно-технических средств, обеспечивающих и д е н т и ф и к а ц и ю подписи, и соблюдении установленного режима их использования. 4. Право удостоверять идентичность электронной ц и ф р о в о й подписи осуществляется на основании лицензии. П о р я д о к выдачи л и ц е н з и й определяется законодательством Российской Федерации. Таким образом, Закон предлагает действенное средство контроля целостности и р е ш е н и я проблемы «неотказуемости» (невозможности от казаться от собственной подписи). Таковы важнейшие, на наш взгляд, положения Закона «Об информа ции, информатизации и защите информации». На следующей странице будут рассмотрены другие законы Р Ф в области информационной безопасности.
Другие законы и нормативные акты Следуя логике Закона «Об и н ф о р м а ц и и , и н ф о р м а т и з а ц и и и защите и н ф о р м а ц и и » , м ы продолжим наш обзор Законом «О л и ц е н з и р о в а н и и отдельных видов деятельности» от 8 августа 2001 года номер 128-ФЗ ( П р и н я т Государственной Думой 13 июля 2001 года). Н а ч н е м с основных определений. «Лицензия — специальное разрешение на осуществление к о н к р е т н о го вида деятельности при обязательном соблюдении л и ц е н з и о н н ы х тре¬ бований и условий, выданное лицензирующим органом юридическому лицу и л и индивидуальному предпринимателю. Лицензируемый вид деятельности — вид деятельности, на осуществле н и е которого на территории Российской Федерации требуется получение л и ц е н з и и в соответствии с н а с т о я щ и м Федеральным законом. Лицензирование — мероприятия, связанные с предоставлением ли¬ ц е н з и й , переоформлением документов, подтверждающих наличие ли¬ ц е н з и й , приостановлением и возобновлением действия л и ц е н з и й , анну¬ лированием л и ц е н з и й и контролем лицензирующих органов за соблюде¬ н и е м лицензиатами при осуществлении лицензируемых видов деятельно¬ сти соответствующих л и ц е н з и о н н ы х требований и условий. Лицензирующие органы — федеральные органы исполнительной вла¬ сти, органы исполнительной власти субъектов Российской Федерации, 47
Курс
Основы информационной безопасности
осуществляющие лицензирование в соответствии с настоящим Феде¬ ральным законом. Лицензиат — юридическое л и ц о и л и и н д и в и д у а л ь н ы й предприни¬ матель, и м е ю щ и е л и ц е н з и ю на осуществление к о н к р е т н о г о вида дея¬ тельности.» Статья 17 Закона устанавливает перечень видов деятельности, на осуществление которых требуются лицензии. Нас будут интересовать следующие виды: • распространение шифровальных (криптографических) средств; • техническое обслуживание шифровальных (криптографичес¬ ких) средств; • предоставление услуг в области ш и ф р о в а н и я и н ф о р м а ц и и ; • разработка и производство шифровальных (криптографичес¬ ких) средств, з а щ и щ е н н ы х с использованием шифровальных (криптографических) средств и н ф о р м а ц и о н н ы х систем, теле¬ к о м м у н и к а ц и о н н ы х систем; • выдача сертификатов ключей электронных цифровых подпи¬ сей, регистрация владельцев электронных цифровых подписей, оказание услуг, связанных с использованием электронных циф¬ ровых подписей и подтверждением подлинности электронных цифровых подписей; • выявление электронных устройств, предназначенных для н е гласного получения и н ф о р м а ц и и , в помещениях и технических средствах (за исключением случая, если указанная деятель ность осуществляется для обеспечения собственных нужд ю р и дического лица или индивидуального предпринимателя); • разработка и (или) производство средств защиты конфиденци¬ альной и н ф о р м а ц и и ; • техническая защита к о н ф и д е н ц и а л ь н о й и н ф о р м а ц и и ; • разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения и н ф о р м а ц и и , и н д и в и д у а л ь н ы м и предпринимателями и юридическими л и ц а м и , осуществляю щ и м и предпринимательскую деятельность. Необходимо учитывать, что, согласно статье 1, действие данного За¬ кона не распространяется на следующие виды деятельности: • деятельность, связанная с защитой государственной тайны; • деятельность в области связи; • образовательная деятельность. Подчеркнем в этой связи, что д а н н ы й Закон не препятствует органи зации Интернет-Университетом учебных курсов по и н ф о р м а ц и о н н о й бе зопасности (не требует получения специальной лицензии; ранее подоб48
Лекция 4
Законодательный уровень информационной безопасности
ная лицензия была необходима). В свою очередь, Федеральный Закон «Об образовании» не содержит каких-либо специальных положений, ка сающихся образовательной деятельности в области И Б . О с н о в н ы м и л и ц е н з и р у ю щ и м и органами в области защиты инфор¬ м а ц и и являются Федеральное агентство правительственной связи и и н ф о р м а ц и и ( Ф А П С И ) и Гостехкомиссия России. Ф А П С И ведает всем, что связано с криптографией, Гостехкомиссия лицензирует деятельность по защите к о н ф и д е н ц и а л ь н о й и н ф о р м а ц и и . Эти же организации возглавля¬ ют работы по сертификации средств соответствующей направленности. К р о м е того, ввоз и вывоз средств криптографической защиты информа¬ ц и и (шифровальной техники) и нормативно-технической документации к ней может осуществляться исключительно на основании л и ц е н з и и М и нистерства внешних экономических связей Российской Федерации, в ы даваемой на основании р е ш е н и я Ф А П С И . Все эти вопросы регламенти р о в а н ы соответствующими указами Президента и постановлениями П р а вительства Р Ф , которые м ы здесь перечислять не будем. В эпоху глобальных к о м м у н и к а ц и й важную роль играет З а к о н «Об участии в международном и н ф о р м а ц и о н н о м обмене» от 4 июля 1996 го да н о м е р 8 5 - Ф З (принят Государственной Д у м о й 5 и ю н я 1996 года). В н е м , к а к и в З а к о н е «Об и н ф о р м а ц и и . . . » , о с н о в н ы м з а щ и т н ы м средст¬ вом я в л я ю т с я л и ц е н з и и и с е р т и ф и к а т ы . П р о ц и т и р у е м н е с к о л ь к о пунк¬ тов из статьи 9. 2. Защита к о н ф и д е н ц и а л ь н о й и н ф о р м а ц и и государством распростра няется только на ту деятельность по международному и н ф о р м а ц и онному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной ин¬ формацией и использующие сертифицированные средства между¬ народного и н ф о р м а ц и о н н о г о обмена. Выдача сертификатов и л и ц е н з и й возлагается на Комитет при Пре¬ зиденте Российской Федерации по политике и н ф о р м а т и з а ц и и , Го¬ сударственную техническую комиссию при Президенте Российской Федерации, Федеральное агентство правительственной связи и и н ф о р м а ц и и при Президенте Российской Федерации. П о р я д о к выдачи сертификатов и л и ц е н з и й устанавливается Правительством Россий¬ ской Федерации. 3. П р и обнаружении нештатных режимов ф у н к ц и о н и р о в а н и я средств международного и н ф о р м а ц и о н н о г о обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционирован¬ н ы м и действиями обслуживающего персонала или и н ы х лиц, либо ложной и н ф о р м а ц и е й собственник или владелец этих средств дол¬ ж е н своевременно сообщить об этом в органы контроля за осуществ¬ лением международного и н ф о р м а ц и о н н о г о обмена и собственнику 49
Курс
Основы информационной безопасности
или владельцу взаимодействующих средств международного инфор¬ мационного обмена, в противном случае он несет ответственность за п р и ч и н е н н ы й ущерб. П р и ж е л а н и и здесь м о ж н о усмотреть обязательность выявления н а рушителя и н ф о р м а ц и о н н о й безопасности — положение, вне всяких со¬ м н е н и й , очень важное и прогрессивное. Е щ е одна цитата — теперь из статьи 17 того же Закона. Статья 17: «Сертификация и н ф о р м а ц и о н н ы х продуктов, информа¬ ц и о н н ы х услуг, средств международного и н ф о р м а ц и о н н о г о обмена. 1. П р и ввозе и н ф о р м а ц и о н н ы х продуктов, и н ф о р м а ц и о н н ы х услуг в Российскую Федерацию импортер представляет сертификат, гаран тирующий соответствие данных продуктов и услуг требованиям до¬ говора. В случае невозможности сертификации ввозимых на терри¬ торию Российской Федерации и н ф о р м а ц и о н н ы х продуктов, инфор¬ м а ц и о н н ы х услуг ответственность за использование данных продук¬ тов и услуг лежит на импортере. 2. Средства международного и н ф о р м а ц и о н н о г о обмена, которые обра¬ батывают документированную и н ф о р м а ц и ю с ограниченным досту¬ пом, а также средства защиты этих средств подлежат обязательной сертификации. 3. Сертификация сетей связи производится в порядке, определяемом Федеральным законом «О связи».» Читая пункт 2, трудно удержаться от вопроса: «А нужно ли сертифи цировать средства защиты средств защиты этих средств?» Ответ, к о н е ч н о , положительный... 10 января 2002 года Президентом был подписан очень важный закон «Об электронной ц и ф р о в о й подписи» номер 1-ФЗ (принят Государствен ной Думой 13 декабря 2001 года), развивающий и конкретизирующий приведенные в ы ш е положения закона «Об информации...». Его роль п о ясняется в статье 1. 1. Целью настоящего Федерального закона является обеспечение п р а в о в ы х условий и с п о л ь з о в а н и я э л е к т р о н н о й ц и ф р о в о й подпи¬ си в э л е к т р о н н ы х документах, п р и с о б л ю д е н и и к о т о р ы х элек¬ тронная цифровая подпись в электронном документе признается р а в н о з н а ч н о й с о б с т в е н н о р у ч н о й п о д п и с и в д о к у м е н т е на бумаж¬ н о м носителе. 2. Действие настоящего Федерального закона распространяется на от н о ш е н и я , в о з н и к а ю щ и е при совершении гражданско-правовых сде¬ лок и в других предусмотренных законодательством Российской Фе¬ дерации случаях. Действие настоящего Федерального закона не рас пространяется на о т н о ш е н и я , в о з н и к а ю щ и е при использовании иных аналогов собственноручной подписи. 50
Лекция 4
Законодательный уровень информационной безопасности
Закон вводит следующие основные понятия: Электронный документ — документ, в котором и н ф о р м а ц и я представ¬ лена в электронно-цифровой форме. Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от под делки, полученный в результате криптографического преобразования ин¬ ф о р м а ц и и с использованием закрытого ключа электронной ц и ф р о в о й подписи и п о з в о л я ю щ и й идентифицировать владельца сертификата к л ю ча подписи, а также установить отсутствие искажения и н ф о р м а ц и и в эле¬ ктронном документе. Владелец сертификата ключа подписи — физическое л и ц о , на и м я к о торого удостоверяющим центром выдан сертификат ключа подписи и ко¬ торое владеет соответствующим закрытым ключом электронной цифро¬ вой подписи, п о з в о л я ю щ и м с п о м о щ ь ю средств электронной ц и ф р о в о й подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Средства электронной цифровой подписи — аппаратные и (или) п р о граммные средства, обеспечивающие реализацию хотя бы одной из сле¬ дующих функций: создание электронной ц и ф р о в о й подписи в электрон¬ н о м документе с использованием закрытого ключа электронной цифро¬ вой подписи, подтверждение с использованием открытого ключа элек¬ т р о н н о й ц и ф р о в о й подписи подлинности электронной ц и ф р о в о й подпи¬ си в электронном документе, создание закрытых и открытых ключей эле¬ ктронных цифровых подписей. Сертификат средств электронной цифровой подписи — документ на бу¬ м а ж н о м носителе, выданный в соответствии с правилами системы серти¬ ф и к а ц и и для подтверждения соответствия средств электронной ц и ф р о вой подписи установленным требованиям. Закрытый ключ электронной цифровой подписи — уникальная после довательность символов, известная владельцу сертификата ключа п о д п и си и предназначенная для создания в электронных документах электрон¬ н о й ц и ф р о в о й подписи с использованием средств электронной ц и ф р о в о й подписи. Открытый ключ электронной цифровой подписи — уникальная после довательность символов, соответствующая закрытому ключу электрон н о й ц и ф р о в о й подписи, доступная любому пользователю и н ф о р м а ц и о н н о й системы и предназначенная для подтверждения с использованием средств электронной ц и ф р о в о й подписи подлинности электронной циф¬ ровой подписи в электронном документе. Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной ц и ф р о в о й подписью уполномо¬ ченного лица удостоверяющего центра, которые включают в себя откры51
Курс
Основы информационной безопасности
тый ключ электронной ц и ф р о в о й подписи и выдаются удостоверяющим центром участнику и н ф о р м а ц и о н н о й системы для подтверждения под¬ л и н н о с т и электронной ц и ф р о в о й подписи и и д е н т и ф и к а ц и и владельца сертификата ключа подписи. Подтверждение подлинности электронной цифровой подписи в элект¬ ронном документе — положительный результат проверки соответствую¬ щ и м сертифицированным средством электронной ц и ф р о в о й подписи с использованием сертификата ключа подписи принадлежности электрон¬ ной ц и ф р о в о й подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном д а н н о й электрон¬ ной ц и ф р о в о й подписью электронном документе. Пользователь сертификата ключа подписи — физическое л и ц о , и с пользующее полученные в удостоверяющем центре сведения о сертифи кате ключа подписи для проверки принадлежности электронной цифро¬ вой подписи владельцу сертификата ключа подписи. Информационная система общего пользования — и н ф о р м а ц и о н н а я система, которая открыта для использования всеми ф и з и ч е с к и м и и юри¬ д и ч е с к и м и л и ц а м и и в услугах которой этим лицам не может быть отказа¬ но. Корпоративная информационная система — и н ф о р м а ц и о н н а я систе¬ ма, участниками которой может быть ограниченный круг лиц, определен¬ н ы й ее владельцем или соглашением участников этой и н ф о р м а ц и о н н о й системы. Пересказать такие определения своими словами невозможно... Об¬ ратим в н и м а н и е на неоднозначное использование термина «сертифи¬ кат», которое, впрочем, не должно привести к путанице. К р о м е того, дан¬ ное здесь определение электронного документа слабее, чем в Законе «Об информации...», поскольку нет у п о м и н а н и я реквизитов. Согласно Закону, электронная цифровая подпись в электронном до¬ кументе равнозначна собственноручной подписи в документе на бумаж¬ ном носителе при одновременном соблюдении следующих условий: • сертификат ключа подписи, относящийся к этой электронной ц и ф р о в о й подписи, не утратил силу (действует) на момент про¬ верки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; • подтверждена подлинность электронной ц и ф р о в о й подписи в электронном документе; • электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Закон определяет сведения, которые должен содержать сертификат ключа подписи: • уникальный регистрационный номер сертификата ключа подпи52
Лекция 4
Законодательный уровень информационной безопасности
си, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра; • ф а м и л и я , и м я и отчество владельца сертификата ключа п о д п и си или псевдоним владельца. В случае использования псевдо н и м а запись об этом вносится удостоверяющим центром в сер¬ тификат ключа подписи; • открытый ключ электронной ц и ф р о в о й подписи; • наименование средств электронной ц и ф р о в о й подписи, с кото¬ р ы м и используется д а н н ы й открытый ключ электронной циф¬ ровой подписи; • наименование и местонахождение удостоверяющего центра, выдавшего сертификат ключа подписи; • сведения об отношениях, п р и осуществлении которых элек¬ т р о н н ы й документ с электронной ц и ф р о в о й подписью будет иметь юридическое значение. Интересно, много л и Федеральных законов, содержащих такое ко¬ личество технической и н ф о р м а ц и и и столь зависимых от конкретной технологии? На этом м ы заканчиваем обзор законов Р Ф , относящихся к инфор¬ м а ц и о н н о й безопасности.
Обзор зарубежного законодательства в области информационной безопасности К о н е ч н о , и з л и ш н я я амбициозность заголовка очевидна. Разумеется, м ы л и ш ь пунктиром очертим некоторые з а к о н ы нескольких стран (в пер¬ вую очередь — С Ш А ) , поскольку только в С Ш А таких законодательных актов около 500. Ключевую роль играет американский «Закон об и н ф о р м а ц и о н н о й безопасности» (Computer Security Act of 1987, Public Law 100-235 (H.R. 145), January 8, 1988). Его цель — реализация минимально достаточных действий п о обеспечению безопасности и н ф о р м а ц и и в федеральных ком¬ пьютерных системах, без ограничений всего спектра возможных действий. Характерно, что уже в начале Закона называется конкретный испол нитель — Н а ц и о н а л ь н ы й институт стандартов и технологий ( Н И С Т ) , от¬ вечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к и н ф о р м а ц и и , а так ж е от краж и подлогов, выполняемых с п о м о щ ь ю компьютеров. Таким о б разом, имеется в виду к а к регламентация действий специалистов, так и п о в ы ш е н и е и н ф о р м и р о в а н н о с т и всего общества. Согласно Закону, все операторы федеральных И С , содержащих кон¬ фиденциальную и н ф о р м а ц и ю , д о л ж н ы сформировать п л а н ы обеспече53
Курс
Основы информационной безопасности
н и я И Б . Обязательным является и периодическое обучение всего персо нала таких И С . Н И С Т , в свою очередь, обязан проводить исследования природы и масштаба уязвимых мест, вырабатывать экономически оправ¬ д а н н ы е меры защиты. Результаты исследований рассчитаны на примене¬ н и е н е только в государственных системах, н о и в частном секторе. Закон обязывает Н И С Т координировать свою деятельность с други ми министерствами и ведомствами, включая Министерство обороны, Министерство энергетики, Агентство национальной безопасности ( А Н Б ) и т.д., чтобы избежать дублирования и несовместимости. П о м и м о регламентации дополнительных ф у н к ц и й НИСТ, Закон предписывает создать п р и Министерстве торговли комиссию п о инфор¬ м а ц и о н н о й безопасности, которая должна: • выявлять перспективные управленческие, технические, адми¬ нистративные и физические меры, способствующие повыше¬ нию И Б ; • выдавать рекомендации Национальному институту стандартов и технологий, доводить их до сведения всех заинтересованных ведомств. С практической точки зрения важен раздел 6 Закона, обязывающий все правительственные ведомства сформировать план обеспечения инфор¬ мационной безопасности, направленный на то, чтобы компенсировать ри¬ ски и предотвратить возможный ущерб от утери, неправильного использо¬ вания, несанкционированного доступа или модификации информации в федеральных системах. К о п и и плана направляются в Н И С Т и А Н Б . В 1997 году появилось продолжение описанного закона — з а к о н о п р о е к т «О с о в е р ш е н с т в о в а н и и и н ф о р м а ц и о н н о й безопасности» (Computer Security Enhancement Act of 1997, H . R . 1903), направленный на усиление роли Национального института стандартов и технологий и уп¬ р о щ е н и е операций с криптосредствами. В законопроекте констатируется, что частный сектор готов предоста вить криптосредства для обеспечения конфиденциальности и целостнос¬ ти (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требова¬ н и й рынка, а н е распоряжений правительства. Кроме того, здесь отмечает ся, что за пределами С Ш А имеются сопоставимые и общедоступные криптографические технологии, и это следует учитывать п р и выработке экспортных ограничений, чтобы н е снижать конкурентоспособность аме¬ риканских производителей аппаратного и программного обеспечения. Для защиты федеральных И С рекомендуется более ш и р о к о п р и м е нять технологические р е ш е н и я , основанные на разработках частного сек тора. К р о м е того, предлагается оценить возможности общедоступных за¬ рубежных разработок. 54
Лекция 4
Законодательный уровень информационной безопасности
Очень важен раздел 3, в котором от Н И С Т требуется по запросам ча¬ стного сектора готовить добровольные стандарты, руководства, средства и методы для инфраструктуры открытых ключей (см. в ы ш е Закон Р Ф об Э Ц П ) , позволяющие сформировать негосударственную инфраструктуру, пригодную для взаимодействия с федеральными И С . В разделе 4 особое в н и м а н и е обращается на необходимость анализа средств и методов оценки уязвимых мест других продуктов частного сек¬ тора в области И Б . Приветствуется разработка правил безопасности, нейтральных п о о т н о ш е н и ю к конкретным техническим р е ш е н и я м , использование в фе¬ деральных И С коммерческих продуктов, участие в реализации шифро¬ вальных технологий, позволяющее в конечном итоге сформировать и н фраструктуру, которую м о ж н о рассматривать к а к резервную для феде¬ ральных И С . Важно, что в соответствии с разделами 10 и далее предусматривается выделение конкретных (и немалых) сумм, называются точные сроки реа лизации программ партнерства и проведения исследований инфраструк¬ туры с открытыми ключами, национальной инфраструктуры цифровых подписей. В частности, предусматривается, что для удостоверяющих ц е н тров д о л ж н ы быть разработаны типовые правила и процедуры, порядок л и ц е н з и р о в а н и я , стандарты аудита. В 2001 году был одобрен Палатой представителей и передан в Сенат н о в ы й вариант р а с с м о т р е н н о г о з а к о н о п р о е к т а — Computer Security Enhancement Act of 2001 ( H . R . 1259 R F S ) . В этом варианте примечательно к а к то, что, п о сравнению с предыдущей редакцией, было убрано, так и то, что добавилось. За четыре года (1997-2001 гг.) на законодательном и других уровнях и н ф о р м а ц и о н н о й безопасности С Ш А было сделано многое. Смягчены экспортные ограничения на криптосредства (в я н в а р е 2000 г.). Сформи¬ рована инфраструктура с открытыми ключами. Разработано большое число стандартов (например, н о в ы й стандарт электронной ц и ф р о в о й подписи — FIPS 186-2, январь 2000 г.). Все это позволило н е заострять бо лее в н и м а н и я на криптографии к а к таковой, а сосредоточиться на одном из ее важнейших приложений — аутентификации, рассматривая ее п о от¬ работанной на криптосредствах методике. Очевидно, ч т о , независимо от судьбы законопроекта, в С Ш А будет сформирована национальная ин¬ фраструктура электронной аутентификации. В д а н н о м случае законо¬ творческая деятельность идет в ногу с прогрессом и н ф о р м а ц и о н н ы х тех¬ нологий. Программа безопасности, предусматривающая экономически о п равданные з а щ и т н ы е меры и синхронизированная с ж и з н е н н ы м ц и к л о м И С , упоминается в законодательстве С Ш А неоднократно. Согласно 55
Курс
Основы информационной безопасности
пункту 3534 (»Обязанности федеральных ведомств») подглавы II («Ин ф о р м а ц и о н н а я безопасность») главы 35 («Координация федеральной и н ф о р м а ц и о н н о й политики») рубрики 44 («Общественные издания и доку менты»), такая программа должна включать: • периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступно¬ сти систем, а также данных, ассоциированных с критически важными операциями и ресурсами; • правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, э к о н о м и ч е с к и оправданным образом умень¬ шить р и с к и до приемлемого уровня; • обучение персонала с целью и н ф о р м и р о в а н и я о существующих рисках и об обязанностях, выполнение которых необходимо для их (рисков) нейтрализации; • периодическую проверку и (пере)оценку эффективности пра¬ вил и процедур; • действия п р и внесении существенных и з м е н е н и й в систему; • процедуры выявления нарушений и н ф о р м а ц и о н н о й безопас ности и реагирования на них; эти процедуры д о л ж н ы помочь уменьшить р и с к и , избежать крупных потерь; организовать вза¬ имодействие с правоохранительными органами. К о н е ч н о , в законодательстве С Ш А имеются в достаточном количе стве и положения ограничительной направленности, и директивы, защи¬ щ а ю щ и е интересы таких ведомств, к а к Министерство обороны, А Н Б , ФБР, ЦРУ, н о м ы н е будем на них останавливаться. Ж е л а ю щ и е могут п р о читать раздел «Законодательная база в области защиты информации» в превосходной статье О. Беззубцева и А. Ковалева «О л и ц е н з и р о в а н и и и сертификации в области защиты информации» (Jet Info, 1997, 4). В законодательстве Ф Р Г выделим весьма развернутый (44 раздела) Закон о защите данных (Federal Data Protection Act of December 20, 1990 ( B G B l . I 1990 S.2954), amended by law of September 14, 1994 ( B G B l . I S. 2325)). Он целиком посвящен защите персональных данных. Как, вероятно, и во всех других законах аналогичной направленнос ти, в д а н н о м случае устанавливается приоритет интересов национальной безопасности над сохранением тайны частной ж и з н и . В остальном права личности з а щ и щ е н ы весьма тщательно. Н а п р и м е р , если сотрудник фир¬ м ы обрабатывает персональные д а н н ы е в интересах частных к о м п а н и й , он дает подписку о неразглашении, которая действует и после перехода на другую работу. Государственные учреждения, хранящие и обрабатывающие персо¬ нальные д а н н ы е , несут ответственность за нарушение тайны частной ж и з н и «субъекта данных», к а к говорится в Законе. В материальном выра56
Лекция 4
Законодательный уровень информационной безопасности
ж е н и и ответственность ограничена верхним пределом в 250 тысяч немец¬ ких марок. И з законодательства Великобритании упомянем семейство так на зываемых добровольных стандартов BS 7799, помогающих организациям на практике сформировать программы безопасности. В последующих лекциях м ы еще вернемся к рассмотрению этих стандартов; здесь ж е от метим, что они действительно работают, несмотря на «добровольность» (или благодаря ей?). В современном мире глобальных сетей законодательная база должна быть согласована с международной практикой. В этом плане поучителен пример Аргентины. В конце марта 1996 года компетентными органами Аргентины был арестован Хулио Цезар Ардита, 21 года, житель БуэносАйреса, системный оператор электронной доски объявлений «Крик», и з вестный в компьютерном подполье под псевдонимом «El Griton». Ему вменялись в вину систематические вторжения в компьютерные системы В М С С Ш А , НАСА, многих крупнейших американских университетов, а также в компьютерные системы Бразилии, Ч и л и , Кореи, М е к с и к и и Тай ваня. Однако, несмотря на тесное сотрудничество компетентных органов Аргентины и С Ш А , Ардита был отпущен без официального предъявления обвинений, поскольку по аргентинскому законодательству вторжение в компьютерные системы не считается преступлением. Кроме того, в силу п р и н ц и п а «двойной криминальности», действующего в международных правовых отношениях, Аргентина не может выдать хакера американским властям. Дело Ардита показывает, каким может быть будущее междуна родных компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних соглашений о борьбе с компьютерной преступностью.
О текущем состоянии российского законодательства в области информационной безопасности К а к уже отмечалось, самое важное (и, вероятно, самое трудное) на законодательном уровне — создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом и н ф о р м а ц и о н н ы х технологий. П о к а такого механизма нет и, увы, не предвидится. Сейчас бессмысленно задаваться вопросом, чего не хватает российскому законо дательству в области И Б , это все равно что интересоваться у пунктирного отрезка, чего тому не хватает, чтобы покрыть всю плоскость. Д а ж е чисто количественное сопоставление с законодательством С Ш А показывает, что наша законодательная база я в н о неполна. Справедливости ради необходимо отметить, что ограничительная составляющая в российском законодательстве представлена существенно 57
Курс
Основы информационной безопасности
лучше, чем координирующая и направляющая. Глава 28 Уголовного ко¬ декса достаточно полно охватывает основные аспекты и н ф о р м а ц и о н н о й безопасности, однако обеспечить реализацию соответствующих статей пока еще сложно. П о л о ж е н и я базового Закона «Об и н ф о р м а ц и и , и н ф о р м а т и з а ц и и и защите информации» носят весьма о б щ и й характер, а основное содержа н и е статей, п о с в я щ е н н ы х и н ф о р м а ц и о н н о й безопасности, сводится к не¬ обходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно. Характерно, что Закон разъясняет вопросы ответственности в случае использования несертифицированных средств, но что делать, если нарушение И Б произошло в си¬ стеме, построенной строго по правилам? Кто возместит ущерб субъектам и н ф о р м а ц и о н н ы х отношений? Поучителен в этом о т н о ш е н и и рассмот¬ р е н н ы й в ы ш е закон Ф Р Г о защите данных. Законодательством определены органы, ведающие лицензировани¬ ем и сертификацией. (Отметим в этой связи, что Россия — одна из н е м н о гих стран (в список еще входят Вьетнам, Китай, Пакистан), сохранивших жесткий государственный контроль за производством и распространени¬ ем внутри страны средств обеспечения И Б , в особенности продуктов криптографических технологий.) Н о кто координирует, финансирует и направляет проведение исследований в области И Б , разработку отечест¬ венных средств защиты, адаптацию зарубежных продуктов? Законода¬ тельством С Ш А определена главная ответственная организация — Н И С Т , которая исправно выполняет свою роль. В Великобритании имеются с о держательные добровольные стандарты И Б , помогающие организациям всех размеров и ф о р м собственности. У нас пока ничего такого нет. В области и н ф о р м а ц и о н н о й безопасности законы реально прелом¬ ляются и работают через нормативные документы, подготовленные соот ветствующими ведомствами. В этой связи очень важны Руководящие д о кументы Гостехкомиссии России, определяющие требования к классам з а щ и щ е н н о с т и средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств. В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое в н и м а н и е следует обратить на то, что желательно привести российские стандарты и с е р т и ф и к а ц и о н н ы е нормативы в соответствие с международным уровнем и н ф о р м а ц и о н н ы х технологий вообще и и н ф о р м а ц и о н н о й безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них — необходимость з а щ и щ е н н о г о взаимодействия с зарубежными организациями и зарубежными филиалами российских к о м п а н и й . Вто58
Лекция 4
Законодательный уровень информационной безопасности
рое (более существенное) — д о м и н и р о в а н и е аппаратно-программных продуктов зарубежного производства. На законодательном уровне должен быть р е ш е н вопрос об отноше¬ н и и к таким изделиям. Здесь необходимо выделить два аспекта: независи¬ мость в области и н ф о р м а ц и о н н ы х технологий и и н ф о р м а ц и о н н у ю безо¬ пасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, военных), в п р и н ц и п е , может пред¬ ставлять угрозу национальной безопасности (в том числе и н ф о р м а ц и о н н о й ) , поскольку нельзя исключить вероятности встраивания закладных элементов. В то ж е время, в подавляющем большинстве случаев потенци альные угрозы и н ф о р м а ц и о н н о й безопасности носят исключительно внутренний характер. В таких условиях незаконность использования за¬ рубежных разработок (ввиду сложностей с их сертификацией) п р и отсут¬ ствии отечественных аналогов затрудняет (или вообще делает невозмож¬ ной) защиту и н ф о р м а ц и и без серьезных на то оснований. Проблема сертификации аппаратно-программных продуктов зару¬ бежного производства действительно сложна, однако, как показывает опыт европейских стран, решить ее можно. Сложившаяся в Европе сис тема сертификации по требованиям и н ф о р м а ц и о н н о й безопасности поз волила оценить о п е р а ц и о н н ы е системы, системы управления базами дан¬ ных и другие разработки американских к о м п а н и й . Вхождение России в эту систему и участие российских специалистов в с е р т и ф и к а ц и о н н ы х ис¬ пытаниях в состоянии снять имеющееся противоречие между независи¬ мостью в области и н ф о р м а ц и о н н ы х технологий и и н ф о р м а ц и о н н о й бе¬ зопасностью без какого-либо ущерба для национальной безопасности. Подводя итог, м о ж н о наметить следующие основные направления деятельности на законодательном уровне: • разработка новых законов с учетом интересов всех категорий субъектов и н ф о р м а ц и о н н ы х отношений; • обеспечение баланса созидательных и ограничительных (в пер¬ вую очередь преследующих цель наказать виновных) законов; • интеграция в мировое правовое пространство; • учет современного состояния и н ф о р м а ц и о н н ы х технологий.
59
Курс
Основы информационной безопасности
Л е к ц и я 5. С т а н д а р т ы и с п е ц и ф и к а ц и и в о б л а с т и информационной безопасности
Дается обзор международных и национальных стандартов и спецификаций в области ИБ — от «Оранжевой книги» до ISO 15408. Демонстрируются как сильные, так и слабые стороны этих документов. Ключевые слова: безопасная система, доверенная система, степень доверия, политика безопасности, уровень гарантированности, подот четность, доверенная вычислительная база, монитор обращений, изолированность, полнота, верифицируемость, ядро безопасности, периметр безопасности, произвольное (дискреционное) управление доступом, принудительное (мандатное) управление доступом, безо¬ пасность повторного использования объектов, метки безопасности, идентификация, аутентификация, предоставление доверенного пути, анализ регистрационной и н ф о р м а ц и и (аудит), операционная гарантированность, технологическая гарантированность, тайный канал передачи и н ф о р м а ц и и , ж и з н е н н ы й цикл системы, проектирование, реализация, тестирование, продажа, сопровождение, класс безопас ности, изоляция процессов, разделение адресных пространств, спис ки управления доступом, администратор безопасности, восстановле ние после сбоя, формальные спецификации верхнего уровня, вери ф и к а ц и я , эталонная семиуровневая модель, аутентификация партне ров по общению, аутентификация источника данных, управление до¬ ступом, конфиденциальность данных, конфиденциальность трафи¬ ка, избирательная конфиденциальность, целостность с восстановле н и е м , избирательная целостность, неотказуемость, ш и ф р о в а н и е , электронная цифровая подпись, дополнение трафика, управление маршрутизацией, нотаризация, администрирование средств безопас ности, реагирование, аудит, безопасное восстановление, генерация криптографических ключей, распределение криптографических ключей, управление шифрованием, общие критерии, требования бе зопасности, параметризация требований, функциональные требова н и я , требования доверия безопасности, объект оценки, цели безо¬ пасности, среда безопасности, класс, семейство, компонент, элемент, профиль защиты, задание по безопасности, функциональный пакет, защита данных пользователя, защита функций безопасности, управ¬ ление безопасностью, аудит безопасности, доступ к объекту оценки, криптографическая поддержка, связь, доверенный маршрут/канал, приватность, анонимность, псевдонимность, невозможность ассоци60
Лекция 5
Стандарты и спецификации в области информационной безопасности
ации, скрытность, использование ресурсов, отказоустойчивость, об¬ служивание по приоритетам, распределение ресурсов, доверие безо¬ пасности, разработчик, свидетельство, оценщик, оценка уязвимостей, поставка и эксплуатация, поддержка доверия, функциональные с п е ц и ф и к а ц и и , проект верхнего уровня, проект нижнего уровня, де монстрация соответствия, модель политики безопасности, спонсор, конфиденциальность, целостность, доступность, система, продукт, функция безопасности, сервис безопасности, механизм безопаснос ти, эффективность, корректность, мощность, сетевая доверенная в ы числительная база, криптография, избыточность, реконфигурирование, рассредоточенность управления, единая точка отказа, нейтрали зация отказов, подсеть, изоляция пользователей, автоматизирован ная система, защита от несанкционированного доступа, межсетевой экран, фильтрация и н ф о р м а ц и и .
Оценочные стандарты и технические спецификации. «Оранжевая книга» как о ц е н о ч н ы й с т а н д а р т Основные понятия М ы приступаем к обзору стандартов и с п е ц и ф и к а ц и й двух разных видов: • оценочных стандартов, направленных на к л а с с и ф и к а ц и ю ин¬ ф о р м а ц и о н н ы х систем и средств защиты по требованиям безо¬ пасности; • технических с п е ц и ф и к а ц и й , регламентирующих различные ас¬ пекты реализации средств защиты. Важно отметить, что между эти видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения И Б , аспекты И С , играя роль архитектурных с п е ц и ф и к а ц и й . Дру гие технические с п е ц и ф и к а ц и и определяют, как строить И С предписан¬ н о й архитектуры. Исторически первым оценочным стандартом, получившим ш и р о к о е распространение и оказавшим огромное в л и я н и е на базу стандартизации И Б во многих странах, стал стандарт Министерства обороны С Ш А «Кри¬ терии о ц е н к и доверенных компьютерных систем». Данный труд, называемый чаще всего по цвету обложки «Оранжевой книгой», был впервые опубликован в августе 1983 года. Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах, то есть системах, которым можно оказать определенную степень доверия. 61
Курс
Основы информационной безопасности
«Оранжевая книга» поясняет п о н я т и е безопасной системы, которая «управляет, с п о м о щ ь ю соответствующих средств, доступом к информа¬ ц и и , так что только д о л ж н ы м образом авторизованные лица или процес¬ сы, действующие от их и м е н и , получают право читать, записывать, созда¬ вать и удалять информацию». Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать л и ш ь степень доверия, которое м о ж н о оказать той и л и иной системе. В «Оранжевой книге» доверенная система определяется как «систе ма, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку и н ф о р м а ц и и разной степе¬ н и секретности группой пользователей без нарушения прав доступа». Обратим в н и м а н и е , что в рассматриваемых Критериях и безопас ность, и доверие оцениваются исключительно с точки зрения управления доступом к д а н н ы м , что является одним из средств обеспечения конфи¬ д е н ц и а л ь н о с т и и ц е л о с т н о с т и (статической). В о п р о с ы д о с т у п н о с т и «Оранжевая книга» не затрагивает. Степень доверия оценивается по двум о с н о в н ы м критериям. 1. Политика безопасности — набор законов, правил и норм поведения, оп ределяющих, как организация обрабатывает, защищает и распростра няет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных. Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной по¬ литики можно выбирать конкретные механизмы обеспечения безопас ности. Политика безопасности — это активный аспект защиты, включа ющий в себя анализ возможных угроз и выбор мер противодействия. 2. Уровень гарантированности — мера доверия, которая может быть ока¬ зана архитектуре и реализации И С . Доверие безопасности может проистекать как из анализа результатов тестирования, так и из про¬ верки (формальной или нет) общего замысла и реализации системы в целом и отдельных ее компонентов. Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реали¬ зацию политики безопасности. Это пассивный аспект защиты. Важным средством обеспечения безопасности является механизм подотчетности (протоколирования). Доверенная система должна ф и к с и ровать все события, касающиеся безопасности. Ведение протоколов долж но дополняться аудитом, то есть анализом регистрационной и н ф о р м а ц и и . К о н ц е п ц и я доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база — это совокупность защитных механизмов И С (включая аппаратное и программное обеспечение), отвечающих за проведение в ж и з н ь полити62
Лекция 5
Стандарты и спецификации в области информационной безопасности
ки безопасности. Качество вычислительной базы определяется исключи¬ тельно ее реализацией и корректностью исходных данных, которые вво¬ дит системный администратор. Вообще говоря, к о м п о н е н т ы вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность систе м ы в целом. В результате, для оценки доверия безопасности И С достаточ но рассмотреть только ее вычислительную базу, которая, как м о ж н о наде яться, достаточно компактна. Основное назначение доверенной вычислительной базы — выпол¬ нять ф у н к ц и и монитора обращений, то есть контролировать допусти мость в ы п о л н е н и я субъектами (активными сущностями И С , действую¬ щ и м и от и м е н и пользователей) определенных операций над объектами (пассивными сущностями). М о н и т о р проверяет каждое обращение поль зователя к программам или д а н н ы м на предмет согласованности с набо р о м действий, допустимых для пользователя. М о н и т о р обращений должен обладать тремя качествами: Изолированность. Необходимо предупредить возможность отслежи вания работы монитора. Полнота. М о н и т о р должен вызываться при каждом обращении, не должно быть способов обойти его. Верифицируемость. М о н и т о р должен быть к о м п а к т н ы м , чтобы его м о ж н о было проанализировать и протестировать, будучи уверенным в полноте тестирования. Реализация монитора обращений называется ядром безопасности. Ядро безопасности — это основа, на которой строятся все з а щ и т н ы е меха н и з м ы . П о м и м о перечисленных в ы ш е свойств монитора обращений, яд¬ р о должно гарантировать собственную неизменность. Границу доверенной вычислительной базы называют периметром безо¬ пасности. Как уже указывалось, компоненты, лежащие вне периметра безо¬ пасности, вообще говоря, могут не быть доверенными. С развитием распре деленных систем понятию «периметр безопасности» все чаще придают дру гой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, — нет.
Механизмы безопасности Согласно «Оранжевой книге», политика безопасности должна обя зательно включать в себя следующие элементы: • произвольное управление доступом; • безопасность повторного использования объектов; • метки безопасности; • принудительное управление доступом. 63
Курс
Основы информационной безопасности
Произвольное управление доступом (называемое иногда дискреци¬ о н н ы м ) — это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произ¬ вольность управления состоит в том, что некоторое л и ц о (обычно владе лец объекта) может по своему усмотрению предоставлять другим субъек¬ там или отбирать у них права доступа к объекту. Безопасность повторного использования объектов — важное допол н е н и е средств управления доступом, предохраняющее от случайного или преднамеренного извлечения к о н ф и д е н ц и а л ь н о й и н ф о р м а ц и и из «мусо ра». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, р а с ш и ф р о в а н н ы м и паролями и т.п.), для дисковых блоков и маг¬ нитных носителей в целом. К а к м ы указывали ранее, современный объектно-ориентированный подход резко сужает область действия данного элемента безопасности, затрудняет его реализацию. То ж е верно и для интеллектуальных уст¬ ройств, способных буферизовать большие объемы данных. Для реализации принудительного управления доступом с субъекта ми и объектами ассоциируются метки безопасности. Метка субъекта опи¬ сывает его благонадежность, метка объекта — степень конфиденциально¬ сти содержащейся в нем и н ф о р м а ц и и . Согласно «Оранжевой книге», метки безопасности состоят из двух ча стей — уровня секретности и списка категорий. Уровни секретности образу ют упорядоченное множество, категории — неупорядоченное. Назначение последних — описать предметную область, к которой относятся данные. Принудительное (или мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать и н ф о р м а ц и ю из объекта, если уровень сек¬ ретности субъекта н е н и ж е , ч е м у объекта, а все категории, перечислен¬ н ы е в метке безопасности объекта, присутствуют в метке субъекта. В та¬ ком случае говорят, что метка субъекта доминирует над меткой объекта. С м ы с л сформулированного правила п о н я т е н — читать м о ж н о только то, что положено. Субъект может записывать и н ф о р м а ц и ю в объект, если метка безо¬ пасности объекта доминирует над меткой субъекта. В частности, «конфи¬ денциальный» субъект может записывать д а н н ы е в секретные файлы, но не может — в несекретные (разумеется, д о л ж н ы также выполняться огра н и ч е н и я на набор категорий). О п и с а н н ы й способ управления доступом называется принудитель¬ н ы м , поскольку о н не зависит от воли субъектов (даже системных адми¬ нистраторов). После того, как з а ф и к с и р о в а н ы метки безопасности субъ¬ ектов и объектов, оказываются з а ф и к с и р о в а н н ы м и и права доступа. 64
Лекция 5
Стандарты и спецификации в области информационной безопасности
Если понимать политику безопасности узко, то есть как правила раз¬ граничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности — в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делят ся на три категории: • и д е н т и ф и к а ц и я и аутентификация; • предоставление доверенного пути; • анализ регистрационной и н ф о р м а ц и и . Обычный способ и д е н т и ф и к а ц и и — ввод и м е н и пользователя при входе в систему. Стандартное средство проверки подлинности (аутенти¬ ф и к а ц и и ) пользователя — пароль. Доверенный путь связывает пользователя непосредственно с дове ренной вычислительной базой, минуя другие, потенциально опасные к о м поненты И С . Цель предоставления доверенного пути — дать пользователю возможность убедиться в подлинности обслуживающей его системы. Анализ регистрационной и н ф о р м а ц и и (аудит) имеет дело с действи я м и (событиями), так или иначе затрагивающими безопасность системы. Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» предусматривает наличие средств выбо рочного протоколирования, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий. Переходя к пассивным аспектам защиты, укажем, что в «Оранжевой книге» рассматривается два вида гарантированности — операционная и технологическая. Операционная гарантированность относится к архитек турным и реализационным аспектам системы, в то время как технологи ческая — к методам построения и сопровождения. Операционная гарантированность включает в себя проверку следу¬ ю щ и х элементов: • архитектура системы; • целостность системы; • проверка тайных каналов передачи и н ф о р м а ц и и ; • доверенное администрирование; • доверенное восстановление после сбоев. Операционная гарантированность — это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избран¬ ную политику безопасности. Технологическая гарантированность охватывает весь ж и з н е н н ы й ц и к л системы, то есть периоды проектирования, реализации, тестирова н и я , продажи и сопровождения. Все перечисленные действия д о л ж н ы выполняться в соответствии с жесткими стандартами, чтобы исключить утечку и н ф о р м а ц и и и нелегальные «закладки». 65
Курс
Основы информационной безопасности
Классы безопасности «Критерии ...» Министерства обороны С Ш А открыли путь к р а н ж и рованию и н ф о р м а ц и о н н ы х систем по степени доверия безопасности. В « О р а н ж е в о й книге» о п р е д е л я е т с я ч е т ы р е у р о в н я д о в е р и я — D , C , B и A . Уровень D п р е д н а з н а ч е н д л я с и с т е м , п р и з н а н н ы х н е у д о в л е т в о р и т е л ь н ы м и . П о м е р е перехода от у р о в н я C к A к с и с т е м а м п р е д ъ я в л я ю т с я все более ж е с т к и е т р е б о в а н и я . У р о в н и C и B п о д р а з д е л я ю т ся на к л а с с ы ( C 1 , C 2 , B 1 , B 2 , B3) с п о с т е п е н н ы м в о з р а с т а н и е м с т е п е ни доверия. Всего имеется шесть классов безопасности — C 1 , C 2 , B 1 , B2, B3, A 1 . Чтобы в результате процедуры сертификации систему м о ж н о было отне¬ сти к некоторому классу, ее политика безопасности и уровень гарантированности д о л ж н ы удовлетворять заданным требованиям, из которых м ы упомянем л и ш ь важнейшие. Класс
• •
•
•
•
•
C1:
доверенная вычислительная база должна управлять доступом именованных пользователей к и м е н о в а н н ы м объектам; пользователи д о л ж н ы идентифицировать себя, прежде чем в ы полнять какие-либо и н ы е действия, контролируемые доверен ной вычислительной базой. Для аутентификации должен и с пользоваться к а к о й - л и б о защитный механизм, например п а р о ли. Аутентификационная и н ф о р м а ц и я должна быть з а щ и щ е н а от несанкционированного доступа; доверенная вычислительная база должна поддерживать область для собственного в ы п о л н е н и я , з а щ и щ е н н у ю от внешних воз действий (в частности, от и з м е н е н и я команд и / и л и данных) и от п о п ы т о к слежения за ходом работы; д о л ж н ы быть в наличии аппаратные и / и л и программные сред¬ ства, п о з в о л я ю щ и е п е р и о д и ч е с к и п р о в е р я т ь к о р р е к т н о с т ь ф у н к ц и о н и р о в а н и я аппаратных и микропрограммных компо¬ нентов доверенной вычислительной базы; з а щ и т н ы е механизмы д о л ж н ы быть протестированы на предмет соответствия их поведения системной документации. Тестиро¬ вание должно подтвердить, что у неавторизованного пользова¬ теля нет очевидных способов обойти или разрушить средства з а щ и т ы доверенной вычислительной базы; д о л ж н ы быть о п и с а н ы подход к безопасности, используемый производителем, и п р и м е н е н и е этого подхода п р и реализации доверенной вычислительной базы. 66
Лекция 5
Стандарты и спецификации в области информационной безопасности Класс
• •
•
•
•
•
• •
•
•
B1 (в дополнение
к C2):
доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и храни¬ м ы м объектом; доверенная вычислительная база должна обеспечить реализа ц и ю принудительного управления доступом всех субъектов ко всем хранимым объектам; доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств; группа специалистов, полностью п о н и м а ю щ и х реализацию до¬ веренной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анали¬ зу и тестированию; должна существовать неформальная или формальная модель п о л и т и к и безопасности, поддерживаемой доверенной вычис¬ лительной базой. Класс
•
к C1):
права доступа д о л ж н ы гранулироваться с точностью до пользо вателя. Все объекты д о л ж н ы подвергаться контролю доступа; п р и выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования; каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с к о н к р е т н ы м пользователем; доверенная вычислительная база должна создавать, поддержи¬ вать и защищать журнал регистрационной и н ф о р м а ц и и , отно¬ сящейся к доступу к объектам, контролируемым базой; тестирование должно подтвердить отсутствие очевидных недо¬ статков в механизмах изоляции ресурсов и защиты регистраци¬ онной информации. Класс
•
C2 (в дополнение
B2 (в дополнение
к B1):
снабжаться метками должны все ресурсы системы (например, П З У ) , прямо или косвенно доступные субъектам; к доверенной вычислительной базе должен поддерживаться д о в е р е н н ы й к о м м у н и к а ц и о н н ы й путь для пользователя, в ы п о л н я ю щ е г о операции начальной и д е н т и ф и к а ц и и и аутенти¬ фикации; 67
Курс
Основы информационной безопасности
•
•
•
• •
•
•
д о л ж н а быть предусмотрена в о з м о ж н о с т ь р е г и с т р а ц и и собы¬ тий, связанных с организацией тайных каналов обмена с па мятью; доверенная вычислительная база должна быть внутренне струк¬ турирована на хорошо определенные, относительно независи¬ м ы е модули; системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого вы¬ явленного канала; должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам п р о н и к н о в е н и я ; модель политики безопасности должна быть формальной. Для доверенной вычислительной базы д о л ж н ы существовать описа¬ тельные с п е ц и ф и к а ц и и верхнего уровня, точно и полно опре д е л я ю щ и е ее интерфейс; в процессе разработки и сопровождения доверенной вычислитель ной базы должна использоваться система конфигурационного уп равления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, ре¬ ализационной документации, исходных текстах, работающей вер¬ сии объектного кода, тестовых данных и документации; тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации. Класс
•
•
•
•
B3 (в дополнение
к B2):
для произвольного управления доступом д о л ж н ы обязательно использоваться списки управления доступом с указанием раз¬ р е ш е н н ы х режимов; должна быть предусмотрена возможность регистрации появле н и я или накопления событий, несущих угрозу политике безо¬ пасности системы. Администратор безопасности должен не¬ медленно извещаться о попытках нарушения политики безо пасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом; доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать п о л н ы й и концептуально простой з а щ и т н ы й механизм с точно опреде¬ ленной семантикой; процедура анализа должна быть выполнена для временных тай¬ ных каналов; 68
Лекция 5
•
•
•
Стандарты и спецификации в области информационной безопасности
должна быть специфицирована роль администратора безопас¬ ности. Получить права администратора безопасности м о ж н о только после в ы п о л н е н и я явных, протоколируемых действий; д о л ж н ы существовать процедуры и / и л и механизмы, позволяю щ и е произвести восстановление после сбоя или иного наруше н и я работы без ослабления защиты; должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам п р о н и к н о в е н и я . Класс
A1 (в дополнение
•
к B3):
тестирование должно продемонстрировать, что реализация до¬ веренной вычислительной базы соответствует ф о р м а л ь н ы м с п е ц и ф и к а ц и я м верхнего уровня; • п о м и м о описательных, д о л ж н ы быть представлены формаль¬ н ы е с п е ц и ф и к а ц и и верхнего уровня. Необходимо использовать современные методы формальной с п е ц и ф и к а ц и и и верифика¬ ц и и систем; • механизм конфигурационного управления должен распростра няться на весь ж и з н е н н ы й ц и к л и все к о м п о н е н т ы системы, и м е ю щ и е о т н о ш е н и е к обеспечению безопасности; • должно быть описано соответствие между ф о р м а л ь н ы м и спе¬ ц и ф и к а ц и я м и верхнего уровня и исходными текстами. Такова классификация, введенная в «Оранжевой книге». Коротко ее м о ж н о сформулировать так: • уровень C — произвольное управление доступом; • уровень B — принудительное управление доступом; • уровень A — верифицируемая безопасность. К о н е ч н о , в адрес «Критериев ...» м о ж н о высказать целый ряд серьез¬ ных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует под¬ черкнуть, что публикация «Оранжевой книги» без всякого преувеличения стала эпохальным событием в области и н ф о р м а ц и о н н о й безопасности. П о я в и л с я о б щ е п р и з н а н н ы й п о н я т и й н ы й базис, без которого даже обсуж дение проблем И Б было бы затруднительным. Отметим, что огромный идейный потенциал «Оранжевой книги» пока во многом остается невостребованным. Прежде всего это касается к о н ц е п ц и и технологической гарантированности, охватывающей весь ж и з н е н н ы й ц и к л системы — от выработки с п е ц и ф и к а ц и й до фазы экс¬ плуатации. П р и современной технологии программирования результиру ю щ а я система не содержит и н ф о р м а ц и и , присутствующей в исходных спецификациях, теряется и н ф о р м а ц и я о семантике программ. Важность 69
Курс
Основы информационной безопасности
данного обстоятельства м ы планируем продемонстрировать далее, в лек¬ ц и и об управлении доступом.
Информационная безопасность распределенных систем. Рекомендации X.800 Сетевые сервисы безопасности Следуя скорее исторической, чем предметной логике, м ы переходим к рассмотрению технической с п е ц и ф и к а ц и и X.800, появившейся немно¬ гим позднее «Оранжевой книги», но весьма полно и глубоко трактующей вопросы и н ф о р м а ц и о н н о й безопасности распределенных систем. Рекомендации X.800 — документ довольно о б ш и р н ы й . М ы остано вимся на специфических сетевых функциях (сервисах) безопасности, а также на необходимых для их реализации защитных механизмах. Выделяют следующие сервисы безопасности и исполняемые ими роли: Аутентификация. Д а н н ы й сервис обеспечивает проверку подлиннос¬ ти партнеров по о б щ е н и ю и проверку подлинности источника данных. Аутентификация партнеров по о б щ е н и ю используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего се анса связи. Аутентификация бывает односторонней (обычно клиент до¬ казывает свою подлинность серверу) и двусторонней (взаимной). Управление доступом. Обеспечивает защиту от н е с а н к ц и о н и р о в а н ного использования ресурсов, доступных по сети. Конфиденциальность данных. Обеспечивает защиту от н е с а н к ц и о н и рованного получения и н ф о р м а ц и и . Отдельно упомянем конфиденциаль¬ ность трафика (это защита и н ф о р м а ц и и , которую м о ж н о получить, ана¬ лизируя сетевые потоки данных). Целостность данных подразделяется на подвиды в зависимости от т о го, какой тип общения используют партнеры — с установлением соедине н и я или без него, защищаются ли все д а н н ы е или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности. Неотказуемость (невозможность отказаться от совершенных дейст¬ вий) обеспечивает два вида услуг: неотказуемость с подтверждением под¬ л и н н о с т и источника данных и неотказуемость с подтверждением достав¬ ки. П о б о ч н ы м продуктом неотказуемости является аутентификация ис¬ точника данных. В следующей таблице указаны уровни эталонной семиуровневой мо¬ дели OSI, на которых могут быть реализованы ф у н к ц и и безопасности. Отметим, что прикладные процессы, в п р и н ц и п е , могут взять на себя поддержку всех защитных сервисов. 70
Лекция 5
Стандарты и спецификации в области информационной безопасности
Функции безопасности
Уровень
Аутентификация Управление доступом Конфиденциальность соединения Конфиденциальность вне соединения Избирательная конфиденциальность Конфиденциальность трафика Целостность с восстановлением Целостность без восстановления
1
2
3
4
5
6
7
—
—
+
+
—
—
+
—
—
+
+
—
—
+
+
+
+
+
—
+
+
—
+
+
+
—
+
+
—
—
—
—
—
+
+
+
—
+
—
—
—
+
—
—
—
+
—
—
+
—
—
+
+
—
—
Избирательная целостность
+ +
Целостность вне соединения
—
—
+
+
—
—
+
Неотказуемость
—
—
—
—
—
—
+
«+» «—»
д а н н ы й уровень может предоставить ф у н к ц и ю безопасности; д а н н ы й уровень не подходит для предоставления ф у н к ц и и безопасности.
Табл. 5.1. Распределение ф у н к ц и й безопасности по уровням эталонной семиуровневой модели OSI.
Сетевые механизмы безопасности Для реализации сервисов (функций) безопасности могут использо ваться следующие механизмы и их к о м б и н а ц и и : • шифрование; 71
Курс
Основы информационной безопасности
• •
электронная цифровая подпись; механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке; • механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность от дельного сообщения или поля и н ф о р м а ц и и и целостность п о тока сообщений или полей и н ф о р м а ц и и . Для проверки целост ности потока сообщений (то есть для защиты от кражи, пере упорядочивания, дублирования и вставки сообщений) исполь зуются порядковые номера, временные ш т а м п ы , криптографи ческое связывание или и н ы е аналогичные п р и е м ы ; • механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования па¬ ролей, личных карточек или и н ы х устройств аналогичного на¬ значения, криптографических методов, устройств измерения и анализа биометрических характеристик; • механизмы д о п о л н е н и я трафика; • механизмы управления маршрутизацией. Маршруты могут в ы бираться статически или динамически. Оконечная система, за¬ фиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. Н а выбор маршрута способна повлиять метка безопасности, ассоциированная с пе¬ редаваемыми д а н н ы м и ; • механизмы нотаризации. Служат для заверения таких комму н и к а ц и о н н ы х характеристик, как целостность, время, л и ч н о с ти отправителя и получателей. Заверение обеспечивается на¬ дежной третьей стороной, обладающей достаточной информа¬ цией. Обычно нотаризация опирается на механизм электрон¬ ной подписи. В таблице 5.2 сведены сервисы (функции) и механизмы безопаснос¬ ти. Таблица показывает, какие механизмы (по отдельности и л и в комби¬ нации с другими) могут использоваться для реализации той или и н о й функции.
Администрирование средств безопасности Администрирование средств безопасности включает в себя распро странение и н ф о р м а ц и и , необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ и н ф о р м а ц и и об их функционирова¬ н и и . П р и м е р а м и могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрацион¬ ного журнала и т.п. 72
Лекция 5
Стандарты и спецификации в области информационной безопасности
Шифрование
Электронная подпись
Управление доступом
Целостность
Аутентификация
Дополнение трафика
Управление маршрутизацие
Нотаризация
Механизмы
Аутентификация партнеров
+
+
-
-
+
-
-
-
Аутентификация источника
+
+
-
-
-
-
-
-
Управление доступом
-
-
+
-
-
-
-
-
Конфиденциальность
+
-
+
-
-
-
+
-
Избирательная конфиденциальность
+
-
-
-
-
-
-
-
Конфиденциальность трафика
+
-
-
-
-
+
+
-
Целостность соединения
+
-
-
+
-
-
-
-
Целостность в н е соединения
+
+
-
+
-
-
-
-
Неотказуемость
-
+
-
+
-
-
-
+
Функции
«+» механизм пригоден для реализации данной функцию безопасности; « - » механизм н е преднозначен для реализации д а н н о й ф у н к ц и и безопасности. Табл. 5.2. Взаимосвязь ф у н к ц и й и механизмов безопасности. Концептуальной основой администрирования является и н ф о р м а ц и о н н а я база управления безопасностью. Эта база может н е существовать к а к единое (распределенное) хранилище, н о каждая из оконечных систем должна располагать и н ф о р м а ц и е й , необходимой для реализации избран¬ н о й политики безопасности. Согласно рекомендациям X.800, усилия администратора средств бе зопасности д о л ж н ы распределяться п о трем направлениям: • администрирование и н ф о р м а ц и о н н о й системы в целом; • администрирование сервисов безопасности; • администрирование механизмов безопасности. 73
Курс
Основы информационной безопасности
Среди действий, относящихся к И С в целом, отметим обеспечение актуальности политики безопасности, взаимодействие с другими адми¬ нистративными службами, реагирование на происходящие события, ау¬ дит и безопасное восстановление. Администрирование сервисов безопасности включает в себя опреде ление защищаемых объектов, выработку правил подбора механизмов бе зопасности (при наличии альтернатив), к о м б и н и р о в а н и е механизмов для реализации сервисов, взаимодействие с другими администраторами для обеспечения согласованной работы. Обязанности администратора механизмов безопасности определя ются перечнем задействованных механизмов. Типичный с п и с о к таков: • управление ключами (генерация и распределение); • управление шифрованием (установка и синхронизация крипто графических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи. Управление целостностью, если оно обеспечивается криптогра фическими средствами, также тяготеет к данному направлению; • администрирование управления доступом (распределение и н ф о р м а ц и и , необходимой для управления - паролей, списков доступа и т.п.); • управление аутентификацией (распределение и н ф о р м а ц и и , не¬ обходимой для аутентификации - паролей, ключей и т.п.); • управление дополнением трафика (выработка и поддержание правил, задающих характеристики д о п о л н я ю щ и х сообщений частоту отправки, размер и т.п.); • управление маршрутизацией (выделение доверенных путей); • управление нотаризацией (распространение и н ф о р м а ц и и о но¬ тариальных службах, администрирование этих служб). М ы видим, что администрирование средств безопасности в распре¬ деленной И С имеет много особенностей по сравнению с централизован¬ н ы м и системами.
С т а н д а р т ISO/IEC 1 5 4 0 8 «Критерии о ц е н к и б е з о п а с н о с т и информационных технологий» Основные понятия М ы возвращаемся к теме оценочных стандартов, приступая к рас¬ смотрению самого полного и современного среди них - «Критериев о ц е н к и безопасности и н ф о р м а ц и о н н ы х технологий» (издан 1 декабря 1999 года). Этот международный стандарт стал итогом почти десятилет74
Лекция 5
Стандарты и спецификации в области информационной безопасности
ней работы специалистов нескольких стран, он вобрал в себя опыт суще¬ ствовавших к тому времени документов национального и межнациональ¬ ного масштаба. П о историческим причинам д а н н ы й стандарт часто называют «Об щ и м и критериями» (или даже О К ) . М ы также будем использовать это со¬ кращение. «Общие критерии» на самом деле являются метастандартом, опреде л я ю щ и м инструменты о ц е н к и безопасности И С и порядок их использо вания. В отличие от «Оранжевой книги», О К не содержат предопределен ных «классов безопасности». Такие классы м о ж н о строить, исходя из тре бований безопасности, существующих для к о н к р е т н о й о р г а н и з а ц и и и / и л и конкретной и н ф о р м а ц и о н н о й системы. С программистской точки зрения О К можно считать набором библи отек, помогающих писать содержательные «программы» - задания по бе зопасности, типовые профили защиты и т.п. Программисты знают, на сколько хорошая библиотека упрощает разработку программ, повышает их качество. Без библиотек, «с нуля», программы не пишут уже очень дав¬ но; оценка безопасности тоже вышла на сопоставимый уровень сложнос¬ ти, и «Общие критерии» предоставили соответствующий инструментарий. Важно отметить, что требования могут быть параметризованы, как и полагается библиотечным ф у н к ц и я м . К а к и «Оранжевая книга», О К содержат два основных вида требова¬ н и й безопасности: • ф у н к ц и о н а л ь н ы е , соответствующие активному аспекту защи¬ ты, предъявляемые к ф у н к ц и я м безопасности и реализующим их механизмам; • требования д о в е р и я , соответствующие пассивному аспекту, предъявляемые к технологии и процессу разработки и эксплуа¬ тации. Требования безопасности предъявляются, а их в ы п о л н е н и е проверя ется для определенного объекта о ц е н к и - аппаратно-программного про¬ дукта или и н ф о р м а ц и о н н о й системы. Очень важно, что безопасность в О К рассматривается не статично, а в привязке к ж и з н е н н о м у циклу объекта оценки. Выделяются следующие этапы: • определение назначения, условий п р и м е н е н и я , целей и требо¬ ваний безопасности; • проектирование и разработка; • и с п ы т а н и я , оценка и сертификация; • внедрение и эксплуатация. В О К объект о ц е н к и рассматривается в контексте среды безопасно сти, которая характеризуется определенными условиями и угрозами. 75
Курс
Основы информационной безопасности
В свою очередь, угрозы характеризуются следующими параметрами: • источник угрозы; • метод воздействия; • уязвимые места, которые могут быть использованы; • ресурсы (активы), которые могут пострадать. Уязвимые места могут возникать из-за недостатка в: • требованиях безопасности; • проектировании; • эксплуатации. Слабые места по возможности следует устранить, минимизировать или хотя бы постараться ограничить возможный ущерб от их преднаме ренного использования или случайной активизации. С точки зрения технологии программирования в О К использован устаревший библиотечный (не объектный) подход. Чтобы, тем не менее, структурировать пространство требований, в «Общих критериях» введена иерархия класс-семейство-компонент-элемент. Классы определяют наиболее общую, «предметную» группировку требований (например, ф у н к ц и о н а л ь н ы е требования подотчетности). Семейства в пределах класса различаются по строгости и другим ню¬ ансам требований. Компонент - м и н и м а л ь н ы й набор требований, фигурирующий как целое. Элемент - неделимое требование. К а к и между библиотечными ф у н к ц и я м и , между компонентами О К могут существовать зависимости. О н и возникают, когда к о м п о н е н т сам по себе недостаточен для достижения цели безопасности. Вообще говоря, не все к о м б и н а ц и и компонентов имеют смысл, и понятие зависимости в какой-то степени компенсирует недостаточную выразительность библио¬ течной организации, хотя и не заменяет объединение ф у н к ц и й в содержа¬ тельные объектные интерфейсы. К а к указывалось в ы ш е , с п о м о щ ь ю библиотек могут формироваться два вида нормативных документов: профиль защиты и задание по безо¬ пасности. П р о ф и л ь защиты (ПЗ) представляет собой типовой набор требова н и й , которым д о л ж н ы удовлетворять продукты и / и л и системы опреде¬ ленного класса (например, о п е р а ц и о н н ы е системы на компьютерах в правительственных организациях). Задание по безопасности содержит совокупность требований к кон¬ кретной разработке, в ы п о л н е н и е которых обеспечивает достижение по¬ ставленных целей безопасности. Выше м ы отмечали, что в О К нет готовых классов защиты. Сформи¬ ровать к л а с с и ф и к а ц и ю в терминах «Общих критериев» - значит опреде76
Лекция 5
Стандарты и спецификации в области информационной безопасности
лить несколько иерархически упорядоченных (содержащих усиливающи еся требования) профилей защиты, в максимально возможной степени использующих стандартные ф у н к ц и о н а л ь н ы е требования и требования доверия безопасности. Выделение некоторого подмножества из всего множества профилей защиты во многом носит субъективный характер. П о целому ряду соображе н и й (одним из которых является желание придерживаться объектно-ориен тированного подхода) целесообразно, на наш взгляд, сформировать снача¬ ла отправную точку классификации, выделив базовый (минимальный) П З , а дополнительные требования компоновать в функциональные пакеты. Ф у н к ц и о н а л ь н ы й пакет - это неоднократно используемая совокуп ность компонентов, объединенных для достижения определенных целей безопасности. «Общие критерии» не регламентируют структуру пакетов, процедуры в е р и ф и к а ц и и , регистрации и т.п., отводя и м роль технологи ческого средства ф о р м и р о в а н и я П З . Базовый профиль защиты должен включать требования к о с н о в н ы м (обязательным в любом случае) возможностям. Производные п р о ф и л и получаются из базового путем добавления необходимых пакетов р а с ш и р е н и я , то есть подобно тому, как создаются производные классы в объект но-ориентированных языках программирования.
Функциональные требования Ф у н к ц и о н а л ь н ы е требования сгруппированы на основе выполняе¬ мой и м и роли или обслуживаемой цели безопасности. Всего в «Общих критериях» представлено 11 функциональных классов, 66 семейств, 135 компонентов. Это, конечно, значительно больше, чем число аналогичных сущностей в «Оранжевой книге». Перечислим классы функциональных требований ОК: • и д е н т и ф и к а ц и я и аутентификация; • защита данных пользователя; • защита ф у н к ц и й безопасности (требования относятся к целост¬ ности и контролю данных сервисов безопасности и реализую¬ щих их механизмов); • управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности); • аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта о ц е н к и , реагиро¬ вание на возможное нарушение безопасности); • доступ к объекту оценки; • приватность (защита пользователя от раскрытия и н е с а н к ц и о нированного использования его и д е н т и ф и к а ц и о н н ы х данных); 77
Курс
Основы информационной безопасности
•
использование ресурсов (требования к доступности информа¬ ции); • криптографическая поддержка (управление ключами); • связь (аутентификация сторон, участвующих в обмене данны¬ ми); • доверенный маршрут/канал (для связи с сервисами безопасно¬ сти). О п и ш е м подробнее два класса, демонстрирующие особенности со¬ временного подхода к И Б . Класс «Приватность» содержит 4 семейства функциональных требо¬ ваний. Анонимность. Позволяет выполнять действия без раскрытия иденти фикатора пользователя другим пользователям, субъектам и / и л и объек там. Анонимность может быть полной или выборочной. В последнем слу чае она может относиться не ко всем операциям и / и л и не ко всем пользо вателям (например, у уполномоченного пользователя может оставаться возможность в ы я с н е н и я идентификаторов пользователей). Псевдонимность. Напоминает анонимность, но при п р и м е н е н и и псевдонима поддерживается ссылка на идентификатор пользователя для обеспечения подотчетности или для других целей. Невозможность ассоциации. Семейство обеспечивает возможность неоднократного использования и н ф о р м а ц и о н н ы х сервисов, но не позво ляет ассоциировать случаи использования между собой и приписать их одному лицу. Невозможность ассоциации защищает от построения п р о филей поведения пользователей (и, следовательно, от получения инфор¬ м а ц и и на основе подобных профилей). Скрытность. Требования данного семейства направлены на то, чтобы м о ж н о было использовать и н ф о р м а ц и о н н ы й сервис с сокрытием факта использования. Для реализации скрытности может применяться, н а п р и мер, широковещательное распространение и н ф о р м а ц и и , без указания конкретного адресата. Годятся для реализации скрытности и методы сте ганографии, когда скрывается не только содержание сообщения (как в криптографии), но и сам факт его отправки. Е щ е один показательный (с н а ш е й точки зрения) класс функцио¬ нальных требований - «Использование ресурсов», содержащий требова¬ н и я доступности. О н включает три семейства. Отказоустойчивость. Требования этого семейства направлены на с о хранение доступности и н ф о р м а ц и о н н ы х сервисов даже в случае сбоя или отказа. В О К различаются активная и пассивная отказоустойчивость. Ак¬ тивный механизм содержит специальные ф у н к ц и и , которые активизиру¬ ются в случае сбоя. Пассивная отказоустойчивость подразумевает нали¬ ч и е избыточности с возможностью нейтрализации ошибок. 78
Лекция 5
Стандарты и спецификации в области информационной безопасности
Обслуживание по приоритетам. Выполнение этих требований позво ляет управлять использованием ресурсов так, что низкоприоритетные операции не могут помешать высокоприоритетным. Распределение ресурсов. Требования направлены на защиту (путем п р и м е н е н и я механизма квот) от н е с а н к ц и о н и р о в а н н о й монополизации ресурсов. М ы видим, что «Общие критерии» - очень продуманный и п о л н ы й документ с точки зрения функциональных требований. В то ж е время, хо¬ телось бы обратить в н и м а н и е и на некоторые недостатки. Первый м ы уже отмечали - это отсутствие объектного подхода. Ф у н к ц и о н а л ь н ы е требования не сгруппированы в о с м ы с л е н н ы е наборы (объектные интерфейсы), к которым могло бы применяться наследова¬ ние. Подобное положение, как известно из технологии программирова¬ н и я , чревато появлением с л и ш к о м большого числа к о м б и н а ц и й функци¬ ональных компонентов, несопоставимых между собой. В современном программировании ключевым является вопрос на копления и многократного использования знаний. Стандарты - одна из ф о р м н а к о п л е н и я знаний. Следование в О К «библиотечному», а не объ ектному подходу сужает круг фиксируемых з н а н и й , усложняет их кор¬ ректное использование. К с о ж а л е н и ю , в « О б щ и х критериях» отсутствуют а р х и т е к т у р н ы е т р е б о в а н и я , что я в л я е т с я е с т е с т в е н н ы м следствием и з б р а н н о г о с т а р о м о д н о г о п р о г р а м м и с т с к о г о подхода «снизу вверх». Н а н а ш взгляд, это с е р ь е з н о е у п у щ е н и е . Технологичность средств б е з о п а с н о с т и , следова¬ н и е о б щ е п р и з н а н н ы м р е к о м е н д а ц и я м по п р о т о к о л а м и п р о г р а м м н ы м и н т е р ф е й с а м , а т а к ж е а п р о б и р о в а н н ы м а р х и т е к т у р н ы м р е ш е н и я м , та¬ к и м к а к м е н е д ж е р / а г е н т , - н е о б х о д и м ы е качества и з д е л и й информа¬ ционных технологий, предназначенных для поддержки критически в а ж н ы х ф у н к ц и й , к ч и с л у которых, безусловно, о т н о с я т с я ф у н к ц и и б е з о п а с н о с т и . Без р а с с м о т р е н и я и н т е р ф е й с н ы х а с п е к т о в с и с т е м ы о к а зываются нерасширяемыми и изолированными. Очевидно, с практи ч е с к о й т о ч к и з р е н и я это н е д о п у с т и м о . В то ж е в р е м я , о б е с п е ч е н и е бе з о п а с н о с т и и н т е р ф е й с о в - в а ж н а я задача, к о т о р у ю ж е л а т е л ь н о р е ш а т ь единообразно.
Требования доверия безопасности Установление доверия безопасности, согласно «Общим критериям», основывается на активном исследовании объекта оценки. Форма представления требований доверия, в п р и н ц и п е , та ж е , что и для функциональных требований. С п е ц и ф и к а состоит в том, что каждый элемент требований доверия принадлежит одному из трех типов: 79
Курс
Основы информационной безопасности
• действия разработчиков; • представление и содержание свидетельств; • действия о ц е н щ и к о в . Всего в О К 10 классов, 44 семейства, 93 компонента требований д о верия безопасности. Перечислим классы: • разработка (требования для поэтапной детализации ф у н к ц и й безопасности от краткой с п е ц и ф и к а ц и и до реализации); • поддержка жизненного цикла (требования к модели ж и з н е н н о го цикла, включая порядок устранения недостатков и защиту среды разработки); • тестирование; • оценка уязвимостей (включая оценку стойкости ф у н к ц и й безо¬ пасности); • поставка и эксплуатация; • управление конфигурацией; • руководства (требования к эксплуатационной документации); • поддержка доверия (для поддержки этапов жизненного цикла после сертификации); • оценка п р о ф и л я защиты; • оценка задания по безопасности. Применительно к требованиям доверия в «Общих критериях» сделана весьма полезная вещь, не реализованная, к сожалению, для функциональ ных требований. А именно, введены так называемые оценочные уровни д о верия (их семь), содержащие осмысленные комбинации компонентов. Оценочный уровень доверия 1 (начальный) предусматривает анализ ф у н к ц и о н а л ь н о й с п е ц и ф и к а ц и и , с п е ц и ф и к а ц и и интерфейсов, эксплуа¬ тационной документации, а также независимое тестирование. Уровень п р и м е н и м , когда угрозы не рассматриваются как серьезные. Оценочный уровень доверия 2, в дополнение к первому уровню, предусматривает наличие проекта верхнего уровня объекта о ц е н к и , выбо¬ рочное независимое тестирование, анализ стойкости ф у н к ц и й безопас¬ ности, п о и с к разработчиком я в н ы х уязвимых мест. На третьем уровне ведется контроль среды разработки и управление конфигурацией объекта оценки. На уровне 4 добавляются полная с п е ц и ф и к а ц и я интерфейсов, п р о екты нижнего уровня, анализ подмножества реализации, п р и м е н е н и е н е формальной модели политики безопасности, независимый анализ уязви мых мест, автоматизация управления конфигурацией. Вероятно, это са¬ м ы й высокий уровень, которого м о ж н о достичь при существующей тех¬ нологии программирования и приемлемых затратах. Уровень 5, в д о п о л н е н и е к предыдущим, предусматривает примене¬ н и е формальной модели политики безопасности, полуформальных ф у н к 80
Лекция 5
Стандарты и спецификации в области информационной безопасности
циональной с п е ц и ф и к а ц и и и проекта верхнего уровня с демонстрацией соответствия между н и м и . Необходимо проведение анализа скрытых ка¬ налов разработчиками и о ц е н щ и к а м и . На уровне 6 реализация должна быть представлена в структуриро в а н н о м виде. Анализ соответствия распространяется на проект нижнего уровня. Оценочный уровень 7 (самый высокий) предусматривает формаль ную в е р и ф и к а ц и ю проекта объекта о ц е н к и . О н п р и м е н и м к ситуациям чрезвычайно высокого риска. На этом м ы заканчиваем краткий обзор «Общих критериев».
Гармонизированные критерии Европейских стран Н а ш е изложение «Гармонизированных критериев» основывается на версии 1.2, опубликованной в и ю н е 1991 года от имени соответствующих органов четырех стран - Ф р а н ц и и , Германии, Нидерландов и Великобри¬ тании. П р и н ц и п и а л ь н о важной чертой Европейских Критериев является отсутствие требований к условиям, в которых должна работать и н ф о р м а ц и о н н а я система. Так называемый спонсор, то есть организация, запра ш и в а ю щ а я с е р т и ф и к а ц и о н н ы е услуги, формулирует цель о ц е н к и , то есть описывает условия, в которых должна работать система, возможные угро зы ее безопасности и предоставляемые ею защитные ф у н к ц и и . Задача о р гана сертификации - оценить, насколько полно достигаются поставлен¬ н ы е цели, то есть насколько корректны и э ф ф е к т и в н ы архитектура и ре¬ ализация механизмов безопасности в описанных спонсором условиях. Таким образом, в терминологии «Оранжевой книги», Европейские Кри¬ терии относятся к гарантированности безопасной работы системы. Тре бования к политике безопасности и наличию защитных механизмов не являются составной частью Критериев. Впрочем, чтобы облегчить ф о р мулировку цели о ц е н к и , Критерии содержат в качестве приложения о п и сание десяти классов функциональности, типичных для правительствен ных и коммерческих систем. Европейские Критерии рассматривают все основные составляющие и н ф о р м а ц и о н н о й безопасности - конфиденциальность, целостность, доступность. В Критериях проводится различие между системами и продуктами. Система - это конкретная аппаратно-программная конфигурация, пост роенная с вполне определенными целями и ф у н к ц и о н и р у ю щ а я в извест н о м окружении. Продукт - это аппаратно-программный «пакет», кото¬ р ы й м о ж н о купить и по своему усмотрению встроить в ту или иную сис¬ тему. Таким образом, с точки зрения и н ф о р м а ц и о н н о й безопасности о с 81
Курс
Основы информационной безопасности
новное отличие между системой и продуктом состоит в том, что система имеет конкретное окружение, которое м о ж н о определить и изучить сколь угодно детально, а продукт должен быть рассчитан на использование в различных условиях. И з практических соображений важно обеспечить единство критери¬ ев оценки продуктов и систем - например, чтобы облегчить оценку систе¬ м ы , составленной из ранее сертифицированных продуктов. П о этой при¬ ч и н е для систем и продуктов вводится единый термин - объект оценки. Каждая система и / и л и продукт предъявляет свои требования к обес печению конфиденциальности, целостности и доступности. Чтобы удов летворить эти требования, необходимо предоставить соответствующий набор ф у н к ц и й (сервисов) безопасности, таких как идентификация и ау т е н т и ф и к а ц и я , управление доступом или восстановление после сбоев. Сервисы безопасности реализуются посредством конкретных меха низмов. Чтобы объекту о ц е н к и м о ж н о было доверять, необходима опре деленная степень уверенности в наборе ф у н к ц и й и механизмов безопас¬ ности. Степень уверенности м ы будем называть гарантированностью. Гарантированность может быть большей или меньшей в зависимости от тщательности проведения оценки. Гарантированность затрагивает два аспекта - эффективность и кор¬ ректность средств безопасности. П р и проверке эффективности анализи¬ руется соответствие между целями, сформулированными для объекта о ц е н к и , и и м е ю щ и м с я набором ф у н к ц и й безопасности. Точнее говоря, рассматриваются вопросы адекватности функциональности, взаимной согласованности ф у н к ц и й , простоты их использования, а также возмож н ы е последствия эксплуатации известных слабых мест защиты. К р о м е т о го, в понятие эффективности входит способность механизмов защиты противостоять п р я м ы м атакам (мощность механизма). Определяются три градации м о щ н о с т и - базовая, средняя и высокая. Под корректностью понимается правильность реализации ф у н к ц и й и механизмов безопасности. В Критериях определяется семь возможных уровней гарантированности корректности - от E0 до E6 (в порядке возра стания). Уровень E0 означает отсутствие гарантированности. П р и п р о верке корректности анализируется весь ж и з н е н н ы й ц и к л объекта о ц е н к и - от проектирования до эксплуатации и сопровождения. Общая оценка системы складывается из м и н и м а л ь н о й мощности механизмов безопасности и уровня гарантированности корректности. Гармонизированные критерии Европейских стран явились для свое го времени весьма передовым стандартом, о н и создали предпосылки для появления «Общих критериев».
82
Лекция 5
Стандарты и спецификации в области информационной безопасности
И н т е р п р е т а ц и я «Оранжевой книги» для сетевых конфигураций В 1987 году Н а ц и о н а л ь н ы м центром к о м п ь ю т е р н о й безопасности С Ш А была опубликована интерпретация «Оранжевой книги» для сете вых к о н ф и г у р а ц и й . Д а н н ы й документ состоит из двух частей. Первая содержит собственно и н т е р п р е т а ц и ю , во второй рассматриваются сер в и с ы безопасности, с п е ц и ф и ч н ы е или о с о б е н н о в а ж н ы е для сетевых конфигураций. В первой части вводится м и н и м у м новых понятий. Важнейшее из них - сетевая доверенная вычислительная база, распределенный аналог доверенной вычислительной базы изолированных систем. Сетевая дове ренная вычислительная база формируется из всех частей всех к о м п о н е н тов сети, обеспечивающих и н ф о р м а ц и о н н у ю безопасность. Доверенная сетевая система должна обеспечивать такое распределение защитных ме ханизмов, чтобы общая политика безопасности реализовывалась, н е с м о тря на уязвимость к о м м у н и к а ц и о н н ы х путей и на параллельную, асин¬ хронную работу компонентов. П р я м о й зависимости между вычислительными базами компонен¬ тов, рассматриваемых как изолированные системы, и фрагментами сете¬ вой вычислительной базы не существует. Более того, нет п р я м о й зависи мости и между уровнями безопасности отдельных компонентов и уров¬ н е м безопасности всей сетевой конфигурации. Н а п р и м е р , в результате объединения двух систем класса B 1 , обладающих несовместимыми пра вилами кодирования меток безопасности, получается сеть, не удовлетво р я ю щ а я требованию целостности меток. В качестве противоположного примера рассмотрим объединение двух компонентов, один из которых сам не обеспечивает протоколирование действий пользователя, но пере¬ дает необходимую и н ф о р м а ц и ю другому компоненту, который и ведет протокол. В таком случае распределенная система в целом, несмотря на слабость компонента, удовлетворяет требованию подотчетности. Ч т о б ы п о н я т ь суть п о л о ж е н и й , в о ш е д ш и х в первую часть, р а с с м о т р и м и н т е р п р е т а ц и ю т р е б о в а н и й к классу безопасности C 2 . П е р в о е т р е б о в а н и е к этому классу - поддержка п р о и з в о л ь н о г о у п р а в л е н и я д о ступом. И н т е р п р е т а ц и я предусматривает р а з л и ч н ы е в а р и а н т ы р а с п р е д е л е н и я сетевой д о в е р е н н о й в ы ч и с л и т е л ь н о й базы по к о м п о н е н т а м и, соответственно, р а з л и ч н ы е в а р и а н т ы р а с п р е д е л е н и я м е х а н и з м о в у п р а в л е н и я доступом. В ч а с т н о с т и , н е к о т о р ы е к о м п о н е н т ы , з а к р ы т ы е для п р я м о г о доступа пользователей, могут в о о б щ е н е содержать п о д о б н ы х механизмов. Интерпретация отличается от самих «Критериев» учетом д и н а м и ч ности сетевых конфигураций. Предусматривается наличие средств п р о 83
Курс
Основы информационной безопасности
верки подлинности и корректности ф у н к ц и о н и р о в а н и я компонентов пе¬ ред их включением в сеть, наличие протокола взаимной проверки компо¬ нентами корректности ф у н к ц и о н и р о в а н и я друг друга, а также присутст вие средств оповещения администратора о неполадках в сети. Сетевая конфигурация должна быть устойчива к отказам отдельных компонентов или к о м м у н и к а ц и о н н ы х путей. Среди защитных механизмов в сетевых конфигурациях на первом месте стоит криптография, помогающая поддерживать к а к к о н ф и д е н ц и альность, так и целостность. Следствием использования криптографиче ских методов является необходимость реализации механизмов управле н и я ключами. Систематическое р а с с м о т р е н и е в о п р о с о в доступности я в л я е т с я новшеством по с р а в н е н и ю не только с «Оранжевой книгой», но и с ре¬ к о м е н д а ц и я м и X.800. Сетевой сервис перестает быть д о с т у п н ы м , когда пропускная способность к о м м у н и к а ц и о н н ы х каналов падает н и ж е м и н и м а л ь н о допустимого уровня или сервис не в с о с т о я н и и обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие на¬ р у ш е н и я р а в н о п р а в и я в обслуживании пользователей. Д о в е р е н н а я сис¬ тема д о л ж н а иметь возможность обнаруживать ситуации недоступнос¬ ти, уметь возвращаться к н о р м а л ь н о й работе и противостоять атакам на доступность. Для обеспечения непрерывности ф у н к ц и о н и р о в а н и я могут п р и м е няться следующие з а щ и т н ы е меры: • внесение в конфигурацию той или и н о й ф о р м ы избыточности (резервное оборудование, запасные каналы связи и т.п.); • наличие средств реконфигурирования для изоляции и / и л и за¬ м е н ы узлов или к о м м у н и к а ц и о н н ы х каналов, отказавших или подвергшихся атаке на доступность; • рассредоточенность сетевого управления, отсутствие единой точки отказа; • наличие средств нейтрализации отказов (обнаружение отказав¬ ших компонентов, оценка последствий, восстановление после отказов); • выделение подсетей и изоляция групп пользователей друг от друга. О д н и м из в а ж н е й ш и х в «Оранжевой книге» является п о н я т и е мо¬ нитора о б р а щ е н и й . П р и м е н и т е л ь н о к структурированию сетевой кон¬ фигурации м о ж н о сформулировать следующее утверждение, обеспечи¬ вающее достаточное условие корректности ф р а г м е н т и р о в а н и я монито¬ ра о б р а щ е н и й . Пусть каждый субъект (то есть процесс, действующий от и м е н и ка¬ кого-либо пользователя) заключен внутри одного компонента и может 84
Лекция 5
Стандарты и спецификации в области информационной безопасности
осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее, пусть каждый компонент содержит свой мони¬ тор обращений, отслеживающий все локальные попытки доступа, и все мониторы реализуют согласованную политику безопасности. Пусть, на¬ к о н е ц , к о м м у н и к а ц и о н н ы е каналы, связывающие к о м п о н е н т ы , сохраня¬ ют конфиденциальность и целостность передаваемой и н ф о р м а ц и и . Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации. Д а н н о е утверждение является теоретической основой д е к о м п о з и ц и и распределенной И С в объектно-ориентированном стиле в сочетании с криптографической защитой коммуникаций.
Руководящие документы Гостехкомиссии России Гостехкомиссия Р о с с и и ведет весьма а к т и в н у ю н о р м о т в о р ч е с к у ю деятельность, выпуская Р у к о в о д я щ и е д о к у м е н т ы (РД), и г р а ю щ и е роль н а ц и о н а л ь н ы х о ц е н о ч н ы х стандартов в области и н ф о р м а ц и о н н о й бе¬ з о п а с н о с т и . В качестве стратегического н а п р а в л е н и я Гостехкомиссия Р о с с и и выбрала о р и е н т а ц и ю на « О б щ и е к р и т е р и и » , что м о ж н о только приветствовать. В своем обзоре м ы рассмотрим два важных, хотя и не новых, Руко водящих документа - К л а с с и ф и к а ц и ю автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа (НСД) и аналогичную К л а с с и ф и к а ц и ю межсетевых экранов ( М Э ) . Согласно первому из них, устанавливается девять классов защищен¬ ности АС от Н С Д к и н ф о р м а ц и и . Каждый класс характеризуется определенной м и н и м а л ь н о й сово¬ купностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностя¬ м и обработки и н ф о р м а ц и и в АС. В пределах каждой группы соблюдается иерархия требований по за¬ щите в зависимости от ценности (конфиденциальности) и н ф о р м а ц и и и, следовательно, иерархия классов з а щ и щ е н н о с т и АС. Третья группа классифицирует АС, в которых работает один пользо¬ ватель, и м е ю щ и й доступ ко всей и н ф о р м а ц и и АС, р а з м е щ е н н о й на носи¬ телях одного уровня конфиденциальности. Группа содержит два класса 3Б и ЗА. Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей и н ф о р м а ц и и АС, обра батываемой и (или) хранящейся на носителях различного уровня конфи¬ денциальности. Группа содержит два класса - 2Б и 2А. 85
Курс
Основы информационной безопасности
П е р в а я группа к л а с с и ф и ц и р у е т м н о г о п о л ь з о в а т е л ь с к и е АС, в к о торых о д н о в р е м е н н о обрабатывается и (или) хранится и н ф о р м а ц и я разных уровней к о н ф и д е н ц и а л ь н о с т и и не все пользователи и м е ю т право доступа ко всей и н ф о р м а ц и и АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. Сведем в таблицу требования ко всем девяти классам защищенности АС.
Подсистемы и требования
Классы 3Б ЗА 2Б 2А 1Д 1Г 1В 1Б 1А
1. Подсистема управления доступом 1.1. И д е н т и ф и к а ц и я , проверка подлинности и контроль доступа субъектов: в систему;
+
+
+
к терминалам, Э В М , узлам сети Э В М , каналам связи, в н е ш н и м устройствам ЭВМ; к программам;
+
+ -
-
-
к томам, каталогам, файлам, записям, полям записей. 1.2. Управление потоками и н ф о р м а ц и и
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
-
-
+
-
-
+
+
+
+
+
+
+
+
+
+
+
+
2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа/выхода субъектов доступа в / и з системы (узла сети);
J
86
Лекция 5
Стандарты и спецификации в области информационной безопасности
Подсистемы и требованияя
Классы 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
выдачи печатных (графических) выходных документов;
+
+
+
+
+
+
запуска/ завершения программ и процессов (заданий, задач);
+
+
+
+
+
доступа программ субъектов доступа к терминалам, Э В М , узлам сети Э В М , каналам связи, в н е ш н и м устройствам Э В М , программам, томам, каталогам, файлам, записям, полям записей;
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
изменения полномочий субъектов доступа; создаваемых защищаемых объектов доступа. 2.2. Учет носителей информации.
+ +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти Э В М и внешних накопителей. 2.4. Сигнализация попыток нарушения защиты.
+
+
+
-
+
+
+
-
-
87
-
-
Курс
Основы информационной безопасности
Подсистемы и требования
Классы 3Б ЗА 2Б 2А 1Д 1Г 1В 1Б 1А
3. Криптографическая подсистема 3.1. Ш и ф р о в а н и е конфиденциальной информации.
+
+
3.2. Ш и ф р о в а н и е информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах.
+
+
3.3. Использование аттестованных (сертифицированных) криптографических средств.
+
+
+
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации.
+
+
+
+
+
+
+
+
+
4.2. Физическая охрана средств вычислительной техники и носителей информации.
+
+
+
+
+
+
+
+
+
4.3. Наличие администратора (службы защиты) и н ф о р м а ц и и в АС.
-
-
-
+
-
-
+
+
+
88
Лекция 5
Стандарты и
Подсистемы и требованияя
Основы информационной безопасности
Классы 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А
4.4. Периодическое тестирование С З И НСД.
+
+
+
+
+
+
+
+
+
4.5. Наличие средств восстановления СЗИ НСД.
+
+
+
+
+
+
+
+
+
+
+
+
4.6. Использование сертифицированных средств защиты. Обозначения: «—» «+» « С З И НСД»
+
+
нет требований к данному классу; есть требования к данному классу; система защиты и н ф о р м а ц и и от несанкционированного доступа
Табл. 5.3. Требования к защищенности автоматизированных систем. По существу перед нами — минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интере сующему нас предмету имеет отношение только пункт 4.1. Доступность (точ нее, восстановление) предусмотрено только для самих средств защиты. Переходя к рассмотрению второго РД Гостехкомиссии России — К л а с с и ф и к а ц и и межсетевых экранов — укажем, что д а н н ы й РД представ ляется н а м п р и н ц и п и а л ь н о важным, поскольку в н е м идет речь не о цело¬ стном продукте или системе, а об отдельном сервисе безопасности, обес¬ печивающем межсетевое разграничение доступа. Д а н н ы й РД важен не столько содержанием, сколько самим фактом своего существования. О с н о в н ы м критерием к л а с с и ф и к а ц и и М Э служит протокольный уровень (в соответствии с эталонной семиуровневой моделью), на кото¬ р о м осуществляется фильтрация и н ф о р м а ц и и . Это понятно: чем в ы ш е уровень, тем больше и н ф о р м а ц и и на нем доступно и, следовательно, тем более тонкую и надежную фильтрацию м о ж н о реализовать. Значительное в н и м а н и е в РД уделено собственной безопасности служб обеспечения защиты и вопросам согласованного администрирова н и я распределенных конфигураций. 89
Курс
Основы информационной безопасности
Л е к ц и я 6. А д м и н и с т р а т и в н ы й у р о в е н ь информационной безопасности
Вводятся ключевые понятия — политика безопасности и программа безопас ности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем. Ключевые слова: административный уровень И Б , политика безопас¬ ности, программа безопасности, анализ рисков, уровень детализа¬ ц и и , карта И С , классификация ресурсов, физическая защита, пра вила разграничения доступа, порядок разработки, непрерывная ра бота, оценка рисков, координация, стратегическое планирование, контроль, ж и з н е н н ы й цикл, и н и ц и а ц и я , закупка, установка, э к с плуатация, выведение из эксплуатации.
Основные понятия К административному уровню и н ф о р м а ц и о н н о й безопасности от¬ носятся действия общего характера, предпринимаемые руководством ор¬ ганизации. Главная цель мер административного уровня — сформировать про¬ грамму работ в области и н ф о р м а ц и о н н о й безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих и н ф о р м а ц и о н н ы х активов. Руковод¬ ство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для и н ф о р м а ц и о н н о й системы организации. Когда р и с к и проанализированы и стратегия защиты определена, состав ляется программа обеспечения и н ф о р м а ц и о н н о й безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определя ется порядок контроля в ы п о л н е н и я программы и т.п. Термин «политика безопасности» является не совсем точным пере водом английского словосочетания «security policy», однако в д а н н о м слу чае калька лучше отражает смысл этого п о н я т и я , чем лингвистически бо лее верные «правила безопасности». М ы будем иметь в виду не отдельные правила или их наборы (такого рода р е ш е н и я выносятся на процедурный 90
Лекция 6
Административный уровень информационной безопасности
уровень, речь о котором впереди), а стратегию организации в области ин¬ ф о р м а ц и о н н о й безопасности. Для выработки стратегии и проведения ее в ж и з н ь нужны, несомненно, политические р е ш е н и я , п р и н и м а е м ы е на самом высоком уровне. Под политикой безопасности м ы будем понимать совокупность до¬ кументированных решений, принимаемых руководством организации и направленных на защиту и н ф о р м а ц и и и ассоциированных с ней ресурсов. Такая трактовка, конечно, гораздо шире, чем набор правил разгра н и ч е н и я доступа (именно это означал термин «security policy» в «Оранже¬ вой книге» и в построенных на ее основе нормативных документах других стран). И С организации и связанные с ней интересы субъектов — это слож ная система, для рассмотрения которой необходимо применять объект н о - о р и е н т и р о в а н н ы й подход и понятие уровня детализации. Целесооб разно выделить, по крайней мере, три таких уровня, что м ы уже делали в примере и сделаем еще раз далее. Чтобы рассматривать И С предметно, с использованием актуальных данных, следует составить карту и н ф о р м а ц и о н н о й системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном сти¬ ле, с возможностью варьировать не только уровень детализации, но и ви¬ д и м ы е грани объектов. Техническим средством составления, сопровожде н и я и визуализации подобных карт может служить свободно распростра н я е м ы й каркас какой-либо системы управления.
Политика безопасности С практической точки зрения политику безопасности целесообраз но рассматривать на трех уровнях детализации. К верхнему уровню мож но отнести р е ш е н и я , затрагивающие организацию в целом. О н и носят весьма о б щ и й характер и, как правило, исходят от руководства организа ц и и . П р и м е р н ы й список подобных р е ш е н и й может включать в себя сле¬ дующие элементы: • р е ш е н и е сформировать или пересмотреть комплексную п р о грамму обеспечения и н ф о р м а ц и о н н о й безопасности, назначе¬ н и е ответственных за продвижение программы; • формулировка целей, которые преследует организация в облас¬ ти и н ф о р м а ц и о н н о й безопасности, определение общих на¬ правлений в достижении этих целей; • обеспечение базы для соблюдения законов и правил; • формулировка административных р е ш е н и й по тем вопросам реализации программы безопасности, которые д о л ж н ы рассма¬ триваться на уровне организации в целом. 91
Курс
Основы информационной безопасности
Для политики верхнего уровня цели организации в области и н ф о р м а ц и о н н о й безопасности формулируются в терминах целостности, д о с тупности и конфиденциальности. Если организация отвечает за поддер ж а н и е критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для о р ганизации, занимающейся продажей компьютерной техники, вероятно, важна актуальность и н ф о р м а ц и и о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руко¬ водство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности. На верхний уровень выносится управление з а щ и т н ы м и ресурсами и к о о р д и н а ц и я использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими ре¬ ж и м безопасности. Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты ис¬ пользования сотрудниками своих д о м а ш н и х компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются л и ш ь наи¬ более важные системы. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала. Политика верхнего уровня имеет дело с тремя аспектами з а к о н о п о слушности и исполнительской д и с ц и п л и н ы . Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контроли¬ ровать действия лиц, ответственных за выработку программы безопасно¬ сти. Н а к о н е ц , необходимо обеспечить определенную степень исполни¬ тельности персонала, а для этого нужно выработать систему п о о щ р е н и й и наказаний. Вообще говоря, на верхний уровень следует выносить м и н и м у м во¬ просов. Подобное вынесение целесообразно, когда оно сулит значитель¬ ную э к о н о м и ю средств или когда иначе поступить просто невозможно. Британский стандарт BS 7799:1995 рекомендует включать в доку¬ мент, характеризующий политику безопасности организации, следующие разделы: • вводный, подтверждающий озабоченность высшего руководст¬ ва проблемами и н ф о р м а ц и о н н о й безопасности; • организационный, содержащий описание подразделений, ко¬ миссий, групп и т.д., отвечающих за работы в области информа¬ ц и о н н о й безопасности; 92
Лекция 6
Административный уровень информационной безопасности
•
к л а с с и ф и к а ц и о н н ы й , о п и с ы в а ю щ и й имеющиеся в организа¬ ц и и материальные и и н ф о р м а ц и о н н ы е ресурсы и необходимый уровень их защиты; • штатный, характеризующий меры безопасности, п р и м е н я е м ы е к персоналу (описание должностей с точки зрения и н ф о р м а ц и о н н о й безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безо¬ пасности и т.п.); • раздел, освещающий вопросы физической защиты; • у п р а в л я ю щ и й раздел, о п и с ы в а ю щ и й подход к управлению компьютерами и компьютерными сетями; • раздел, о п и с ы в а ю щ и й правила разграничения доступа к произ¬ водственной и н ф о р м а ц и и ; • раздел, характеризующий порядок разработки и сопровожде н и я систем; • раздел, о п и с ы в а ю щ и й меры, направленные на обеспечение не¬ прерывной работы организации; • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству. К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных экс¬ плуатируемых организацией систем. Примеры таких вопросов — отноше¬ ние к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д. Политика среднего уровня должна для каждого аспекта освещать следующие темы: Описание аспекта. Н а п р и м е р , если рассмотреть п р и м е н е н и е пользо¬ вателями неофициального программного обеспечения, последнее м о ж н о определить к а к П О , которое не было одобрено и / и л и закуплено на уров¬ не организации. Область применения. Следует определить, где, когда, как, по о т н о ш е н и ю к кому и чему применяется данная политика безопасности. Н а п р и мер, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и д о м а ш н и м и ком¬ пьютерами и вынужденных переносить и н ф о р м а ц и ю на производствен¬ ные машины? Позиция организации по данному аспекту. Продолжая пример с нео¬ ф и ц и а л ь н ы м программным обеспечением, м о ж н о представить себе пози¬ ц и и полного запрета, выработки процедуры приемки подобного П О и т.п. 93
Курс
Основы информационной безопасности
П о з и ц и я может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в д а н н о м аспекте. Вообще стиль документов, определяющих политику безопасности (как и их пере чень), в разных организациях может сильно отличаться. Роли и обязанности. В «политический» документ необходимо вклю¬ чить и н ф о р м а ц и ю о должностных лицах, ответственных за реализацию политики безопасности. Н а п р и м е р , если для использования н е о ф и ц и ального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его м о ж н о получить. Ес¬ ли неофициальное программное обеспечение использовать нельзя, следу¬ ет знать, кто следит за выполнением данного правила. Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них. Точки контакта. Д о л ж н о быть известно, куда следует обращаться за р а з ъ я с н е н и я м и , п о м о щ ь ю и дополнительной и н ф о р м а ц и е й . Обычно «точкой контакта» служит определенное должностное л и ц о , а не конкрет¬ н ы й человек, з а н и м а ю щ и й в д а н н ы й момент д а н н ы й пост. Политика безопасности нижнего уровня относится к конкретным и н ф о р м а ц и о н н ы м сервисам. Она включает в себя два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая поли¬ тика должна быть определена более подробно. Есть много вещей, специ¬ ф и ч н ы х для отдельных видов услуг, которые нельзя единым образом рег ламентировать в рамках всей организации. В то же время, эти вещи н а столько важны для обеспечения режима безопасности, что относящиеся к н и м решения д о л ж н ы приниматься на управленческом, а не техничес¬ ком уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня: • кто имеет право доступа к объектам, поддерживаемым сервисом? • при каких условиях м о ж н о читать и модифицировать данные? • как организован удаленный доступ к сервису? П р и формулировке целей политики нижнего уровня м о ж н о исхо¬ дить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели д о л ж н ы быть более конкрет¬ н ы м и . Н а п р и м е р , если речь идет о системе расчета заработной платы, м о ж н о поставить цель, чтобы только сотрудникам отдела кадров и бухгал¬ терии позволялось вводить и модифицировать и н ф о р м а ц и ю . В более об щ е м случае цели должны связывать между собой объекты сервиса и д е й ствия с н и м и . И з целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Ч е м подробнее правила, чем более фор¬ мально они изложены, тем п р о щ е поддержать их в ы п о л н е н и е программ94
Лекция 6
Административный уровень информационной безопасности
но-техническими средствами. С другой стороны, с л и ш к о м жесткие пра¬ вила могут мешать работе пользователей, вероятно, их придется часто пе ресматривать. Руководству предстоит найти разумный компромисс, ког¬ да за приемлемую цену будет обеспечен приемлемый уровень безопасно¬ сти, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.
Программа безопасности После того, как сформулирована политика безопасности, м о ж н о приступать к составлению программы ее реализации и собственно к реа¬ лизации. Чтобы понять и реализовать какую-либо программу, ее нужно струк турировать по уровням, обычно в соответствии со структурой организа¬ ц и и . В простейшем и самом распространенном случае достаточно двух уровней — верхнего, или центрального, который охватывает всю органи¬ зацию, и нижнего, или служебного, который относится к отдельным ус¬ лугам или группам однородных сервисов. Программу верхнего уровня возглавляет л и ц о , отвечающее за и н ф о р м а ц и о н н у ю безопасность организации. У этой программы следую¬ щ и е главные цели: • у п р а в л е н и е р и с к а м и ( о ц е н к а р и с к о в , выбор э ф ф е к т и в н ы х средств защиты); • координация деятельности в области и н ф о р м а ц и о н н о й безо¬ пасности, п о п о л н е н и е и распределение ресурсов; • стратегическое планирование; • контроль деятельности в области информационной безопасности. В рамках программы верхнего уровня принимаются стратегические р е ш е н и я по обеспечению безопасности, оцениваются технологические н о в и н к и . И н ф о р м а ц и о н н ы е технологии развиваются очень быстро, и н е обходимо иметь четкую политику отслеживания и внедрения новых средств. Контроль деятельности в области безопасности имеет двусторон¬ н ю ю направленность. Во-первых, необходимо гарантировать, что дейст¬ вия организации не противоречат законам. П р и этом следует поддержи вать контакты с в н е ш н и м и контролирующими организациями. Во-вто рых, нужно постоянно отслеживать состояние безопасности внутри орга¬ н и з а ц и и , реагировать на случаи нарушений и дорабатывать з а щ и т н ы е ме¬ р ы с учетом изменения обстановки. Следует подчеркнуть, что программа верхнего уровня должна зани мать строго определенное место в деятельности организации, она должна 95
Курс
Основы информационной безопасности
о ф и ц и а л ь н о приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет. Цель программы нижнего уровня — обеспечить надежную и эконо¬ мичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; за купаются и устанавливаются технические средства; выполняется повсед невное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.
Синхронизация программы безопасности с жизненным циклом систем Если синхронизировать программу безопасности нижнего уровня с ж и з н е н н ы м ц и к л о м защищаемого сервиса, м о ж н о добиться большего эффекта с м е н ь ш и м и затратами. Программисты знают, что добавить но¬ вую возможность к уже готовой системе на порядок сложнее, чем изна чально спроектировать и реализовать ее. То ж е справедливо и для инфор¬ м а ц и о н н о й безопасности. В ж и з н е н н о м цикле и н ф о р м а ц и о н н о г о сервиса м о ж н о выделить следующие этапы: Инициация. На д а н н о м этапе выявляется необходимость в приобре тении нового сервиса, документируется его предполагаемое назначение. Закупка. Н а д а н н о м этапе составляются с п е ц и ф и к а ц и и , прорабаты ваются варианты приобретения, выполняется собственно закупка. Установка. Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию. Эксплуатация. На д а н н о м этапе сервис не только работает и а д м и н и стрируется, но и подвергается м о д и ф и к а ц и я м . Выведение из эксплуатации. Происходит переход на н о в ы й сервис. Рассмотрим действия, в ы п о л н я е м ы е на каждом из этапов, более по¬ дробно. На этапе и н и ц и а ц и и оформляется п о н и м а н и е того, что необходимо приобрести новый или значительно модернизировать существующий сер¬ вис; определяется, какими характеристиками и какой функциональнос тью он должен обладать; оцениваются финансовые и и н ы е ограничения. С точки зрения безопасности в а ж н е й ш и м действием здесь является оценка критичности к а к самого сервиса, так и и н ф о р м а ц и и , которая с его п о м о щ ь ю будет обрабатываться. Требуется сформулировать ответы на следующие вопросы: • какого рода и н ф о р м а ц и я предназначается для обслуживания н о в ы м сервисом? • каковы возможные последствия нарушения к о н ф и д е н ц и а л ь н о 96
Лекция 6
Административный уровень информационной безопасности
сти, целостности и доступности этой и н ф о р м а ц и и ? каковы угрозы, по о т н о ш е н и ю к которым сервис и и н ф о р м а ц и я будут наиболее уязвимы? • есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие п р и н я т и я специальных процедурных мер? • каковы характеристики персонала, и м е ю щ и е отношение к бе¬ зопасности ( к в а л и ф и к а ц и я , благонадежность)? • каковы законодательные положения и внутренние правила, ко¬ торым должен соответствовать н о в ы й сервис? Результаты оценки критичности являются отправной точкой в с о ставлении с п е ц и ф и к а ц и й . К р о м е того, о н и определяют ту меру внима н и я , которую служба безопасности организации должна уделять новому сервису на последующих этапах его ж и з н е н н о г о цикла. Этап закупки — один из самых сложных. Нужно окончательно с ф о р мулировать требования к з а щ и т н ы м средствам нового сервиса, к компа н и и , которая может претендовать на роль поставщика, и к квалифика¬ ц и и , которой должен обладать персонал, использующий или обслужива¬ ю щ и й закупаемый продукт. Все эти сведения оформляются в виде специ ф и к а ц и и , куда входят не только аппаратура и программы, но и докумен тация, обслуживание, обучение персонала. Разумеется, особое в н и м а н и е должно уделяться вопросам совместимости нового сервиса с существую¬ щей конфигурацией. Подчеркнем также, что нередко средства безопасно¬ сти являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спе¬ цификации. Когда продукт закуплен, его необходимо установить. Несмотря на кажущуюся простоту, установка является очень ответственным делом. Во-первых, н о в ы й продукт следует сконфигурировать. К а к правило, к о м мерческие продукты поставляются с отключенными средствами безопас ности; их необходимо включить и д о л ж н ы м образом настроить. Для боль ш о й организации, где много пользователей и данных, начальная настрой¬ ка может стать весьма трудоемким и ответственным делом. Во-вторых, н о в ы й сервис нуждается в процедурных регуляторах. Следует позаботиться о чистоте и охране п о м е щ е н и я , о документах, рег¬ ламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п. После принятия перечисленных мер необходимо провести тестиро¬ вание. Его полнота и комплексность могут служить гарантией безопасно¬ сти эксплуатации в штатном режиме. Период эксплуатации — самый длительный и сложный. С психоло¬ гической точки зрения наибольшую опасность в это время представляют •
97
Курс
Основы информационной безопасности
незначительные изменения в конфигурации сервиса, в поведении поль¬ зователей и администраторов. Если безопасность не поддерживать, она ослабевает. Пользователи не столь ревностно выполняют должностные инструкции, администраторы менее тщательно анализируют регистраци¬ онную и н ф о р м а ц и ю . То один, то другой пользователь получает дополни¬ тельные привилегии. Кажется, что в сущности ничего не изменилось; на самом ж е деле от былой безопасности не осталось и следа. Для борьбы с э ф ф е к т о м медленных изменений приходится п р и бегать к периодическим проверкам безопасности сервиса. Разумеется, после значительных м о д и ф и к а ц и й подобные проверки являются обяза¬ тельными. П р и выведении из эксплуатации затрагиваются а п п а р а т н о - п р о граммные к о м п о н е н т ы сервиса и обрабатываемые им данные. Аппарату ра продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную и н ф о р м а ц и ю . Программы, вероятно, просто стираются, если и н о е не предусмотрено л и ц е н з и о н н ы м соглашением. П р и выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архиви¬ рование производится с намерением впоследствии прочитать д а н н ы е в другом месте, следует позаботиться об аппаратно-программной совмес тимости средств чтения и записи. И н ф о р м а ц и о н н ы е технологии развива ются очень быстро, и через несколько лет устройств, способных прочи тать старый носитель, может просто не оказаться. Если д а н н ы е архивиру ются в з а ш и ф р о в а н н о м виде, необходимо сохранить ключ и средства рас¬ ш и ф р о в к и . П р и архивировании и хранении архивной и н ф о р м а ц и и нель¬ зя забывать о поддержании конфиденциальности данных.
98
Лекция 7
Управление рисками
Л е к ц и я 7. У п р а в л е н и е р и с к а м и
Информационная безопасность должна достигаться экономически оправдан ными мерами. В лекции описывается методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств. Ключевые слова: управление рисками, оценка рисков, нейтрализа ц и я рисков, ликвидация риска, уменьшение риска, п р и н я т и е риска, переадресация риска, методология о ц е н к и рисков, идентификация активов, анализ угроз, идентификация уязвимых мест, остаточный риск, ж и з н е н н ы й ц и к л И С , и н и ц и а ц и я , закупка, разработка, уста новка, эксплуатация, выведение из эксплуатации, выбор анализиру емых объектов, выбор уровня детализации, миссия организации, карта И С , и д е н т и ф и к а ц и я угроз, источник угрозы, вероятность осу ществления угрозы, предполагаемый ущерб, экранирование.
Основные понятия Управление рисками рассматривается нами на административном уровне И Б , поскольку только руководство организации способно выде¬ лить необходимые ресурсы, инициировать и контролировать в ы п о л н е н и е соответствующих программ. Вообще говоря, управление р и с к а м и , равно как и выработка собст венной политики безопасности, актуально только для тех организаций, и н ф о р м а ц и о н н ы е системы которых и / и л и обрабатываемые д а н н ы е мож¬ но считать нестандартными. Обычную организацию вполне устроит ти¬ повой набор защитных мер, выбранный на основе представления о т и пичных рисках или вообще без всякого анализа рисков (особенно это вер но с формальной точки зрения, в свете проанализированного н а м и ранее российского законодательства в области И Б ) . М о ж н о провести аналогию между индивидуальным строительством и получением квартиры в р а й о н е массовой застройки. В первом случае необходимо принять множество ре¬ ш е н и й , оформить большое количество бумаг, во втором достаточно опре¬ делиться л и ш ь с несколькими параметрами. Более подробно д а н н ы й ас пект рассмотрен в статье Сергея Симонова «Анализ рисков, управления рисками» (Jet Info, 1999, 1). Использование и н ф о р м а ц и о н н ы х систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, не¬ обходимо принять экономически оправданные меры защиты. П е р и о д и 99
Курс
Основы информационной безопасности
ческая (пере)оценка рисков необходима для контроля эффективности д е ятельности в области безопасности и для учета и з м е н е н и й обстановки. С количественной точки зрения уровень риска является ф у н к ц и е й вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба. Таким образом, суть м е р о п р и я т и й по управлению р и с к а м и состоит в том, чтобы оценить их размер, выработать э ф ф е к т и в н ы е и экономич¬ н ы е меры с н и ж е н и я р и с к о в , а затем убедиться, что р и с к и заключены в приемлемые р а м к и (и остаются таковыми). Следовательно, управление р и с к а м и включает в себя два вида деятельности, которые чередуются циклически: • (пере)оценка (измерение) рисков; • выбор э ф ф е к т и в н ы х и э к о н о м и ч н ы х защитных средств (нейт¬ рализация рисков). По отношению к выявленным рискам возможны следующие действия: • ликвидация риска (например, за счет устранения п р и ч и н ы ) ; • уменьшение риска (например, за счет использования дополни¬ тельных защитных средств); • п р и н я т и е риска (и выработка плана действия в соответствую щих условиях); • переадресация риска (например, путем заключения страхового соглашения). Процесс управления рисками м о ж н о разделить на следующие этапы: 1. Выбор анализируемых объектов и уровня детализации их рассмотрения. 2. Выбор методологии оценки рисков. 3. И д е н т и ф и к а ц и я активов. 4. Анализ угроз и их последствий, выявление уязвимых мест в защите. 5. Оценка рисков. 6. Выбор защитных мер. 7. Реализация и проверка выбранных мер. 8. Оценка остаточного риска. Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные — к оценке рисков. Уже перечисление этапов показывает, что управление р и с к а м и — процесс циклический. П о существу, последний этап — это оператор кон¬ ца цикла, предписывающий вернуться к началу. Риски нужно контроли ровать постоянно, периодически проводя их переоценку. Отметим, что добросовестно в ы п о л н е н н а я и тщательно документированная первая оценка может существенно упростить последующую деятельность. Управление р и с к а м и , к а к и любую другую деятельность в области и н ф о р м а ц и о н н о й безопасности, необходимо интегрировать в жизнен¬ н ы й цикл И С . Тогда э ф ф е к т оказывается наибольшим, а затраты — м и н и 100
Лекция 7
Управление рисками
мальными. Ранее м ы определили пять этапов ж и з н е н н о г о цикла. Кратко о п и ш е м , что может дать управление рисками на каждом из них. На этапе и н и ц и а ц и и известные риски следует учесть при выработке требований к системе вообще и средствам безопасности в частности. На этапе закупки (разработки) з н а н и е рисков поможет выбрать со¬ ответствующие архитектурные р е ш е н и я , которые играют ключевую роль в обеспечении безопасности. На этапе установки выявленные р и с к и следует учитывать при кон¬ фигурировании, тестировании и проверке ранее сформулированных тре¬ бований, а п о л н ы й цикл управления р и с к а м и должен предшествовать внедрению системы в эксплуатацию. На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе. При выведении системы из эксплуатации управление рисками помога¬ ет убедиться в том, что миграция данных происходит безопасным образом.
Подготовительные этапы управления рисками В этом разделе будут описаны первые три этапа процесса управления рисками. Выбор анализируемых объектов и уровня детализации их рассмотре н и я — первый шаг в оценке рисков. Для небольшой организации допусти¬ м о рассматривать всю и н ф о р м а ц и о н н у ю инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать н е п р и емлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью ито говой оценки. Если важных сервисов все еще много, выбираются те из них, р и с к и для которых заведомо велики или неизвестны. М ы уже указывали на целесообразность создания карты и н ф о р м а ц и о н н о й системы организации. Для управления р и с к а м и подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы в ы браны для анализа, а к а к и м и пришлось пренебречь. Если И С меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет я с н о , какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении. Вообще говоря, уязвимым является каждый компонент и н ф о р м а ц и о н н о й системы — от сетевого кабеля, который могут прогрызть м ы ш и , до базы данных, которая может быть разрушена из-за неумелых действий ад¬ министратора. К а к правило, в сферу анализа невозможно включить каж¬ д ы й винтик и каждый байт. Приходится останавливаться на некотором уровне детализации, опять-таки отдавая себе отчет в приближенности о ц е н к и . Для новых систем предпочтителен детальный анализ; старая с и 101
Курс
Основы информационной безопасности
стема, подвергшаяся небольшим м о д и ф и к а ц и я м , может быть проанали¬ зирована более поверхностно. Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли сущест¬ вующие р и с к и , и если нет, то какие защитные средства стоит использо¬ вать. Значит, оценка должна быть количественной, допускающей сопос¬ тавление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов безопасности. Управление рисками — т и пичная оптимизационная задача, и существует довольно много программ¬ ных продуктов, способных помочь в ее решении (иногда подобные про¬ дукты просто прилагаются к книгам по и н ф о р м а ц и о н н о й безопасности). П р и н ц и п и а л ь н а я трудность, однако, состоит в неточности исходных д а н ных. М о ж н о , конечно, попытаться получить для всех анализируемых ве¬ л и ч и н денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными едини цами. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой. Далее мы продемонстрируем, как это делается. При идентификации активов, то есть тех ресурсов и ценностей, кото¬ рые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраст¬ руктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии ор ганизации, то есть об основных направлениях деятельности, которые жела тельно (или необходимо) сохранить в любом случае. Выражаясь объектноориентированным языком, следует в первую очередь описать внешний ин¬ терфейс организации, рассматриваемой как абстрактный объект. Одним из главных результатов процесса идентификации активов я в ляется получение детальной и н ф о р м а ц и о н н о й структуры организации и способов ее (структуры) использования. Эти сведения целесообразно на¬ нести на карту И С в качестве граней соответствующих объектов. И н ф о р м а ц и о н н о й основой сколько-нибудь крупной организации я в ляется сеть, поэтому в число аппаратных активов следует включить ком¬ пьютеры (серверы, рабочие станции, П К ) , периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудова ние (мосты, маршрутизаторы и т.п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, сред¬ ства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких уз лов оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, в ы 102
Лекция 7
Управление рисками
явить места их хранения и обработки, способы доступа к ним. Все это важ но для оценки последствий нарушений информационной безопасности. Управление рисками — процесс далеко не линейный. Практически все его этапы связаны между собой, и по завершении почти любого из них может возникнуть необходимость возврата к предыдущему. Так, при иден¬ т и ф и к а ц и и активов может оказаться, что выбранные границы анализа следует расширить, а степень детализации — увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
Основные этапы управления рисками Этапы, предшествующие анализу угроз, м о ж н о считать подготови¬ тельными, поскольку, строго говоря, они напрямую с рисками не связа ны. Р и с к появляется там, где есть угрозы. Краткий перечень наиболее распространенных угроз был рассмот¬ рен н а м и ранее. К сожалению, на практике угроз гораздо больше, причем далеко не все из них носят компьютерный характер. Так, вполне реальной угрозой является наличие м ы ш е й и тараканов в занимаемых организаци ей помещениях. П е р в ы е могут повредить кабели, вторые вызвать корот кое замыкание. К а к правило, наличие той или иной угрозы является следствием пробелов в защите и н ф о р м а ц и о н н о й системы, которые, в свою очередь, объясняются отсутствием некоторых сервисов безопаснос¬ ти или недостатками в реализующих их защитных механизмах. Опасность прогрызания кабелей возникает не просто там, где есть м ы ш и , она связа¬ на с отсутствием или недостаточной прочностью защитной оболочки. Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (ис ключив, например, землетрясения, однако не забывая о возможности за хвата организации террористами), но в пределах выбранных видов прове¬ сти максимально подробный анализ. Целесообразно выявлять не только сами угрозы, но и источники их в о з н и к н о в е н и я — это поможет в выборе дополнительных средств защиты. Н а п р и м е р , нелегальный вход в систему может стать следствием воспро¬ изведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каж¬ дому из перечисленных способов нелегального входа нужны свои меха¬ н и з м ы безопасности. После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность). К р о м е вероятности осуществления, важен размер потенциального ущерба. Н а п р и м е р , пожары бывают нечасто, но ущерб от каждого из них, 103
Курс
Основы информационной безопасности
как правило, велик. Тяжесть ущерба также м о ж н о оценить по трехбалль¬ ной шкале. Оценивая размер ущерба, необходимо иметь в виду не только н е п о средственные расходы на замену оборудования или восстановление ин¬ ф о р м а ц и и , но и более отдаленные, такие как подрыв репутации, ослабле¬ н и е п о з и ц и й на р ы н к е и т.п. Пусть, например, в результате дефектов в уп¬ равлении доступом к бухгалтерской и н ф о р м а ц и и сотрудники получили возможность корректировать д а н н ы е о собственной заработной плате. Следствием такого состояния дел может стать не только перерасход бюд¬ жетных или корпоративных средств, но и полное разложение коллектива, грозящее развалом организации. Уязвимые места обладают свойством притягивать к себе не только злоумышленников, но и сравнительно честных людей. Н е всякий устоит перед искушением немного увеличить свою зарплату, если есть уверен¬ ность, что это сойдет в рук. Поэтому, оценивая вероятность осуществле н и я угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных и н ф о р м а ц и о н н ы х систем. Если в подвале дома, занимаемого организацией, располагается сауна, а сам дом имеет деревянные перекрытия, то вероятность пожара, к сожалению, оказывается существенно в ы ш е средней. После того, к а к н а к о п л е н ы исходные д а н н ы е и оценена степень не¬ определенности, м о ж н о переходить к обработке и н ф о р м а ц и и , то есть собственно к оценке рисков. Вполне допустимо применить такой прос¬ той метод, к а к умножение вероятности осуществления угрозы на предпо лагаемый ущерб. Если для вероятности и ущерба использовать трехбалль¬ ную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Пер¬ вые два результата м о ж н о отнести к низкому риску, третий и четвертый — к среднему, два последних — к высокому, после чего появляется возмож¬ ность снова привести их к трехбалльной шкале. П о этой шкале и следует оценивать приемлемость рисков. Правда, граничные случаи, когда вы¬ численная величина совпала с приемлемой, целесообразно рассматри¬ вать более тщательно из-за приближенного характера результата. Если какие-либо р и с к и оказались недопустимо в ы с о к и м и , необхо¬ д и м о их нейтрализовать, реализовав дополнительные меры защиты. К а к правило, для ликвидации или нейтрализации уязвимого места, сделавше¬ го угрозу реальной, существует несколько механизмов безопасности, раз¬ личных по эффективности и стоимости. Н а п р и м е р , если велика вероят¬ ность нелегального входа в систему, м о ж н о потребовать, чтобы пользова¬ тели выбирали д л и н н ы е пароли (скажем, не менее восьми символов), за¬ действовать программу генерации паролей или закупить интегрирован¬ ную систему аутентификации на основе интеллектуальных карт. Если есть вероятность умышленного повреждения сервера баз данных, что м о 104
Лекция 7
Управление рисками
жет иметь серьезные последствия, м о ж н о врезать замок в дверь серверной комнаты или поставить около каждого сервера по охраннику. Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и / и л и программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Эту стоимость также можно оценить по трехбалльной шкале и затем сопоставить ее с разностью между вычисленным и допустимым ри¬ ском. Если по этому показателю новое средство оказывается экономичес ки выгодным, его можно взять на заметку (подходящих средств, вероятно, будет несколько). Однако если средство окажется дорогим, его не следует сразу отбрасывать, памятуя о приближенности расчетов. Выбирая подходящий способ защиты, целесообразно учитывать воз можность э к р а н и р о в а н и я одним механизмом обеспечения безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сер вером аутентификации Kerberos. Важным обстоятельством является совместимость нового средства со сложившейся организационной и аппаратно-программной структу рой, с традициями организации. М е р ы безопасности, как правило, носят недружественный характер, что может отрицательно сказаться на энтузи¬ азме сотрудников. П о р о й сохранение духа открытости важнее минимиза¬ ц и и материальных потерь. Впрочем, такого рода ориентиры д о л ж н ы быть расставлены в политике безопасности верхнего уровня. Можно представить себе ситуацию, когда для нейтрализации риска не существует эффективных и приемлемых по цене мер. Например, компания, базирующаяся в сейсмически опасной зоне, не всегда может позволить себе строительство защищенной штаб-квартиры. В таком случае приходится поднимать планку приемлемого риска и переносить центр тяжести на смяг чение последствий и выработку планов восстановления после аварий, сти хийных бедствий и иных происшествий. Продолжая пример с сейсмоопасностью, можно рекомендовать регулярное тиражирование данных в другой город и овладение средствами восстановления первичной базы данных. К а к и всякую иную деятельность, реализацию и проверку новых ре гуляторов безопасности следует предварительно планировать. В плане н е обходимо учесть наличие финансовых средств и сроки обучения персона¬ ла. Если речь идет о программно-техническом механизме защиты, нужно составить план тестирования (автономного и комплексного). Когда намеченные меры приняты, необходимо проверить их действен ность, то есть убедиться, что остаточные риски стали приемлемыми. Если это на самом деле так, значит, можно спокойно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс управления рисками немедленно. 105
Курс
Основы информационной безопасности
Л е к ц и я 8. П р о ц е д у р н ы й у р о в е н ь информационной безопасности
Описываются основные классы мер процедурного уровня. Формулируются принципы, позволяющие обеспечить надежную защиту. Ключевые слова: процедурный уровень И Б , управление персоналом, физическая защита, поддержание работоспособности, реагирование на нарушения режима безопасности, планирование восстановитель ных работ, разделение обязанностей, м и н и м и з а ц и я привилегий, описание должности, обучение, непрерывность защиты в простран¬ стве и времени, физическое управление доступом, периметр безо¬ пасности, контролируемая территория, объектный подход, противо¬ пожарные меры, защита поддерживающей инфраструктуры, защита от перехвата данных, защита мобильных систем, поддержка пользо¬ вателей, поддержка программного обеспечения, конфигурационное управление, резервное копирование, управление носителями, доку ментирование, регламентные работы, локализация инцидента, уменьшение наносимого вреда, прослеживание нарушителя, преду преждение повторных нарушений, отслеживание новых уязвимых мест, критически важные ф у н к ц и и , идентификация ресурсов, стра тегия восстановительных работ, персонал, и н ф о р м а ц и о н н а я и н ф р а структура, физическая инфраструктура.
Основные классы мер процедурного уровня М ы приступаем к рассмотрению мер безопасности, которые ориенти¬ рованы на людей, а не на технические средства. И м е н н о люди формируют режим информационной безопасности, и они же оказываются главной уг розой, поэтому «человеческий фактор» заслуживает особого внимания. В российских компаниях накоплен богатый опыт регламентирова н и я и реализации процедурных (организационных) мер, однако дело в том, что они п р и ш л и из «докомпьютерного» прошлого, поэтому требуют переоценки. Следует осознать ту степень зависимости от компьютерной обработ¬ ки данных, в которую попало современное общество. Без всякого преуве личения м о ж н о сказать, что необходима и н ф о р м а ц и о н н а я гражданская оборона. С п о к о й н о , без нагнетания страстей, нужно разъяснять общест ву не только преимущества, но и опасности, связанные с использованием 106
Лекция 8
Процедурный уровень информационной безопасности
и н ф о р м а ц и о н н ы х технологий. Акцент следует делать не на военной или к р и м и н а л ь н о й стороне дела, а на гражданских аспектах, связанных с под держанием нормального ф у н к ц и о н и р о в а н и я аппаратного и программно го обеспечения, то есть концентрироваться на вопросах доступности и целостности данных. На процедурном уровне м о ж н о выделить следующие классы мер: • управление персоналом; • физическая защита; • поддержание работоспособности; • реагирование на нарушения режима безопасности; • планирование восстановительных работ.
Управление персоналом Управление персоналом начинается с приема нового сотрудника на работу и даже р а н ь ш е — с составления описания должности. Уже на дан¬ н о м этапе желательно подключить к работе специалиста по информаци¬ о н н о й безопасности для определения компьютерных привилегий, ассо¬ циируемых с должностью. Существует два общих п р и н ц и п а , которые сле¬ дует иметь в виду: • разделение обязанностей; • м и н и м и з а ц и я привилегий. П р и н ц и п разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критичес¬ ки важный для организации процесс. Н а п р и м е р , нежелательна ситуация, когда крупные платежи от и м е н и организации выполняет один человек. Надежнее поручить одному сотруднику о ф о р м л е н и е заявок на подобные платежи, а другому — заверять эти заявки. Другой пример — процедурные ограничения действий суперпользователя. М о ж н о искусственно «расще пить» пароль суперпользователя, сообщив первую его часть одному с о труднику, а вторую — другому. Тогда критически важные действия по ад¬ министрированию И С они смогут выполнить только вдвоем, что снижа¬ ет вероятность о ш и б о к и злоупотреблений. П р и н ц и п минимизации привилегий предписывает выделять пользо вателям только те права доступа, которые необходимы и м для выполнения служебных обязанностей. Назначение этого принципа очевидно — умень¬ шить ущерб от случайных или умышленных некорректных действий. Предварительное составление описания должности позволяет оце¬ нить ее критичность и спланировать процедуру проверки и отбора канди¬ датов. Чем ответственнее должность, тем тщательнее нужно проверять кандидатов: навести о них справки, быть может, побеседовать с бывшими сослуживцами и т.д. Подобная процедура может быть длительной и д о р о 107
Курс
Основы информационной безопасности
гой, поэтому нет смысла дополнительно усложнять ее. В то ж е время, н е разумно и совсем отказываться от предварительной проверки, чтобы слу ч а й н о не принять на работу человека с уголовным п р о ш л ы м или психи ческим заболеванием. Когда кандидат определен, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обя занностями, а также с нормами и процедурами и н ф о р м а ц и о н н о й безо пасности. Желательно, чтобы меры безопасности были и м усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями. С момента заведения системного счета начинается его администри рование, а также протоколирование и анализ действий пользователя. П о степенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего измене н и я привилегий. Техническую сложность представляют временные пере м е щ е н и я пользователя, в ы п о л н е н и е им обязанностей взамен сотрудника, ушедшего в отпуск, и и н ы е обстоятельства, когда полномочия нужно сна чала предоставить, а через некоторое время взять обратно. В такие пери оды профиль активности пользователя резко меняется, что создает труд ности при выявлении подозрительных ситуаций. Определенную аккурат ность следует соблюдать и при выдаче новых постоянных п о л н о м о ч и й , не забывая ликвидировать старые права доступа. Ликвидация системного счета пользователя, особенно в случае к о н фликта между сотрудником и организацией, должна производиться мак¬ симально оперативно (в идеале — одновременно с извещением о наказа¬ н и и или увольнении). Возможно и физическое ограничение доступа к ра¬ бочему месту. Разумеется, если сотрудник увольняется, у него нужно п р и нять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства ш и ф р о в а н и я . К управлению сотрудниками примыкает администрирование л и ц , работающих по контракту (например, специалистов ф и р м ы - п о с т а в щ и к а , помогающих запустить новую систему). В соответствии с п р и н ц и п о м ми¬ н и м и з а ц и и привилегий, и м нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по о к о н ч а н и и контракта. Пробле ма, однако, состоит в том, что на начальном этапе внедрения «внешние» сотрудники будут администрировать «местных», а не наоборот. Здесь на первый план выходит к в а л и ф и к а ц и я персонала организации, его способ ность быстро обучаться, а также оперативное проведение учебных курсов. Важны и п р и н ц и п ы выбора деловых партнеров. Иногда в н е ш н и е организации принимают на обслуживание и адми¬ нистрирование ответственные к о м п о н е н т ы компьютерной системы, на¬ пример, сетевое оборудование. Нередко администрирование выполняет 108
Лекция 8
Процедурный уровень информационной безопасности
ся в удаленном режиме. Вообще говоря, это создает в системе д о п о л н и тельные уязвимые места, которые необходимо компенсировать усилен н ы м контролем средств удаленного доступа или, опять-таки, обучением собственных сотрудников. М ы видим, что проблема обучения — одна из основных с точки зре н и я и н ф о р м а ц и о н н о й безопасности. Если сотрудник не знаком с полити кой безопасности своей организации, о н не может стремиться к достиже н и ю сформулированных в ней целей. Н е зная мер безопасности, он не сможет их соблюдать. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.
Физическая защита Безопасность и н ф о р м а ц и о н н о й системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зда¬ н и й и прилегающей территории, поддерживающей инфраструктуры, вы¬ числительной техники, носителей данных. Основной п р и н ц и п физической защиты, соблюдение которого сле¬ дует постоянно контролировать, формулируется как «непрерывность за щ и т ы в пространстве и времени». Ранее м ы рассматривали понятие окна опасности. Для физической защиты таких окон быть не должно. М ы кратко рассмотрим следующие направления физической защиты: • физическое управление доступом; • противопожарные меры; • защита поддерживающей инфраструктуры; • защита от перехвата данных; • защита мобильных систем. М е р ы физического управления доступом позволяют контролиро¬ вать и при необходимости ограничивать вход и выход сотрудников и по¬ сетителей. Контролироваться может все здание организации, а также от дельные п о м е щ е н и я , например, те, где расположены серверы, к о м м у н и к а ц и о н н а я аппаратура и т.п. П р и проектировании и реализации мер физического управления д о ступом целесообразно применять объектный подход. Во-первых, опреде ляется периметр безопасности, ограничивающий контролируемую терри¬ торию. Н а этом уровне детализации важно продумать в н е ш н и й интер¬ фейс организации — порядок входа/выхода штатных сотрудников и посе¬ тителей, вноса/выноса техники. Все, что не входит во в н е ш н и й интер¬ ф е й с , должно быть инкапсулировано, то есть з а щ и щ е н о от нелегальных проникновений. Во-вторых, п р о и з в о д и т с я д е к о м п о з и ц и я к о н т р о л и р у е м о й т е р р и т о р и и , выделяются (под)объекты и связи (проходы) между н и м и . П р и 109
Курс
Основы информационной безопасности
т а к о й , б о л е е г л у б о к о й д е т а л и з а ц и и следует в ы д е л и т ь среди подъобектов н а и б о л е е к р и т и ч н ы е с точки з р е н и я безопасности и о б е с печить и м п о в ы ш е н н о е в н и м а н и е . Д е к о м п о з и ц и я д о л ж н а быть семан¬ тически оправданной, обеспечивающей разграничение разнородных с у щ н о с т е й , таких к а к оборудование р а з н ы х владельцев и л и п е р с о н а л , р а б о т а ю щ и й с д а н н ы м и р а з н о й степени к р и т и ч н о с т и . Важно сделать так, чтобы посетители, по в о з м о ж н о с т и , н е и м е л и непосредственного доступа к к о м п ь ю т е р а м и л и , в к р а й н е м случае, позаботиться о т о м , что¬ бы от о к о н и дверей н е п р о с м а т р и в а л и с ь э к р а н ы м о н и т о р о в и принте¬ р ы . Н е о б х о д и м о , ч т о б ы посетителей п о в н е ш н е м у виду м о ж н о было от¬ л и ч и т ь от сотрудников. Если о т л и ч и е состоит в т о м , что посетителям выдаются и д е н т и ф и к а ц и о н н ы е к а р т о ч к и , а сотрудники ходят «без о п о знавательных знаков», з л о у м ы ш л е н н и к у достаточно снять карточку, ч т о б ы его считали «своим». О ч е в и д н о , соответствующие к а р т о ч к и нуж¬ н о выдавать всем. Средства физического управления доступом известны давно. Это ох рана, двери с замками, перегородки, телекамеры, датчики движения и многое другое. Для выбора оптимального (по критерию стоимость/эф¬ фективность) средства целесообразно провести анализ рисков (к этому м ы еще вернемся). К р о м е того, есть смысл периодически отслеживать п о явление технических н о в и н о к в данной области, стараясь максимально автоматизировать физическую защиту. Более подробно данная тема рассмотрена в статье В. Барсукова « Ф и зическая защита и н ф о р м а ц и о н н ы х систем» (Jet Info, 1997, 1). Профессия пожарного — одна из древнейших, но пожары п о - п р е ж нему случаются и наносят большой ущерб. М ы не собираемся цитировать параграфы противопожарных инструкций или изобретать новые методы борьбы с огнем — на это есть профессионалы. Отметим л и ш ь необходи¬ мость установки п р о т и в о п о ж а р н о й с и г н а л и з а ц и и и автоматических средств пожаротушения. Обратим также в н и м а н и е на то, что защитные меры могут создавать новые слабые места. Если на работу взят н о в ы й ох р а н н и к , это, вероятно, улучшает физическое управление доступом. Если ж е он по ночам курит и пьет, то ввиду п о в ы ш е н н о й пожароопасности по¬ добная мера защиты может только навредить. К поддерживающей инфраструктуре м о ж н о отнести системы элект¬ р о - , водо- и теплоснабжения, к о н д и ц и о н е р ы и средства коммуникаций. В п р и н ц и п е , к н и м п р и м е н и м ы те ж е требования целостности и доступ ности, что и к и н ф о р м а ц и о н н ы м системам. Для обеспечения целостнос ти нужно защищать оборудование от краж и повреждений. Для поддержа н и я доступности следует выбирать оборудование с максимальным време¬ нем наработки на отказ, дублировать ответственные узлы и всегда иметь под рукой запчасти. 110
Лекция 8
Процедурный уровень информационной безопасности
Отдельную проблему составляют аварии водопровода. О н и происхо дят нечасто, н о могут нанести огромный ущерб. П р и размещении к о м пьютеров необходимо принять во в н и м а н и е расположение водопровод ных и канализационных труб и постараться держаться от них подальше. Сотрудники должны знать, куда следует обращаться п р и обнаружении протечек. Перехват данных (о чем м ы уже писали) может осуществляться са м ы м и р а з н ы м и способами. З л о у м ы ш л е н н и к может подсматривать за эк¬ раном монитора, читать пакеты, передаваемые по сети, производить ана¬ л и з побочных электромагнитных излучений и наводок ( П Э М И Н ) и т.д. Остается уповать на повсеместное использование криптографии (что, впрочем, сопряжено у нас в стране со множеством технических и законо дательных проблем), стараться максимально расширить контролируемую территорию, разместившись в тихом особнячке, поодаль от других домов, пытаться держать под контролем л и н и и связи (например, заключать их в надувную оболочку с обнаружением прокалывания), н о самое разумное, вероятно, — постараться осознать, что для коммерческих систем обеспе ч е н и е конфиденциальности является все-таки н е главной задачей. Ж е л а ю щ и м подробнее ознакомиться с вопросом м ы рекомендуем прочитать статью В. Барсукова «Блокирование технологических каналов утечки информации» (Jet Info, 1998, 5-6). М о б и л ь н ы е и портативные компьютеры — заманчивый объект кра¬ ж и . И х часто оставляют без присмотра, в автомобиле и л и на работе, и по¬ хитить такой компьютер совсем несложно. То и дело средства массовой и н ф о р м а ц и и сообщают о том, что какой-нибудь офицер английской раз¬ ведки или американский военный лишился таким образом движимого имущества. М ы настоятельно рекомендуем шифровать д а н н ы е на жест¬ ких дисках таких компьютеров. Вообще говоря, при выборе средств физической защиты следует производить анализ рисков. Так, п р и н и м а я р е ш е н и е о закупке источника бесперебойного питания, необходимо учесть качество электропитания в здании, занимаемом организацией (впрочем, почти наверняка о н о ока жется плохим), характер и длительность сбоев электропитания, стои¬ мость доступных источников и возможные потери от аварий (поломка техники, приостановка работы организации и т.п.) (см. также статью В.Барсукова «Защита компьютерных систем от силовых деструктивных воздействий» в Jet Info, 2000, 2). В то ж е время, во многих случаях р е ш е н и я очевидны. М е р ы противопожарной безопасности обязательны для всех организаций. Стоимость реализации многих мер (например, уста¬ новка обычного замка на дверь серверной комнаты) либо мала, либо хоть и заметна, н о все ж е я в н о меньше, чем возможный ущерб. В частности, имеет смысл регулярно копировать большие базы данных. 111
Курс
Основы информационной безопасности
Поддержание работоспособности Далее рассмотрим ряд рутинных мероприятий, направленных на п о д д е р ж а н и е р а б о т о с п о с о б н о с т и и н ф о р м а ц и о н н ы х систем. И м е н н о здесь таится наибольшая опасность. Н е ч а я н н ы е о ш и б к и системных ад министраторов и пользователей грозят повреждением аппаратуры, разру¬ ш е н и е м программ и данных; в лучшем случае они создают бреши в защи¬ те, которые делают возможной реализацию угроз. Недооценка факторов безопасности в повседневной работе — ахил¬ лесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим про¬ граммным обеспечением, а пароль системного администратора не м е н я л ся с момента установки. Можно выделить следующие направления повседневной деятельности: • поддержка пользователей; • поддержка программного обеспечения; • конфигурационное управление; • резервное копирование; • управление носителями; • документирование; • регламентные работы. Поддержка пользователей подразумевает прежде всего консультиро¬ вание и оказание п о м о щ и при р е ш е н и и разного рода проблем. Иногда в организациях создают для этой цели специальный «справочный стол», но ч а щ е от пользователей отбивается системный администратор. Очень важ но в потоке вопросов уметь выявлять проблемы, связанные с информаци¬ о н н о й безопасностью. Так, многие трудности пользователей, работаю¬ щих на персональных компьютерах, могут быть следствием заражения вирусами. Целесообразно фиксировать вопросы пользователей, чтобы выявлять их т и п и ч н ы е о ш и б к и и выпускать памятки с рекомендациями для распространенных ситуаций. Поддержка программного обеспечения — одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами, а также появлению утилит, дейст вующих в обход защитных средств. Вполне вероятно также, что «самодея¬ тельность» пользователей постепенно приведет к хаосу на их компьютерах, а исправлять ситуацию придется системному администратору. Второй аспект поддержки программного обеспечения — контроль за отсутствием неавторизованного изменения программ и прав доступа к н и м . Сюда ж е м о ж н о отнести поддержку эталонных к о п и й программных 112
Лекция 8
Процедурный уровень информационной безопасности
систем. Обычно контроль достигается комбинированием средств ф и з и ч е ского и логического управления доступом, а также использованием ути лит проверки и обеспечения целостности. К о н ф и г у р а ц и о н н о е управление позволяет контролировать и ф и к с и ровать и з м е н е н и я , вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных м о д и ф и к а ц и й , уметь к а к м и н и м у м возвращаться к п р о ш л о й , работающей, версии. Ф и к с а ц и я изменений позволит легко восстановить текущую вер¬ с и ю после аварии. Лучший способ уменьшить количество о ш и б о к в рутинной работе — максимально автоматизировать ее. П р а в ы те «ленивые» программисты и системные администраторы, которые, окинув взглядом море однообраз ных задач, говорят: «Я н и за что н е буду делать этого; я н а п и ш у програм му, которая сделает все за меня». Автоматизация и безопасность зависят друг от друга; тот, кто заботится в первую очередь об облегчении своей за¬ дачи, на самом деле оптимальным образом формирует режим информа¬ ц и о н н о й безопасности. Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, к а к м и н и м у м , сформировав компьютерное расписание создания полных и инкрементальных к о п и й , а к а к максимум — воспользовавшись соответ¬ ствующими программными продуктами (см., например, Jet Info, 2000, 12). Нужно также наладить размещение к о п и й в безопасном месте, защи¬ щ е н н о м от несанкционированного доступа, пожаров, протечек, то есть от всего, что может привести к краже или повреждению носителей. Целесо¬ образно иметь несколько экземпляров резервных к о п и й и часть из них хранить вне территории организации, з а щ и щ а я с ь таким образом от круп¬ ных аварий и аналогичных инцидентов. Время от времени в тестовых целях следует проверять возможность восстановления и н ф о р м а ц и и с копий. Управлять носителями необходимо для обеспечения физической за щ и т ы и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность ин¬ формации, хранящейся вне компьютерных систем. Под физической защи той здесь понимается н е только отражение попыток несанкционированно го доступа, н о и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охва тывать весь ж и з н е н н ы й цикл — от закупки до выведения из эксплуатации. Документирование — неотъемлемая часть информационной безопасно сти. В виде документов оформляется почти все — от политики безопасности до журнала учета носителей. Важно, чтобы документация была актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде. 113
Курс
Основы информационной безопасности
К хранению одних документов (содержащих, например, анализ уяз вимых мест системы и угроз) п р и м е н и м ы требования обеспечения к о н фиденциальности, к другим, таким как план восстановления после ава р и й — требования целостности и доступности (в критической ситуации план необходимо найти и прочитать). Регламентные работы — очень серьезная угроза безопасности. С о трудник, осуществляющий регламентные работы, получает исключитель¬ н ы й доступ к системе, и на практике очень трудно проконтролировать, какие и м е н н о действия он совершает. Здесь на первый план выходит сте пень доверия к тем, кто выполняет работу.
Р е а г и р о в а н и е на н а р у ш е н и я р е ж и м а б е з о п а с н о с т и Программа безопасности, принятая организацией, должна предус матривать набор оперативных мероприятий, направленных на обнаруже¬ н и е и нейтрализацию нарушений режима и н ф о р м а ц и о н н о й безопаснос¬ ти. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и ско¬ ординированные. Реакция на нарушения режима безопасности преследует три главные цели: • локализация инцидента и уменьшение наносимого вреда; • выявление нарушителя; • предупреждение повторных нарушений. В организации должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), который отвеча¬ ет за р е а к ц и ю на нарушения. Все д о л ж н ы знать координаты этого челове ка и обращаться к нему при первых признаках опасности. В общем, как при пожаре, нужно знать, куда звонить, и что делать до приезда пожарной команды. Важность быстрой и скоординированной реакции м о ж н о продемон¬ стрировать на следующем примере. Пусть локальная сеть предприятия состоит из двух сегментов, администрируемых р а з н ы м и людьми. Далее, пусть в один из сегментов был внесен вирус. Почти наверняка через н е сколько минут (или, в крайнем случае, несколько десятков минут) вирус распространится и на другой сегмент. Значит, меры нужно принять не¬ медленно. «Вычищать» вирус необходимо одновременно в обоих сегмен¬ тах; в противном случае сегмент, восстановленный первым, заразится от другого, а затем вирус вернется и во второй сегмент. Нередко требование локализации инцидента и уменьшения н а н о с и мого вреда вступает в к о н ф л и к т с желанием выявить нарушителя. В поли¬ тике безопасности организации приоритеты д о л ж н ы быть расставлены 114
Лекция 8
Процедурный уровень информационной безопасности
заранее. Поскольку, к а к показывает практика, выявить злоумышленника очень сложно, на н а ш взгляд, в первую очередь следует заботиться об уменьшении ущерба. Чтобы найти нарушителя, нужно заранее выяснить контактные к о ординаты поставщика сетевых услуг и договориться с н и м о самой воз можности и порядке в ы п о л н е н и я соответствующих действий. Более п о дробно данная тема рассматривается в статье Н. Браунли и Э. Гатмэна «Как реагировать на нарушения и н ф о р м а ц и о н н о й безопасности ( R F C 2350, B C P 21)» (Jet Info, 2000, 5). Чтобы предотвратить повторные нарушения, необходимо анализи ровать каждый инцидент, выявлять п р и ч и н ы , накапливать статистику. К а к о в ы источники вредоносного П О ? К а к и е пользователи имеют о б ы к новение выбирать слабые пароли? Н а подобные вопросы и д о л ж н ы дать ответ результаты анализа. Необходимо отслеживать появление новых уязвимых мест и к а к м о ж н о быстрее ликвидировать ассоциированные с н и м и окна опасности. Кто-то в организации должен курировать этот процесс, принимать крат¬ косрочные меры и корректировать программу безопасности для п р и н я тия долгосрочных мер.
Планирование восстановительных работ Н и одна о р г а н и з а ц и я н е застрахована от серьезных аварий, в ы з в а н н ы х естественными п р и ч и н а м и , д е й с т в и я м и з л о у м ы ш л е н н и к а , ха латностью и л и некомпетентностью. В то ж е время, у каждой организа¬ ц и и есть ф у н к ц и и , которые руководство считает критически в а ж н ы м и , о н и д о л ж н ы в ы п о л н я т ь с я несмотря н и н а что. П л а н и р о в а н и е восстано вительных работ позволяет подготовиться к а в а р и я м , у м е н ь ш и т ь ущерб от них и сохранить способность к ф у н к ц и о н и р о в а н и ю хотя бы в мини¬ м а л ь н о м объеме. Отметим, что меры и н ф о р м а ц и о н н о й безопасности м о ж н о разде¬ лить на три группы, в зависимости от того, направлены ли о н и на преду¬ преждение, обнаружение и л и ликвидацию последствий атак. Большинст¬ во мер носит предупредительный характер. Оперативный анализ регист¬ р а ц и о н н о й и н ф о р м а ц и и и некоторые аспекты реагирования на наруше н и я (так называемый активный аудит) служат для обнаружения и отраже н и я атак. П л а н и р о в а н и е восстановительных работ, очевидно, м о ж н о от¬ нести к последней и з трех перечисленных групп. Процесс планирования восстановительных работ м о ж н о разделить на следующие этапы: • выявление критически важных ф у н к ц и й организации, установ¬ л е н и е приоритетов; 115
Курс
Основы информационной безопасности
•
и д е н т и ф и к а ц и я ресурсов, необходимых для выполнения кри¬ тически важных ф у н к ц и й ; • определение перечня возможных аварий; • разработка стратегии восстановительных работ; • подготовка к реализации выбранной стратегии; • проверка стратегии. Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить ф у н к ц и о н и р о в а н и е организации не всегда возможно. Необходимо выявить критически важные ф у н к ц и и , без кото рых организация теряет свое л и ц о , и даже среди критичных ф у н к ц и й рас¬ ставить приоритеты, чтобы к а к м о ж н о быстрее и с м и н и м а л ь н ы м и затра¬ тами возобновить работу после аварии. Идентифицируя ресурсы, необходимые для в ы п о л н е н и я критически важных ф у н к ц и й , следует помнить, что многие из них имеют некомпью¬ терный характер. На д а н н о м этапе желательно подключать к работе спе¬ циалистов разного п р о ф и л я , способных в совокупности охватить все ас пекты проблемы. К р и т и ч н ы е ресурсы обычно относятся к одной из сле¬ дующих категорий: • персонал; • и н ф о р м а ц и о н н а я инфраструктура; • физическая инфраструктура. Составляя списки ответственных специалистов, следует учитывать, что некоторые из них могут непосредственно пострадать от аварии (на¬ пример, от пожара), кто-то может находиться в состоянии стресса, часть сотрудников, возможно, будет л и ш е н а возможности попасть на работу (например, в случае массовых беспорядков). Желательно иметь некото¬ р ы й резерв специалистов или заранее определить каналы, по которым м о ж н о на время привлечь дополнительный персонал. И н ф о р м а ц и о н н а я инфраструктура включает в себя следующие эле¬ менты: • компьютеры; • программы и данные; • и н ф о р м а ц и о н н ы е сервисы внешних организаций; • документацию. Нужно подготовиться к тому, что на «запасном аэродроме», куда о р ганизация будет эвакуирована после аварии, аппаратная платформа м о жет отличаться от исходной. Соответственно, следует продумать меры поддержания совместимости по программам и д а н н ы м . Среди в н е ш н и х и н ф о р м а ц и о н н ы х сервисов для коммерческих о р ганизаций, вероятно, важнее всего получить оперативную и н ф о р м а ц и ю и связь с государственными службами, к у р и р у ю щ и м и д а н н ы й сектор экономики. 116
Лекция 8
Процедурный уровень информационной безопасности
Документация важна хотя бы потому, что не вся и н ф о р м а ц и я , с к о торой работает организация, представлена в электронном виде. Скорее всего, план восстановительных работ напечатан на бумаге. К физической инфраструктуре относятся здания, и н ж е н е р н ы е к о м муникации, средства связи, оргтехника и многое другое. Компьютерная техника не может работать в плохих условиях, без стабильного электропи тания и т.п. Анализируя критичные ресурсы, целесообразно учесть временной профиль их использования. Большинство ресурсов требуются постоянно, но в некоторых нужда может возникать только в определенные периоды (например, в к о н ц е месяца или года при составлении отчета). П р и определении перечня возможных аварий нужно попытаться разработать их сценарии. К а к будут развиваться события? К а к о в ы могут оказаться масштабы бедствия? Что произойдет с к р и т и ч н ы м и ресурсами? Н а п р и м е р , смогут ли сотрудники попасть на работу? Будут ли выведены из строя компьютеры? Возможны ли случаи саботажа? Будет ли работать связь? Пострадает ли здание организации? М о ж н о ли будет найти и про¬ читать необходимые бумаги? Стратегия восстановительных работ должна базироваться на налич ных ресурсах и быть не с л и ш к о м накладной для организации. П р и разра¬ ботке стратегии целесообразно провести анализ рисков, которым подвер¬ гаются критичные ф у н к ц и и , и попытаться выбрать наиболее экономич¬ н о е решение. Стратегия должна предусматривать не только работу по временной схеме, но и возвращение к нормальному ф у н к ц и о н и р о в а н и ю . Подготовка к реализации выбранной стратегии состоит в выработке плана действий в экстренных ситуациях и по их о к о н ч а н и и , а также в обеспечении некоторой избыточности критичных ресурсов. Последнее возможно и без большого расхода средств, если заключить с одной или несколькими организациями соглашения о взаимной поддержке в случае аварий — те, кто не пострадал, предоставляют часть своих ресурсов во вре¬ м е н н о е пользование менее удачливым партнерам. Избыточность обеспечивается также мерами резервного копирова н и я , хранением к о п и й в нескольких местах, представлением и н ф о р м а ц и и в разных видах (на бумаге и в файлах) и т.д. Имеет смысл заключить соглашение с поставщиками информаци¬ о н н ы х услуг о первоочередном обслуживании в критических ситуациях или заключать соглашения с несколькими поставщиками. Правда, эти меры могут потребовать определенных расходов. Проверка стратегии производится путем анализа подготовленного плана, принятых и намеченных мер. 117
Курс
Основы информационной безопасности
Л е к ц и я 9. О с н о в н ы е п р о г р а м м н о - т е х н и ч е с к и е м е р ы
Вводится понятие сервиса безопасности. Рассматриваются вопросы архи тектурной безопасности, предлагается классификация сервисов. Ключевые слова: и н ф о р м а ц и о н н ы й сервис, основной сервис, вспо могательный сервис, сервис безопасности, и д е н т и ф и к а ц и я , аутен т и ф и к а ц и я , управление доступом, протоколирование, аудит, шиф¬ рование, контроль целостности, экранирование, анализ защищен¬ ности, отказоустойчивость, безопасное восстановление, туннелирование, управление, приватность, п о л н ы й набор защитных средств, превентивные меры, обнаружение нарушений, локализующие меры, прослеживание нарушителя, корпоративная сеть, Internet, сервер, активный агент, апплет, сервлет, доступность, непрерывность защи¬ ты, слабое звено, небезопасное состояние, эшелонированность о б о р о н ы , избыточность, реконфигурирование, единая точка отказа, изоляция, потребительское устройство.
Основные понятия программно-технического уровня информационной безопасности Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и / и л и данных, образуют последний и самый важный рубеж и н ф о р м а ц и о н н о й безопасности. Н а п о м н и м , что ущерб наносят в основном действия л е гальных пользователей, по о т н о ш е н и ю к которым процедурные регулято¬ р ы малоэффективны. Главные враги — некомпетентность и неаккурат¬ ность при выполнении служебных обязанностей, и только программнотехнические меры способны и м противостоять. Компьютеры помогли автоматизировать многие области человечес¬ кой деятельности. Вполне естественным представляется желание возло¬ жить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компью¬ терным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству. Это вторая причина, объясняющая важность программно-техничес¬ ких мер. Следует, однако, учитывать, что быстрое развитие и н ф о р м а ц и о н н ы х технологий не только предоставляет о б о р о н я ю щ и м с я новые возможнос118
Лекция 9
Основные программно-технические меры
ти, но и объективно затрудняет обеспечение надежной защиты, если о п и раться исключительно на меры программно-технического уровня. При¬ ч и н тому несколько: • п о в ы ш е н и е быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой си¬ л ы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными; • развитие сетей и сетевых технологий, увеличение числа связей между и н ф о р м а ц и о н н ы м и системами, рост пропускной спо¬ собности каналов расширяют круг злоумышленников, имею¬ щ и х техническую возможность организовывать атаки; • появление новых и н ф о р м а ц и о н н ы х сервисов ведет и к образо ванию новых уязвимых мест к а к «внутри» сервисов, так и на их стыках; • конкуренция среди производителей программного обеспече н и я заставляет сокращать сроки разработки, что приводит к с н и ж е н и ю качества тестирования и выпуску продуктов с де¬ фектами защиты; • навязываемая потребителям парадигма постоянного наращива н и я мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробирован¬ ных конфигураций и, кроме того, вступает в к о н ф л и к т с бюд¬ ж е т н ы м и ограничениями, из-за чего снижается доля ассигно¬ ваний на безопасность. Перечисленные соображения л и ш н и й раз подчеркивают важность комплексного подхода к и н ф о р м а ц и о н н о й безопасности, а также необхо¬ димость гибкой п о з и ц и и при выборе и сопровождении программно-тех¬ нических регуляторов. Центральным для программно-технического уровня является поня¬ тие сервиса безопасности. Следуя объектно-ориентированному подходу, при рассмотрении ин¬ ф о р м а ц и о н н о й системы с единичным уровнем детализации м ы увидим совокупность предоставляемых ею и н ф о р м а ц и о н н ы х сервисов. Назовем их основными. Ч т о б ы они могли функционировать и обладали требуемы¬ м и свойствами, необходимо несколько уровней дополнительных (вспо¬ могательных) сервисов — от СУБД и мониторов транзакций до ядра опе р а ц и о н н о й системы и оборудования. К вспомогательным относятся сервисы безопасности (мы уже сталки¬ вались с н и м и при рассмотрении стандартов и спецификаций в области И Б ) ; среди них нас в первую очередь будут интересовать универсальные, высокоуровневые, допускающие использование различными основными и вспомогательными сервисами. Далее мы рассмотрим следующие сервисы: 119
Курс
Основы информационной безопасности
• и д е н т и ф и к а ц и я и аутентификация; • управление доступом; • протоколирование и аудит; • шифрование; • контроль целостности; • экранирование; • анализ защищенности; • обеспечение отказоустойчивости; • обеспечение безопасного восстановления; • туннелирование; • управление. Будут описаны требования к сервисам безопасности, их функцио¬ нальность, возможные методы реализации и место в общей архитектуре. Если сопоставить приведенный перечень сервисов с классами функци ональных требований «Общих критериев», то бросается в глаза их существен ное несовпадение. М ы не будем рассматривать вопросы, связанные с приват ностью, по следующей причине. На наш взгляд, сервис безопасности, хотя бы частично, должен находиться в распоряжении того, кого он защищает. В слу чае же с приватностью это не так: критически важные компоненты сосредо¬ точены не на клиентской, а на серверной стороне, так что приватность по су¬ ществу оказывается свойством предлагаемой информационной услуги (в про стейшем случае приватность достигается путем сохранения конфиденциаль¬ ности серверной регистрационной информации и защитой от перехвата дан¬ ных, для чего достаточно перечисленных сервисов безопасности). С другой стороны, наш перечень шире, чем в «Общих критериях», поскольку в него входят экранирование, анализ защищенности и туннелирование. Эти сервисы имеют важное значение сами по себе и, кроме того, могут комбинироваться с другими сервисами для получения таких необхо¬ димых защитных средств, как, например, виртуальные частные сети. Совокупность перечисленных в ы ш е сервисов безопасности м ы бу¬ дем называть п о л н ы м набором. Считается, что его, в п р и н ц и п е , достаточ но для построения надежной защиты на программно-техническом уров не, правда, при соблюдении целого ряда дополнительных условий (отсут ствие уязвимых мест, безопасное администрирование и т.д.). Для проведения к л а с с и ф и к а ц и и сервисов безопасности и определе н и я их места в общей архитектуре меры безопасности м о ж н о разделить на следующие виды: • превентивные, препятствующие нарушениям И Б ; • меры обнаружения нарушений; • локализующие, сужающие зону воздействия нарушений; • меры по выявлению нарушителя; • меры восстановления режима безопасности. 120
Лекция 9
Основные программно-технические меры
Большинство сервисов безопасности попадает в число превентив¬ ных, и это, безусловно, правильно. Аудит и контроль целостности способ¬ н ы помочь в обнаружении нарушений; активный аудит, кроме того, поз¬ воляет запрограммировать р е а к ц и ю на нарушение с целью локализации и / и л и прослеживания. Направленность сервисов отказоустойчивости и безопасного восстановления очевидна. Н а к о н е ц , управление играет и н фраструктурную роль, обслуживая все аспекты И С .
Особенности современных информационных систем, существенные с точки зрения безопасности И н ф о р м а ц и о н н а я система т и п и ч н о й современной организации я в ляется весьма с л о ж н ы м образованием, построенным в многоуровневой архитектуре клиент/сервер, которое пользуется многочисленными в н е ш н и м и сервисами и, в свою очередь, предоставляет собственные сервисы вовне. Д а ж е сравнительно небольшие магазины, обеспечивающие расчет с покупателями по пластиковым картам (и, конечно, и м е ю щ и е в н е ш н и й Web-сервер), зависят от своих и н ф о р м а ц и о н н ы х систем и, в частности, от з а щ и щ е н н о с т и всех компонентов систем и к о м м у н и к а ц и й между н и м и . С точки зрения безопасности наиболее существенными представля ются следующие аспекты современных И С : • корпоративная сеть имеет несколько территориально разнесен ных частей (поскольку организация располагается на несколь ких производственных площадках), связи между которыми на ходятся в ведении внешнего поставщика сетевых услуг, выходя за пределы зоны, контролируемой организацией; • корпоративная сеть имеет одно или несколько подключений к Internet; • на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, м о б и л ь н ы е пользователи и, возможно, сотрудники других организаций; • для доступа пользователей могут применяться не только ком¬ пьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь; • в течение одного сеанса работы пользователю приходится обра щаться к нескольким и н ф о р м а ц и о н н ы м сервисам, о п и р а ю щ и м с я на р а з н ы е аппаратно-программные платформы; • к доступности и н ф о р м а ц и о н н ы х сервисов предъявляются ж е сткие требования, которые обычно выражаются в необходимо сти круглосуточного ф у н к ц и о н и р о в а н и я с максимальным вре менем простоя порядка нескольких минут; 121
Курс
Основы информационной безопасности
•
и н ф о р м а ц и о н н а я система представляет собой сеть с активны¬ ми агентами, то есть в процессе работы программные компо¬ ненты, такие как апплеты или сервлеты, передаются с одной м а ш и н ы на другую и выполняются в целевой среде, поддержи вая связь с удаленными компонентами; • не все пользовательские системы контролируются сетевыми и / и л и системными администраторами организации; • программное обеспечение, особенно полученное по сети, не может считаться надежным, в н е м могут быть о ш и б к и , создаю¬ щ и е проблемы в защите; • конфигурация и н ф о р м а ц и о н н о й системы постоянно изменяет ся на уровнях административных данных, программ и аппарату р ы (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.). Следует учитывать еще по крайней мере два момента. Во-первых, для каждого сервиса основные грани И Б (доступность, целостность, конфиден¬ циальность) трактуются по-своему. Целостность с точки зрения системы уп равления базами данных и с точки зрения почтового сервера — вещи прин¬ ципиально разные. Бессмысленно говорить о безопасности локальной или иной сети вообще, если сеть включает в себя разнородные компоненты. Следует анализировать защищенность сервисов, функционирующих в сети. Для разных сервисов и защиту строят по-разному. Во-вторых, основная уг¬ роза информационной безопасности организаций по-прежнему исходит не от внешних злоумышленников, а от собственных сотрудников. В силу изложенных п р и ч и н далее будут рассматриваться распреде¬ л е н н ы е , разнородные, многосервисные, э в о л ю ц и о н и р у ю щ и е системы. Соответственно, нас будут интересовать р е ш е н и я , ориентированные на подобные конфигурации.
Архитектурная безопасность Сервисы безопасности, к а к и м и бы м о щ н ы м и о н и н и были, сами по себе не могут гарантировать надежность программно-технического уров¬ ня защиты. Только проверенная архитектура способна сделать э ф ф е к т и в н ы м объединение сервисов, обеспечить управляемость и н ф о р м а ц и о н н о й системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования. Теоретической основой р е ш е н и я проблемы архитектурной безопас ности является следующее фундаментальное утверждение, которое м ы уже приводили, рассматривая интерпретацию «Оранжевой книги» для се¬ тевых конфигураций. 122
Лекция 9
Основные программно-технические меры
»Пусть каждый субъект (то есть процесс, действующий от имени ка¬ кого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее пусть каждый компонент содержит свой мони¬ тор обращений, отслеживающий все локальные попытки доступа, и все м о н и т о р ы проводят в ж и з н ь согласованную политику безопасности. Пусть, наконец, к о м м у н и к а ц и о н н ы е каналы, связывающие к о м п о н е н т ы , сохраняют конфиденциальность и целостность передаваемой информа¬ ц и и . Тогда совокупность всех мониторов образует единый монитор обра¬ щ е н и й для всей сетевой конфигурации.» Обратим в н и м а н и е на три п р и н ц и п а , содержащиеся в приведенном утверждении: • необходимость выработки и проведения в ж и з н ь единой поли¬ тики безопасности; • необходимость обеспечения конфиденциальности и целостно сти при сетевых взаимодействиях; • необходимость ф о р м и р о в а н и я составных сервисов по содержа¬ тельному принципу, чтобы каждый полученный таким образом компонент обладал п о л н ы м набором защитных средств и с в н е ш н е й точки зрения представлял собой единое целое (не должно быть и н ф о р м а ц и о н н ы х потоков, идущих к незащищен¬ н ы м сервисам). Если какой-либо (составной) сервис не обладает полным набором за¬ щитных средств (состав полного набора описан выше), необходимо прив¬ лечение дополнительных сервисов, которые м ы будем называть экраниру¬ ю щ и м и . Экранирующие сервисы устанавливаются на путях доступа к не¬ достаточно з а щ и щ е н н ы м элементам; в принципе, один такой сервис мо¬ жет экранировать (защищать) сколь угодно большое число элементов. С практической точки зрения наиболее важными являются следую¬ щ и е п р и н ц и п ы архитектурной безопасности: • непрерывность защиты в пространстве и времени, невозмож¬ ность миновать защитные средства; • следование п р и з н а н н ы м стандартам, использование апробиро¬ ванных р е ш е н и й ; • иерархическая организация И С с небольшим числом сущнос¬ тей на каждом уровне; • усиление самого слабого звена; • невозможность перехода в небезопасное состояние; • м и н и м и з а ц и я привилегий; • разделение обязанностей; • эшелонированность обороны; • разнообразие защитных средств; 123
Курс
Основы информационной безопасности
• простота и управляемость и н ф о р м а ц и о н н о й системы. П о я с н и м смысл перечисленных п р и н ц и п о в . Если у злоумышленника или недовольного пользователя появится возможность миновать з а щ и т н ы е средства, он, разумеется, так и сделает. Определенные в ы ш е экранирующие сервисы д о л ж н ы исключить подоб¬ ную возможность. Следование п р и з н а н н ы м стандартам и использование апробирован¬ ных р е ш е н и й повышает надежность И С и уменьшает вероятность попа дания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и п р и н ц и п и а л ь н ы х м о д и ф и к а ц и й . Иерархическая организация И С с небольшим числом сущностей на каждом уровне необходима по технологическим соображениям. П р и н а рушении данного п р и н ц и п а система станет неуправляемой и, следова¬ тельно, обеспечить ее безопасность будет невозможно. Надежность любой обороны определяется самым слабым звеном. З л о у м ы ш л е н н и к не будет бороться против силы, о н предпочтет легкую победу над слабостью. (Часто самым слабым звеном оказывается не к о м пьютер или программа, а человек, и тогда проблема обеспечения инфор¬ м а ц и о н н о й безопасности приобретает нетехнический характер.) П р и н ц и п невозможности перехода в небезопасное состояние означа ет, что при любых обстоятельствах, в том числе нештатных, защитное сред ство либо полностью выполняет свои функции, либо полностью блокиру ет доступ. Образно говоря, если в крепости механизм подъемного моста л о мается, мост оставляют поднятым, препятствуя проходу неприятеля. Применительно к программно-техническому уровню п р и н ц и п ми¬ н и м и з а ц и и привилегий предписывает выделять пользователям и а д м и н и страторам только те права доступа, которые необходимы и м для выполне н и я служебных обязанностей. Этот п р и н ц и п позволяет уменьшить ущерб от случайных или у м ы ш л е н н ы х некорректных действий пользователей и администраторов. П р и н ц и п разделения обязанностей предполагает такое распределе¬ н и е ролей и ответственности, чтобы один человек не мог нарушить кри¬ тически важный для организации процесс или создать брешь в защите по заказу злоумышленников. В частности, соблюдение данного п р и н ц и п а особенно важно, чтобы предотвратить злонамеренные или неквалифици¬ рованные действия системного администратора. П р и н ц и п эшелонированности обороны предписывает не полагаться на один з а щ и т н ы й рубеж, каким бы надежным он н и казался. За средст вами физической защиты д о л ж н ы следовать программно-технические средства, за идентификацией и аутентификацией — управление доступом и, как последний рубеж, — протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а благо124
Лекция 9
Основные программно-технические меры
даря наличию такого рубежа, как протоколирование и аудит, его действия не останутся незамеченными. П р и н ц и п разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от по¬ тенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками. Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его кор¬ ректность. Только в простой и управляемой системе можно проверить со гласованность конфигурации различных компонентов и осуществлять централизованное администрирование. В этой связи важно отметить инте грирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответст¬ венно, если объекты некоторого вида (например, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, п о скольку в противном случае система будет сложной и плохо управляемой. Для обеспечения высокой доступности (непрерывности ф у н к ц и о нирования) необходимо соблюдать следующие п р и н ц и п ы архитектурной безопасности: • внесение в конфигурацию той или и н о й ф о р м ы избыточности (резервное оборудование, запасные каналы связи и т.п.); • наличие средств обнаружения нештатных ситуаций; • н а л и ч и е средств р е к о н ф и г у р и р о в а н и я для восстановления, изоляции и / и л и замены компонентов, отказавших или под вергшихся атаке на доступность; • рассредоточенность сетевого управления, отсутствие единой точки отказа; • выделение подсетей и изоляция групп пользователей друг от дру га. Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности. Е щ е один важный архитектурный п р и н ц и п — м и н и м и з а ц и я объема защитных средств, выносимых на клиентские системы. П р и ч и н тому не¬ сколько: • для доступа в корпоративную сеть могут использоваться потре¬ бительские устройства с ограниченной функциональностью; • к о н ф и г у р а ц и ю клиентских систем трудно или н е в о з м о ж н о контролировать. К необходимому минимуму следует отнести реализацию сервисов безопасности на сетевом и транспортном уровнях и поддержку механиз¬ мов аутентификации, устойчивых к сетевым угрозам. 125
Курс
Основы информационной безопасности
Лекция 10. Идентификация и аутентификация, управление доступом
В данной лекции кратко описываются традиционные сервисы безопасности — идентификация и аутентификация, управление доступом. Сервисы безо пасности мы будем рассматривать применительно к распределенным, разно родным системам, содержащим большое число компонентов. Ключевые слова: и д е н т и ф и к а ц и я , а у т е н т и ф и к а ц и я , а у т е н т и ф и к а тор, односторонняя аутентификация, двусторонняя аутентифи к а ц и я , в з а и м н а я а у т е н т и ф и к а ц и я , перехват, и з м е н е н и е , в о с п р о и з в е д е н и е , е д и н ы й вход в сеть, п а р о л ь н а я а у т е н т и ф и к а ц и я , у п р а в л е н и е с р о к о м д е й с т в и я п а р о л е й , н а л о ж е н и е т е х н и ч е с к и х ог¬ р а н и ч е н и й , г е н е р а т о р п а р о л е й , м н о г о р а з о в ы й п а р о л ь , одноразо¬ в ы й п а р о л ь , о д н о с т о р о н н я я ф у н к ц и я , S / K E Y , сервер а у т е н т и ф и к а ц и и , Kerberos, д о в е р е н н а я третья с т о р о н а , билет, с е к р е т н ы й ключ, биометрия, биометрический шаблон, отпечатки пальцев, р о г о в и ц а , сетчатка, г е о м е т р и я р у к и , г е о м е т р и я л и ц а , г о л о с , р е ч ь , д и н а м и к а п о д п и с и , д и н а м и к а р а б о т ы с к л а в и а т у р о й , субъект, объект, п р а в а доступа, м а т р и ц а доступа, с п и с к и у п р а в л е н и я до¬ ступом, п р о и з в о л ь н о е у п р а в л е н и е д о с т у п о м , д и с к р е ц и о н н о е уп¬ р а в л е н и е д о с т у п о м , п р и н у д и т е л ь н о е у п р а в л е н и е д о с т у п о м , ман¬ д а т н о е у п р а в л е н и е д о с т у п о м , о г р а н и ч и в а ю щ и й и н т е р ф е й с , роле¬ вое у п р а в л е н и е д о с т у п о м , п о л ь з о в а т е л ь , сеанс р а б о т ы пользова¬ теля, р о л ь , о п е р а ц и я , п р и п и с ы в а н и е п о л ь з о в а т е л я р о л и , п р и п и с ы в а н и е права доступа р о л и , н а с л е д о в а н и е р о л е й , и е р а р х и я р о лей, разделение обязанностей, статическое разделение обязанно стей, динамическое разделение обязанностей, м и н и м и з а ц и я п р и в и л е г и й , в р е м е н н о е о г р а н и ч е н и е д о в е р и я , административ¬ ные функции, вспомогательные функции, информационные ф у н к ц и и , Java, апплет, п е с о ч н и ц а , и с т о ч н и к п р о г р а м м ы , м н о ж е ство п р а в , к о н т е к с т в ы п о л н е н и я , п р и в и л е г и р о в а н н ы й и н т е р в а л п р о г р а м м ы , о б ъ е к т н а я среда, м е т о д , к о н т е й н е р , п о л и т и к а б е з о пасности, интерфейс, дескриптор интерфейса, трансляция и н т е р ф е й с о в , п р а в и л а р а з г р а н и ч е н и я доступа ( П Р Д ) , м о н и т о р об¬ р а щ е н и й , предикат, ф а к т и ч е с к и й п а р а м е т р , ф о р м а л ь н ы й пара¬ м е т р , в х о д н о й п а р а м е т р , в ы х о д н о й п а р а м е т р , д о б р о в о л ь н о нала¬ гаемые ограничения.
126
Лекция 10
Идентификация и аутентификация, управление доступом
Идентификация и аутентификация Основные понятия И д е н т и ф и к а ц и ю и аутентификацию м о ж н о считать основой про¬ граммно-технических средств безопасности, поскольку остальные серви¬ сы рассчитаны на обслуживание именованных субъектов. Идентифика¬ ц и я и аутентификация — это первая л и н и я обороны, «проходная» инфор¬ м а ц и о н н о г о пространства организации. И д е н т и ф и к а ц и я п о з в о л я е т субъекту ( п о л ь з о в а т е л ю , процессу, д е й с т в у ю щ е м у от и м е н и о п р е д е л е н н о г о п о л ь з о в а т е л я , и л и и н о м у а п паратно-программному компоненту) назвать себя (сообщить свое и м я ) . П о с р е д с т в о м а у т е н т и ф и к а ц и и вторая с т о р о н а убеждается, что субъект д е й с т в и т е л ь н о тот, за кого о н себя выдает. В качестве с и н о н и ма слова «аутентификация» иногда используют с л о в о с о ч е т а н и е «про¬ верка п о д л и н н о с т и » . (Заметим в скобках, что происхождение русскоязычного термина «аутентификация» не совсем понятно. Английское «authentication» скорее м о ж н о прочитать как «аутентикация»; трудно сказать, откуда в середине взялось еще «фи» — может, из идентификации? Тем не менее, термин ус тоялся, о н закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.) А у т е н т и ф и к а ц и я бывает о д н о с т о р о н н е й ( о б ы ч н о к л и е н т доказы¬ вает с в о ю п о д л и н н о с т ь серверу) и д в у с т о р о н н е й ( в з а и м н о й ) . П р и м е р о д н о с т о р о н н е й а у т е н т и ф и к а ц и и — п р о ц е д у р а входа п о л ь з о в а т е л я в систему. В сетевой среде, когда стороны и д е н т и ф и к а ц и и / а у т е н т и ф и к а ц и и территориально разнесены, у рассматриваемого сервиса есть два основ¬ ных аспекта: • что служит аутентификатором (то есть используется для подт верждения подлинности субъекта); • к а к организован (и защищен) обмен д а н н ы м и идентифика¬ ции/аутентификации. Субъект может подтвердить свою подлинность, предъявив по край¬ ней мере одну из следующих сущностей: • нечто, что он знает (пароль, л и ч н ы й и д е н т и ф и к а ц и о н н ы й но¬ мер, криптографический ключ и т.п.); • нечто, чем он владеет (личную карточку или и н о е устройство аналогичного назначения); • нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики). 127
Курс
Основы информационной безопасности
В открытой сетевой среде между сторонами идентификации/аутен¬ т и ф и к а ц и и не существует доверенного маршрута; это значит, что в общем случае д а н н ы е , переданные субъектом, могут не совпадать с д а н н ы м и , по¬ лученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и / и л и воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает по¬ ложение и ш и ф р о в а н и е паролей, так к а к о н о не защищает от воспроизве¬ дения. Нужны более сложные протоколы аутентификации. Надежная и д е н т и ф и к а ц и я и аутентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности м о ж н о узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администрато¬ ра с другой. Так, из соображений безопасности необходимо с определен¬ ной частотой просить пользователя повторно вводить аутентификационную и н ф о р м а ц и ю (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может под¬ смотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже. С о в р е м е н н ы е средства и д е н т и ф и к а ц и и / а у т е н т и ф и к а ц и и д о л ж н ы поддерживать к о н ц е п ц и ю единого входа в сеть. Е д и н ы й вход в сеть — это, в первую очередь, требование удобства для пользователей. Если в корпо¬ ративной сети много и н ф о р м а ц и о н н ы х сервисов, допускающих незави¬ симое обращение, то многократная идентификация/аутентификация ста новится с л и ш к о м обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, д о м и н и р у ю щ и е р е ш е н и я пока не сформировались. Таким образом, необходимо искать компромисс между надежнос¬ тью, доступностью по цене и удобством использования и администриро вания средств и д е н т и ф и к а ц и и и аутентификации. Л ю б о п ы т н о отметить, что сервис и д е н т и ф и к а ц и и / а у т е н т и ф и к а ц и и может стать объектом атак на доступность. Если система сконфигуриро¬ вана так, что после определенного числа неудачных п о п ы т о к устройство ввода и д е н т и ф и к а ц и о н н о й и н ф о р м а ц и и (такое, например, как терминал) блокируется, то з л о у м ы ш л е н н и к может остановить работу легального пользователя буквально несколькими нажатиями клавиш.
Парольная аутентификация Главное достоинство парольной аутентификации — простота и при¬ вычность. Пароли давно встроены в о п е р а ц и о н н ы е системы и и н ы е сер128
Лекция 10
Идентификация и аутентификация, управление доступом
висы. П р и правильном использовании пароли могут обеспечить прием¬ лемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средст¬ вом проверки подлинности. Ч т о б ы пароль был з а п о м и н а ю щ и м с я , его зачастую делают п р о стым (имя подруги, н а з в а н и е с п о р т и в н о й к о м а н д ы и т.п.). О д н а к о п р о стой пароль нетрудно угадать, о с о б е н н о если знать пристрастия д а н н о го пользователя. И з в е с т н а к л а с с и ч е с к а я и с т о р и я п р о советского р а з ведчика Рихарда Зорге, объект в н и м а н и я которого через слово говорил «карамба»; разумеется, э т и м ж е словом открывался сверхсекретный сейф. Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда п о сле установки системы производится их смена. Ввод пароля м о ж н о подсмотреть. Иногда для подглядывания и с пользуются даже оптические приборы. Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подоб ных случаях более правильно задействовать средства управления досту¬ пом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна. Пароль м о ж н о угадать «методом грубой силы», используя, скажем, словарь. Если файл паролей з а ш и ф р о в а н , но доступен для чтения, его м о ж н о скачать к себе на компьютер и попытаться подобрать пароль, за программировав п о л н ы й перебор (предполагается, что алгоритм ш и ф р о вания известен). Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты: • наложение технических ограничений (пароль должен быть не с л и ш к о м коротким, он должен содержать буквы, ц и ф р ы , знаки пунктуации и т.п.); • управление сроком действия паролей, их периодическая смена; • ограничение доступа к файлу паролей; • ограничение числа неудачных п о п ы т о к входа в систему (это за¬ труднит п р и м е н е н и е «метода грубой силы»); • обучение пользователей; • использование программных генераторов паролей (такая п р о грамма, основываясь на несложных правилах, может п о р о ж дать только благозвучные и, следовательно, з а п о м и н а ю щ и е с я пароли). Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации. 129
Курс
Основы информационной безопасности
Одноразовые пароли Рассмотренные в ы ш е пароли м о ж н о назвать многоразовыми; их раскрытие позволяет злоумышленнику действовать от и м е н и легального пользователя. Гораздо более сильным средством, устойчивым к пассивно му прослушиванию сети, являются одноразовые пароли. Наиболее известным программным генератором одноразовых паро¬ лей является система S / K E Y к о м п а н и и Bellcore. Идея этой системы сос тоит в следующем. Пусть имеется односторонняя ф у н к ц и я f (то есть ф у н к ц и я , в ы ч и с л и т ь обратную к о т о р о й за п р и е м л е м о е в р е м я н е представляется возможным). Эта ф у н к ц и я известна и пользователю, и серверу аутентификации. Пусть, далее, имеется секретный ключ K , изве¬ стный только пользователю. На этапе начального администрирования пользователя ф у н к ц и я f применяется к ключу K n раз, после чего результат сохраняется на серве ре. После этого процедура проверки подлинности пользователя выглядит следующим образом: • сервер присылает на пользовательскую систему число ( n - 1 ) ; • пользователь п р и м е н я е т ф у н к ц и ю f к с е к р е т н о м у ключу K ( n - 1 ) раз и отправляет результат по сети на сервер аутенти¬ фикации; • сервер применяет ф у н к ц и ю f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величи¬ ной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новое значение (прислан¬ ное пользователем) и уменьшает на единицу счетчик (n) . На самом деле реализация устроена чуть сложнее (кроме счетчика, сервер посылает затравочное значение, используемое ф у н к ц и е й f ), но для нас сейчас это не важно. Поскольку ф у н к ц и я f необратима, перехват пароля, равно как и получение доступа к серверу аутентификации, не позволяют узнать секретный ключ K и предсказать следующий одноразо¬ вый пароль. Система S / K E Y имеет статус Internet-стандарта ( R F C 1938). Другой подход к н а д е ж н о й аутентификации состоит в генерации нового пароля через н е б о л ь ш о й промежуток времени ( н а п р и м е р , к а ж д ы е 60 секунд), для чего могут использоваться п р о г р а м м ы или с п е ц и альные интеллектуальные карты (с практической точки зрения т а к и е пароли м о ж н о считать о д н о р а з о в ы м и ) . Серверу а у т е н т и ф и к а ц и и дол¬ ж е н быть известен алгоритм генерации паролей и а с с о ц и и р о в а н н ы е с н и м параметры; к р о м е того, ч а с ы клиента и сервера д о л ж н ы быть син¬ хронизированы.
130
Лекция 10
Идентификация и аутентификация, управление доступом
Сервер аутентификации Kerberos Kerberos — это п р о г р а м м н ы й продукт, р а з р а б о т а н н ы й в середине 1980-х годов в Массачусетском технологическом институте и претерпев ш и й с тех п о р р я д п р и н ц и п и а л ь н ы х и з м е н е н и й . К л и е н т с к и е компонен¬ ты Kerberos присутствуют в большинстве современных о п е р а ц и о н н ы х систем. Kerberos предназначен для р е ш е н и я следующей задачи. Имеется от крытая (незащищенная) сеть, в узлах которой сосредоточены субъекты — пользователи, а также клиентские и серверные программные системы. К а ж д ы й субъект обладает секретным ключом. Чтобы субъект C мог дока¬ зать свою подлинность субъекту S (без этого S н е станет обслуживать C ) , о н должен н е только назвать себя, н о и продемонстрировать з н а н и е сек¬ ретного ключа. C н е может просто послать S свой секретный ключ, в о первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S н е знает (и н е должен знать) секретный ключ C . Требуется менее п р я м о л и н е й н ы й способ демонстра ц и и знания секретного ключа. Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключа¬ м и обслуживаемых субъектов и помогающую им в попарной проверке подлинности. Ч т о б ы с п о м о щ ь ю Kerberos получить доступ к S ( о б ы ч н о это сер¬ вер), C ( к а к п р а в и л о — к л и е н т ) посылает Kerberos з а п р о с , с о д е р ж а щ и й с в е д е н и я о н е м (клиенте) и о з а п р а ш и в а е м о й услуге. В ответ Kerberos в о з в р а щ а е т т а к н а з ы в а е м ы й билет, з а ш и ф р о в а н н ы й с е к р е т н ы м клю¬ ч о м сервера, и к о п и ю ч а с т и и н ф о р м а ц и и и з билета, з а ш и ф р о в а н н у ю с е к р е т н ы м к л ю ч о м к л и е н т а . К л и е н т д о л ж е н р а с ш и ф р о в а т ь вторую п о р ц и ю д а н н ы х и переслать ее вместе с билетом серверу. С е р в е р , рас¬ ш и ф р о в а в билет, может с р а в н и т ь его с о д е р ж и м о е с д о п о л н и т е л ь н о й и н ф о р м а ц и е й , п р и с л а н н о й к л и е н т о м . С о в п а д е н и е свидетельствует о т о м , ч т о к л и е н т смог р а с ш и ф р о в а т ь п р е д н а з н а ч е н н ы е ему д а н н ы е ( ведь с о д е р ж и м о е билета никому, к р о м е сервера и Kerberos, недоступ¬ н о ) , т о есть п р о д е м о н с т р и р о в а л з н а н и е с е к р е т н о г о ключа. Значит, к л и е н т — и м е н н о тот, за кого себя выдает. П о д ч е р к н е м , ч т о с е к р е т н ы е к л ю ч и в п р о ц е с с е п р о в е р к и п о д л и н н о с т и н е передавались п о сети (да¬ ж е в з а ш и ф р о в а н н о м виде) — о н и т о л ь к о и с п о л ь з о в а л и с ь д л я ш и ф р о вания. К а к организован первоначальный обмен ключами между Kerberos и субъектами и к а к субъекты хранят свои с е к р е т н ы е к л ю ч и — вопрос отдельный. Проиллюстрируем описанную процедуру.
131
Курс
Основы информационной безопасности
1. Клиент С
Kerberos
2. Kerberos 1
Kerberos: c, s,...
{Клиент направляет Kerberos сведения о себе и о запрашиваемом сервисе}
клиент C: {d1}Kc, {Tc.s}Ks
{Kerberos возвращает билет, зашифрованный ключом сервера, и дополнительную информацию, зашифрованную ключом клиента}
2
3. Клиент С
сервер S: d2, {Tc.s}Ks
{Клиент направляет на сервер билет и дополнительную информацию}
1 Клиент C
•
з Сервер S
Рис. 10.1. Проверка сервером S подлинности клиента C . Здесь c и s — сведения (например, и м я ) , соответственно, о клиенте и сервере, d l и d2 — дополнительная (по о т н о ш е н и ю к билету) и н ф о р м а ц и я , Tc.s — билет для клиента C н а обслуживание у сервера S, K c и K s — секретные ключи клиента и сервера, {info}K — и н ф о р м а ц и я info, з а ш и ф рованная ключом K . Приведенная схема — крайне упрощенная версия реальной процеду р ы проверки п о д л и н н о с т и . Более п о д р о б н о е рассмотрение системы Kerberos м о ж н о найти, например, в статье В. Галатенко «Сервер аутенти ф и к а ц и и Kerberos (Jet Info, 1996, 12-13). Н а м ж е важно отметить, что Kerberos н е только устойчив к сетевым угрозам, н о и поддерживает к о н ц е п ц и ю единого входа в сеть.
Идентификация/аутентификация с помощью биометрических данных Биометрия представляет собой совокупность автоматизированных методов и д е н т и ф и к а ц и и и / и л и аутентификации людей н а основе их ф и зиологических и поведенческих характеристик. К числу физиологичес¬ ких характеристик принадлежат особенности отпечатков пальцев, сетчат¬ ки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим харак теристикам относятся д и н а м и к а подписи (ручной), стиль работы с клави атурой. Н а стыке физиологии и поведения находятся анализ особеннос¬ тей голоса и распознавание речи. 132
Лекция 10
Идентификация и аутентификация, управление доступом
Биометрией во всем мире занимаются очень давно, однако долгое в р е м я все, ч т о было с в я з а н о с н е й , отличалось с л о ж н о с т ь ю и дороговизной. В последнее время спрос на биометрические продукты, в первую очередь в связи с развитием электронной к о м м е р ц и и , постоянно и весьма интенсивно растет. Это понятно, поскольку с точки зрения поль зователя гораздо удобнее предъявить себя самого, чем что-то запоминать. Спрос рождает предложение, и на р ы н к е появились относительно недо¬ рогие аппаратно-программные продукты, ориентированные в основном на распознавание отпечатков пальцев. В общем виде работа с биометрическими д а н н ы м и организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Д л я этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные д а н н ы е , такие к а к результат сканирования пальца или роговицы, обычно н е хранятся). В д а л ь н е й ш е м д л я и д е н т и ф и к а ц и и (и о д н о в р е м е н н о аутентифика ц и и ) пользователя процесс с н я т и я и обработки повторяется, после чего производится п о и с к в базе д а н н ы х ш а б л о н о в . В случае успешного п о и с ка личность пользователя и ее подлинность считаются установленными. Д л я аутентификации достаточно произвести с р а в н е н и е с о д н и м биоме¬ т р и ч е с к и м ш а б л о н о м , в ы б р а н н ы м н а основе предварительно введенных данных. Обычно биометрию п р и м е н я ю т вместе с другими аутентификаторам и , т а к и м и , н а п р и м е р , к а к интеллектуальные карты. Иногда биометри ческая аутентификация является л и ш ь первым рубежом з а щ и т ы и слу ж и т для активизации интеллектуальных карт, хранящих криптографиче с к и е секреты; в таком случае биометрический шаблон хранится на той ж е карте. Активность в области биометрии очень велика. Организован соот ветствующий к о н с о р ц и у м (см. http://www.biometrics.org), активно ведут ся работы п о стандартизации разных аспектов технологии (формата о б мена д а н н ы м и , прикладного программного интерфейса и т.п.), публику ется масса рекламных статей, в которых биометрия преподносится к а к средство обеспечения сверхбезопасности, ставшее доступным ш и р о к и м массам. Н а н а ш взгляд, к б и о м е т р и и следует о т н о с и т ь с я весьма осторож¬ н о . Н е о б х о д и м о учитывать, ч т о о н а п о д в е р ж е н а тем ж е угрозам, ч т о и другие м е т о д ы а у т е н т и ф и к а ц и и . В о - п е р в ы х , б и о м е т р и ч е с к и й ш а б л о н с р а в н и в а е т с я н е с результатом п е р в о н а ч а л ь н о й о б р а б о т к и х а р а к т е р и с т и к п о л ь з о в а т е л я , а с т е м , ч т о п р и ш л о к месту с р а в н е н и я . А, к а к и з в е с т н о , за время пути... м н о г о чего может п р о и з о й т и . В о - в т о р ы х , б и о м е 133
Курс
Основы информационной безопасности
т р и ч е с к и е м е т о д ы н е более н а д е ж н ы , ч е м база д а н н ы х ш а б л о н о в . В третьих, следует учитывать р а з н и ц у между п р и м е н е н и е м б и о м е т р и и на к о н т р о л и р у е м о й т е р р и т о р и и , под б д и т е л ь н ы м о к о м о х р а н ы , и в «поле вых» условиях, когда, н а п р и м е р к устройству с к а н и р о в а н и я р о г о в и ц ы могут п о д н е с т и м у л я ж и т.п. В-четвертых, б и о м е т р и ч е с к и е д а н н ы е ч е л о в е к а м е н я ю т с я , так что база ш а б л о н о в нуждается в с о п р о в о ж д е н и и , что создает о п р е д е л е н н ы е п р о б л е м ы и для пользователей, и д л я адми¬ нистраторов. Н о главная опасность состоит в том, что любая «пробоина» для био метрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае м о ж н о сменить. Утерянную аутентификационную карту м о ж н о аннулировать и завести новую. Палец ж е , глаз или голос сменить нельзя. Если биометрические д а н н ы е окажутся скомпрометированы, придется как м и н и м у м производить существенную модернизацию всей системы.
Управление доступом Основные понятия С традиционной точки зрения средства управления доступом позво ляют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информаци¬ ей и другими компьютерными ресурсами). В д а н н о м разделе речь идет о логическом управлении доступом, которое, в отличие от физического, ре¬ ализуется программными средствами. Логическое управление доступом — это о с н о в н о й механизм многопользовательских систем, п р и з в а н н ы й обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизо¬ ванных пользователей). Рассмотрим формальную постановку задачи в традиционной трак товке. Имеется совокупность субъектов и набор объектов. Задача логи ческого управления доступом состоит в том, чтобы для каждой пары «субъект-объект» определить множество допустимых операций (завися¬ щее, быть может, от некоторых дополнительных условий) и контролиро¬ вать в ы п о л н е н и е установленного порядка. О т н о ш е н и е «субъекты-объекты» м о ж н о представить в виде матри¬ ц ы доступа, в строках которой перечислены субъекты, в столбцах — объ¬ екты, а в клетках, р а с п о л о ж е н н ы х на пересечении строк и столбцов, за¬ п и с а н ы д о п о л н и т е л ь н ы е условия ( н а п р и м е р , время и место действия) и р а з р е ш е н н ы е виды доступа. Фрагмент м а т р и ц ы может выглядеть, на¬ п р и м е р , так: 134
Лекция 10
Идентификация и аутентификация, управление доступом
Файл orw Пользователь_1 с системной консоли
Программа
Линиясвязи
e
rw с 8:00 до 18:00
Реляционная_ таблица
Пользователь_2
a
«o» — обозначает разрешение на передачу прав доступа другим пользователям, «r» — чтение, «w» — запись, «e» — выполнение, «а» — добавление и н ф о р м а ц и и Тавл. 10.1. Фрагмент матрицы доступа. Тема логического управления доступом — одна из сложнейших в об ласти и н ф о р м а ц и о н н о й безопасности. Дело в том, что само понятие объ екта (а тем более видов доступа) меняется от сервиса к сервису. Для опе р а ц и о н н о й системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность пе¬ редачи полномочий доступа другим субъектам (так называемое право вла¬ дения). Процессы м о ж н о создавать и уничтожать. Современные операци¬ о н н ы е системы могут поддерживать и другие объекты. Для систем управления р е л я ц и о н н ы м и базами данных объект — это база данных, таблица, представление, хранимая процедура. К таблицам п р и м е н и м ы операции поиска, добавления, м о д и ф и к а ц и и и удаления данных, у других объектов и н ы е виды доступа. Разнообразие объектов и применимых к н и м операций приводит к п р и н ц и п и а л ь н о й децентрализации логического управления доступом. Каждый сервис должен сам решать, позволить ли конкретному субъекту ту или иную операцию. Теоретически это согласуется с современным объект но-ориентированным подходом, на практике ж е приводит к значительным трудностям. Главная проблема в том, что ко многим объектам можно полу чить доступ с помощью разных сервисов (возможно, при этом придется преодолеть некоторые технические трудности). Так, до реляционных таб лиц можно добраться не только средствами СУБД, но и путем непосредст венного чтения файлов или дисковых разделов, поддерживаемых операци онной системой (разобравшись предварительно в структуре хранения объ135
Курс
Основы информационной безопасности
ектов базы данных). В результате при задании матрицы доступа нужно при¬ нимать во внимание не только п р и н ц и п распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы). Аналогичная труд ность возникает при экспорте/импорте данных, когда информация о пра вах доступа, как правило, теряется (поскольку на новом сервисе она не имеет смысла). Следовательно, обмен данными между различными серви¬ сами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необхо¬ димо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных. Контроль прав доступа производится разными компонентами п р о граммной среды — ядром операционной системы, сервисами безопаснос ти, системой управления базами данных, программным обеспечением п р о межуточного слоя (таким, как монитор транзакций) и т.д. Тем не менее, можно выделить общие критерии, на основании которых решается вопрос о предоставлении доступа, и общие методы хранения матрицы доступа. П р и п р и н я т и и р е ш е н и я о предоставлении доступа обычно анализи руется следующая и н ф о р м а ц и я : • идентификатор субъекта (идентификатор пользователя, сете вой адрес компьютера и т.п.). П о д о б н ы е идентификаторы я в л я ются основой произвольного (или дискреционного) управле н и я доступом; • атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности — основа принудительного (мандат ного) управления доступом. Матрицу доступа, ввиду ее разреженности (большинство клеток — пустые), неразумно хранить в виде двухмерного массива. Обычно ее хра¬ нят по столбцам, то есть для каждого объекта поддерживается список «до¬ пущенных» субъектов вместе с их правами. Элементами списков могут быть имена групп и ш а б л о н ы субъектов, что служит большим подспорь¬ ем администратору. Некоторые проблемы возникают только при удале¬ н и и субъекта, когда приходится удалять его имя из всех списков доступа; впрочем, эта операция производится нечасто. С п и с к и доступа — исключительно гибкое средство. С их п о м о щ ь ю легко выполнить требование о гранулярности прав с точностью до поль зователя. Посредством списков несложно добавить права или я в н ы м об¬ разом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом. Подавляющее большинство операционных систем и систем управ ления базами данных реализуют и м е н н о произвольное управление досту136
Лекция 10
Идентификация и аутентификация, управление доступом
пом. Основное достоинство произвольного управления — гибкость. Вооб щ е говоря, для каждой пары «субъект-объект» м о ж н о независимо зада вать права доступа (особенно легко это делать, если используются списки управления доступом). К сожалению, у «произвольного» подхода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными д о л ж н ы быть многие пользователи, а не только системные операторы или администраторы. И з - з а рассеянности или некомпетент¬ ности сотрудника, владеющего секретной и н ф о р м а ц и е й , эту информа¬ ц и ю могут узнать и все остальные пользователи. Следовательно, произ¬ вольность управления должна быть дополнена жестким контролем за ре¬ ализацией избранной политики безопасности. Второй недостаток, который представляется о с н о в н ы м , состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной и н ф о р м а ц и и , записать ее в доступный всем файл или заменить полезную утилиту ее «троянским» аналогом. Подобная «разделенность» прав и данных существенно ослож няет проведение несколькими системами согласованной политики безо¬ пасности и, главное, делает практически невозможным э ф ф е к т и в н ы й контроль согласованности. Возвращаясь к вопросу представления матрицы доступа, укажем, что для этого м о ж н о использовать также ф у н к ц и о н а л ь н ы й способ, когда матрицу не хранят в я в н о м виде, а каждый раз вычисляют содержимое со¬ ответствующих клеток. Н а п р и м е р , при принудительном управлении дос¬ тупом применяется сравнение меток безопасности субъекта и объекта. Удобной надстройкой над средствами логического управления досту пом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные дейст вия, включив в число видимых ему объектов только те, к которым он име¬ ет доступ. Подобный подход обычно реализуют в рамках системы меню (пользователю показывают л и ш ь допустимые варианты выбора) или пос¬ редством ограничивающих оболочек, таких как restricted shell в ОС Unix. В заключение подчеркнем важность управления доступом не только на уровне операционной системы, но и в рамках других сервисов, входя¬ щ и х в состав современных приложений, а также, насколько это возмож¬ н о , на «стыках» между сервисами. Здесь на первый план выходит сущест¬ вование единой политики безопасности организации, а также квалифи¬ цированное и согласованное системное администрирование.
Ролевое управление доступом П р и большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирова137
Курс
Основы информационной безопасности
ния. Ч и с л о связей в них пропорционально произведению количества пользователей на количество объектов. Необходимы р е ш е н и я в объект н о - о р и е н т и р о в а н н о м стиле, способные эту сложность понизить. Таким решением является ролевое управление доступом (РУД). Суть его в том, что между пользователями и их привилегиями появляются п р о межуточные сущности — роли. Д л я каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему о п ределенные права (см. р и с . 10.2). Пользователь 1
Пользователь 2
Роль 1
Право доступа 1
...
...
Право доступа 2
...
Пользователь N
Роль K
Право доступа M
Рис. 10.2. Пользователи, объекты и роли. Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать к а к объектно-ориенти¬ рованный каркас, облегчающий администрирование, поскольку о н позво¬ ляет сделать подсистему разграничения доступа управляемой п р и сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентиро¬ ванных системах. К р о м е того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей стано вится пропорциональным сумме (а н е произведению) количества пользо вателей и объектов, что по порядку величины уменьшить уже невозможно. Ролевой доступ развивается более 10 лет (сама идея ролей, разумеет ся, значительно старше) к а к на уровне операционных систем, так и в рам¬ ках СУБД и других и н ф о р м а ц и о н н ы х сервисов. В частности, существуют реализации ролевого доступа для Web-серверов. В 2001 году Национальный институт стандартов и технологий С Ш А предложил проект стандарта ролевого управления доступом (см. http://csrc.nist.gov/rbac/), основные положения которого м ы и рассмотрим. Ролевое управление доступом оперирует следующими о с н о в н ы м и понятиями: 138
Лекция 10
Идентификация и аутентификация, управление доступом
•
пользователь (человек, интеллектуальный автономный агент и т.п.); • сеанс работы пользователя; • роль (обычно определяется в соответствии с организационной структурой); • объект (сущность, доступ к которой разграничивается; напри¬ мер, файл О С или таблица СУБД); • операция (зависит от объекта; для файлов ОС — чтение, запись, выполнение и т.п.; для таблиц СУБД — вставка, удаление и т.п., для прикладных объектов операции могут быть более сложными); • право доступа (разрешение выполнять определенные операции над определенными объектами). Ролям приписываются пользователи и права доступа; м о ж н о счи тать, что о н и (роли) именуют о т н о ш е н и я «многие ко многим» между пользователями и правами. Роли могут быть п р и п и с а н ы многие пользо ватели; один пользователь может быть п р и п и с а н нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он п р и п и с а н , в результате чего он становится обладателем объе д и н е н и я прав, п р и п и с а н н ы х активным ролям. Одновременно пользова¬ тель может открыть несколько сеансов. Между ролями может быть определено отношение частичного п о рядка, называемое наследованием. Если роль r2 является наследницей r l , то все права r l приписываются r2, а все пользователи r2 приписываются r1. Очевидно, что наследование ролей соответствует наследованию клас¬ сов в объектно-ориентированном программировании, только правам до¬ ступа соответствуют методы классов, а пользователям — объекты (экземп ляры) классов. О т н о ш е н и е н а с л е д о в а н и я является и е р а р х и ч е с к и м , п р и ч е м права доступа и пользователи р а с п р о с т р а н я ю т с я по у р о в н я м иерархии навст речу друг другу. В о б щ е м случае н а с л е д о в а н и е я в л я е т с я множествен¬ н ы м , то есть у о д н о й роли может быть н е с к о л ь к о п р е д ш е с т в е н н и ц (и, естественно, н е с к о л ь к о н а с л е д н и ц , которых м ы будем называть т а к ж е преемницами). М о ж н о представить себе ф о р м и р о в а н и е иерархии ролей, начиная с минимума прав (и максимума пользователей), приписываемых роли «со¬ трудник», с постепенным уточнением состава пользователей и добавле¬ н и е м прав (роли «системный администратор», «бухгалтер» и т.п.), вплоть до роли «руководитель» (что, впрочем, не значит, что руководителю предоставляются неограниченные права; как и другим ролям, в соответ¬ ствии с п р и н ц и п о м м и н и м и з а ц и и привилегий, этой роли целесообразно разрешить только то, что необходимо для выполнения служебных обязан ностей). Фрагмент подобной иерархии ролей показан на рис. 10.3. 139
Курс
Основы информационной безопасности
Сотрудник
f Системный администратор
Бухгалтер
Руководитель
Главный бухгалтер Рис. 10.3. Фрагмент иерархии ролей. Для реализации еще одного упоминавшегося ранее важного п р и н ципа и н ф о р м а ц и о н н о й безопасности вводится понятие разделения обя¬ занностей, причем в двух видах: статическом и динамическом. Статическое разделение обязанностей налагает ограничения на п р и писывание пользователей ролям. В простейшем случае членство в н е к о торой роли запрещает п р и п и с ы в а н и е пользователя определенному м н о жеству других ролей. В общем случае д а н н о е ограничение задается как пара «множество ролей — число» (где множество состоит, по крайней ме¬ ре, из двух ролей, а число должно быть больше 1), так что н и к а к о й поль¬ зователь не может быть п р и п и с а н указанному (или большему) числу ро¬ лей из заданного множества. Н а п р и м е р , может существовать пять бухгал¬ терских ролей, но политика безопасности допускает членство не более чем в двух таких ролях (здесь число=3). П р и наличии наследования ролей ограничение приобретает н е сколько более сложный вид, но суть остается простой: при проверке членства в ролях нужно учитывать п р и п и с ы в а н и е пользователей р о л я м наследницам. Динамическое разделение обязанностей отличается от статического только тем, что рассматриваются роли, одновременно активные (быть может, в разных сеансах) для данного пользователя (а не те, которым пользователь статически приписан). Н а п р и м е р , один пользователь может играть роль и кассира, и контролера, но не одновременно; чтобы стать контролером, он должен сначала закрыть кассу. Тем самым реализуется так называемое временное ограничение доверия, являющееся аспектом м и н и м и з а ц и и привилегий. Рассматриваемый проект стандарта содержит с п е ц и ф и к а ц и и трех категорий ф у н к ц и й , необходимых для администрирования РУД: 1. Административные функции (создание и сопровождение ролей и дру гих атрибутов ролевого доступа): создать/удалить роль/пользователя, 140
Лекция 10
Идентификация и аутентификация, управление доступом
приписать пользователя/право роли или ликвидировать существую щую ассоциацию, создать/удалить отношение наследования между существующими ролями, создать новую роль и сделать ее наследни¬ цей/предшественницей существующей роли, создать/удалить огра¬ ничения для статического/динамического разделения обязанностей. 2. Вспомогательные функции (обслуживание сеансов работы пользова телей): открыть сеанс работы пользователя с активацией подразуме¬ ваемого набора ролей; активировать новую роль, деактивировать роль; проверить правомерность доступа. 3. Информационные функции (получение сведений о текущей конфигу рации с учетом отношения наследования). Здесь проводится разде ление на обязательные и необязательные ф у н к ц и и . К числу первых принадлежат получение списка пользователей, п р и п и с а н н ы х роли, и списка ролей, которым п р и п и с а н пользователь. Все остальные ф у н к ц и и отнесены к разряду необязательных. Это получение и н ф о р м а ц и и о правах, п р и п и с а н н ы х роли, о правах заданного пользователя (которыми о н обладает к а к член множества ролей), об ак тивных в д а н н ы й момент сеанса ролях и правах, об операциях, которые роль/пользователь правомочны совершить над заданным объектом, о ста тическом/динамическом разделении обязанностей. М о ж н о надеяться, что предлагаемый стандарт поможет сформиро¬ вать единую терминологию и, что более важно, позволит оценивать РУДпродукты с единых п о з и ц и й , п о единой шкале.
Управление доступом в Java-среде Java — это объектно-ориентированная система программирования, поэтому и управление доступом в ней спроектировано и реализовано в объектном стиле. П о этой п р и ч и н е рассмотреть Java-среду для нас очень важно. Подробно о Java-технологии и безопасности Java-среды рассказа но в статье А. Таранова и В. Цишевского «Java в три года» (Jet Info, 1998, 11-12). С разрешения авторов далее используются ее фрагменты. Прежде всего, остановимся на эволюции модели безопасности Java. В J D K 1.0 была предложена к о н ц е п ц и я «песочницы» (sandbox) — замкну той среды, в которой выполняются потенциально ненадежные програм м ы (апплеты, поступившие п о сети). Программы, располагающиеся на локальном компьютере, считались абсолютно надежными, и и м было до¬ ступно все, что доступно виртуальной Java-машине. В число ограничений, налагаемых «песочницей», входит запрет на доступ к локальной файловой системе, на сетевое взаимодействие со все¬ м и хостами, кроме источника апплета, и т.п. Независимо от уровня дости¬ гаемой п р и этом безопасности (а проблемы возникали и с разделением 141
Курс
Основы информационной безопасности
свой/чужой, и с определением источника апплета), н а л о ж е н н ы е ограни¬ чения следует признать с л и ш к о м обременительными: возможности для содержательных действий у апплетов почти не остается. Чтобы справиться с этой проблемой, в J D K 1.1 ввели деление источ¬ н и к о в (точнее, распространителей) апплетов на надежные и ненадежные (источник определялся по электронной подписи). Надежные апплеты приравнивались в правах к «родному» коду. Сделанное послабление ре¬ ш и л о проблемы тех, кому прав не хватало, но защита осталась н е э ш е л о н и р о в а н н о й и, следовательно, неполной. В J D K 1.2 сформировалась модель безопасности, используемая и в Java 2. От модели «песочницы» отказались. Оформились три основных понятия: • источник программы; • право и множество прав; • политика безопасности. И с т о ч н и к программы определяется парой ( U R L , распространители программы). Последние задаются набором цифровых сертификатов. Право — это абстрактное понятие, за которым, как и положено в объектной среде, стоят классы и объекты. В большинстве случаев право определяется двумя цепочками символов — именем ресурса и действием. Н а п р и м е р , в качестве ресурса может выступать файл, а в качестве дейст¬ в и я — ч т е н и е . В а ж н е й ш и м методом «правовых» объектов я в л я е т с я implies(). О н проверяет, следует ли одно право (запрашиваемое) из друго го (имеющегося). Политика безопасности задает соответствие между источником и правами поступивших из него программ (формально м о ж н о считать, что каждому источнику соответствует своя «песочница»). В J D K 1.2 «родные» программы не имеют каких-либо привилегий в плане безопасности, и по¬ литика по о т н о ш е н и ю к н и м может быть любой. В результате получился т р а д и ц и о н н ы й для современных О С и СУБД механизм прав доступа со следующими особенностями: • Java-программы выступают не от и м е н и пользователя, их запу¬ стившего, а от и м е н и источника программы. (Это весьма глубо¬ кая и прогрессивная трактовка, если ее правильно развить, см. следующий раздел); • нет п о н я т и я владельца ресурсов, который мог бы менять права; последние задаются исключительно политикой безопасности (формально м о ж н о считать, что владельцем всего является тот, кто формирует политику); • механизмы безопасности снабжены объектной оберткой. Весьма важным понятием в модели безопасности J D K 1.2 является контекст выполнения. Когда виртуальная Java-машина проверяет права до¬ ступа объекта к системному ресурсу, она рассматривает не только текущий 142
Лекция 10
Идентификация и аутентификация, управление доступом
объект, но и предыдущие элементы стека вызовов. Доступ предоставляется только тогда, когда нужным правом обладают все объекты в стеке. Разработ¬ чики Java называют это реализацией принципа минимизации привилегий. На первый взгляд, учет контекста представляется логичным. Нельзя допускать, чтобы вызов какого-либо метода расширял права доступа хотя бы по той п р и ч и н е , что доступ к системным ресурсам осуществляется н е напрямую, а с п о м о щ ь ю системных объектов, имеющих все права. К сожалению, подобные доводы противоречат одному из основных п р и н ц и п о в объектного подхода — п р и н ц и п у инкапсуляции. Если объект A обращается к объекту B , о н н е может и н е должен знать, к а к реализован B и к а к и м и ресурсами о н пользуется для своих целей. Если A имеет пра во вызывать к а к о й - л и б о метод B с некоторыми значениями аргументов, B обязан обслужить вызов. В противном случае п р и ф о р м и р о в а н и и полити ки безопасности придется учитывать возможный граф вызовов объектов, что, конечно ж е , нереально. Разработчики Java осознавали эту проблему. Чтобы справиться с ней, о н и ввели понятие привилегированного интервала программы. П р и в ы п о л н е н и и такого интервала контекст игнорируется. Привилегирован ная программа отвечает за себя, н е интересуясь предысторией. Аналогом привилегированных программ являются ф а й л ы с битами переустановки идентификатора пользователя/группы в О С Unix, что л и ш н и й раз под тверждает традиционность подхода, реализованного в J D K 1.2. Известны угрозы безопасности, которые привносят подобные файлы. Теперь это н е лучшее средство О С Unix перекочевало в Java. Рассмотрим дисциплину контроля прав доступа более формально. Класс AccessController (встроенный менеджер безопасности) предо ставляет единый метод для проверки заданного права в текущем контек сте — checkPermission (Permission). Это лучше (по п р и ч и н е параметризуем о с т и ) , ч е м множество методов вида checkXXX, присутствующих в SecurityManager — динамически изменяемом менеджере безопасности из р а н н и х версий J D K . Пусть текущий контекст в ы п о л н е н и я состоит и з N стековых фрей¬ мов (верхний соответствует методу, вызвавшему checkPermission(p)). Ме¬ тод checkPermission реализует следующий алгоритм (см. Листинг 10.1). i
=
N;
while if
(i
>
0)
(метод,
{ породивший i - й фрейм,
не имеет проверяемого
права)
{ throw }
else
AccessControlException if
( i - й фрейм п о м е ч е н
{
143
как
привилегированный)
Курс
Основы информационной безопасности
return; } i
=
i
-
1;
}; // ста
Выясним,
есть
ли п р о в е р я е м о е
право
inheritedContext.checkPermission
у унаследованного
контек
(p);
Листинг 10.1. Алгоритм работы метода checkPermission класса AccessController. Сначала в стеке ищется ф р е й м , не обладающий проверяемым пра вом. Проверка производится до тех пор, пока либо не будет исчерпан стек, либо не встретится «привилегированный» ф р е й м , созданный в р е зультате о б р а щ е н и я к методу doPrivileged(PrivilegedAction) класса AccessController. Если при порождении текущего потока в ы п о л н е н и я был сохранен контекст inheritedContext, проверяется и он. П р и положитель¬ ном результате проверки метод checkPermission(p) возвращает управле¬ ние, при отрицательном возникает исключительная ситуация AccessControlException. Выбранный подход имеет один недостаток — тяжеловесность реали зации. В частности, при порождении нового потока управления с н и м приходится ассоциировать зафиксированный «родительский» контекст и, соответственно, проверять последний в процессе контроля прав доступа. Отметим, что этот подход не распространяется на распределенный случай (хотя бы потому, что контекст имеет л и ш ь локальный смысл, как, впрочем, и политика безопасности). В целом средства управления доступом в J D K 1.2 м о ж н о оценить как «наполовину объектные». Реализация оформлена в виде интерфейсов и классов, однако по-прежнему разграничивается доступ к необъектным сущностям — ресурсам в традиционном п о н и м а н и и . Н е учитывается се¬ мантика доступа. Имеют место и другие отмеченные в ы ш е концептуаль¬ н ы е проблемы.
Возможный подход к управлению доступом в распределенной объектной среде Представляется, что в настоящее время проблема управления досту пом существует в трех почти не связанных между собой проявлениях: • традиционные модели (дискреционная и мандатная); • модель «песочница» (предложенная для Java-среды и близкой ей системы Safe-Tcl); 144
Лекция 10
Идентификация и аутентификация, управление доступом
• модель фильтрации (используемая в межсетевых экранах). На наш взгляд, необходимо объединить существующие подходы на основе их развития и обобщения. Формальная постановка задачи разграничения доступа может в ы глядеть следующим образом. Рассматривается множество объектов (в смысле объектно-ориенти рованного программирования). Часть объектов может являться контей нерами, группирующими объекты-компоненты, задающими для них об щ и й контекст, в ы п о л н я ю щ и м и общие ф у н к ц и и и реализующими пере¬ бор компонентов. Контейнеры либо вложены друг в друга, либо не имеют общих компонентов. С каждым объектом ассоциирован набор интерфейсов, снабженных дескрипторами (ДИ). К объекту м о ж н о обратиться только посредством Д И . Разные интерфейсы могут предоставлять р а з н ы е методы и быть д о с тупными для разных объектов. Каждый контейнер позволяет опросить набор Д И объектов-компо нентов, удовлетворяющих некоторому условию. Возвращаемый результат в общем случае зависит от вызывающего объекта. Объекты изолированы друг от друга. Единственным видом межобъ¬ ектного взаимодействия является вызов метода. Предполагается, что используются надежные средства аутентифика ц и и и защиты коммуникаций. В плане разграничения доступа локальные и удаленные вызовы не различаются. Предполагается также, что разрешение или запрет на доступ не зави сят от возможного параллельного в ы п о л н е н и я методов (синхронизация представляет отдельную проблему, которая здесь не рассматривается). Разграничивается доступ к интерфейсам объектов, а также к методам объектов (с учетом значений фактических параметров вызова). Правила разграничения доступа (ПРД) задаются в виде предикатов над объектами. Рассматривается задача разграничения доступа для выделенного контейнера C C , компонентами которого д о л ж н ы являться вызывающий и / и л и вызываемый объекты. Д И этого контейнера полагается общеизве стным. Считается также, что между в н е ш н и м и по о т н о ш е н и ю к выделен¬ ному контейнеру объектами возможны любые вызовы. Выполнение П Р Д контролируется монитором обращений. П р и вызове метода м ы будем разделять действия, производимые в ы з ы в а ю щ и м объектом ( и н и ц и а ц и я вызова) и вызываемым методом (прием и завершение вызова). П р и и н и ц и а ц и и вызова может производиться преобразование Д И ф а к т и ч е с к и х п а р а м е т р о в к виду, д о с т у п н о м у в ы з ы в а е м о м у методу (»трансляция интерфейса»). Трансляция может иметь место, если вызы¬ ваемый объект не входит в тот же контейнер, что и вызывающий. 145
Курс
Основы информационной безопасности
Параметры методов могут быть входными и / и л и выходными. П р и приеме вызова возникает и н ф о р м а ц и о н н ы й поток из входных парамет¬ ров в вызываемый объект. В момент завершения вызова возникает ин¬ ф о р м а ц и о н н ы й поток из вызываемого объекта в выходные параметры. Эти потоки могут фигурировать в правилах разграничения доступа. Структурируем множество всех П Р Д , выделив четыре группы пра¬ вил: • политика безопасности контейнера; • ограничения на вызываемый метод; • ограничения на в ы з ы в а ю щ и й метод; • добровольно налагаемые ограничения. Правила, общие для всех объектов, входящих в контейнер C , назо¬ вем политикой безопасности данного контейнера. Пусть метод M 1 объекта O1 в точке P1 своего выполнения должен вызвать метод M объекта O. Правила, которым должен удовлетворять M , м о ж н о разделить на три следующие подгруппы: • правила, о п и с ы в а ю щ и е требования к формальным параметрам вызова; • правила, о п и с ы в а ю щ и е требования к семантике M ; • реализационные правила, накладывающие ограничения на воз¬ м о ж н ы е реализации M ; • правила, накладывающие ограничения на вызываемый объект O. Метод M объекта O, потенциально доступный для вызова, может предъявлять к вызывающему объекту следующие группы требований: • правила, о п и с ы в а ю щ и е требования к фактическим параметрам вызова; • правила, накладывающие ограничения на в ы з ы в а ю щ и й объект. М о ж н о выделить три разновидности предикатов, соответствующих семантике и / и л и особенностям реализации методов: • утверждения о фактических параметрах вызова метода M в точ¬ ке P1; • предикат, о п и с ы в а ю щ и й семантику метода M ; • предикат, о п и с ы в а ю щ и й особенности реализации метода M . П е р е ч и с л е н н ы е о г р а н и ч е н и я м о ж н о назвать д о б р о в о л ь н ы м и , поскольку они соответствуют реальному поведению объектов и не связа н ы с к а к и м и - л и б о в н е ш н и м и требованиями. Предложенная постановка задачи разграничения доступа соответст вует современному этапу развития программирования, она позволяет вы¬ разить сколь угодно сложную политику безопасности, найти баланс меж¬ ду богатством выразительных возможностей и эффективностью работы монитора обращений. 146
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
Лекция 1 1 . Протоколирование и аудит, шифрование, контроль целостности
Описываются протоколирование и аудит, а также криптографические мето ды защиты. Показывается их место в общей архитектуре безопасности. Ключевые слова: протоколирование, выборочное протоколирова ние, событие, сервис, регистрационная и н ф о р м а ц и я , аудит, подот четность, детализация, доступность, подозрительная активность, злоумышленная активность, автоматическое реагирование, атака, злоупотребление п о л н о м о ч и я м и , сигнатура атаки, порог, профиль поведения, долгосрочный профиль, краткосрочный профиль, о ш и б ка первого рода, пропуск атаки, ошибка второго рода, ложная трево га, эшелонированная оборона, менеджер, агент, интерфейс, сенсор, анализ, решатель, экспертная система, администратор безопаснос¬ ти, ш и ф р о в а н и е , симметричное ш и ф р о в а н и е , асимметричное шиф¬ рование, секретный ключ, открытый ключ, составной ключ, генера¬ ц и я ключей, распространение ключей, р а с ш и ф р о в а н и е , псевдослу чайная последовательность, х э ш - ф у н к ц и я , дайджест, односторон няя ф у н к ц и я , электронная цифровая подпись — Э Ц П , выработка Э Ц П , проверка Э Ц П , глобальная служба каталогов, удостоверяю¬ щ и й центр, ц и ф р о в о й сертификат.
Протоколирование и аудит Основные понятия П о д протоколированием понимается сбор и накопление и н ф о р м а ц и и о событиях, происходящих в и н ф о р м а ц и о н н о й системе. У каждого сервиса свой набор возможных событий, но в любом случае их м о ж н о разделить на в н е ш н и е (вызванные действиями других сервисов), внут р е н н и е (вызванные действиями самого сервиса) и клиентские (вызван н ы е действиями пользователей и администраторов). Аудит — это анализ н а к о п л е н н о й и н ф о р м а ц и и , проводимый опера¬ тивно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные н е штатные ситуации называется активным. Реализация протоколирования и аудита решает следующие задачи: • обеспечение подотчетности пользователей и администраторов; 147
Курс
Основы информационной безопасности
•
обеспечение возможности реконструкции последовательности событий; • обнаружение попыток нарушений информационной безопасности; • предоставление и н ф о р м а ц и и для выявления и анализа проблем. Протоколирование требует для своей реализации здравого смысла. К а к и е события регистрировать? С какой степенью детализации? На по¬ добные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные вы¬ ш е цели, а, с другой, расход ресурсов оставался в пределах допустимого. С л и ш к о м о б ш и р н о е или подробное протоколирование не только снижа¬ ет производительность сервисов (что отрицательно сказывается на д о с тупности), но и затрудняет аудит, то есть не увеличивает, а уменьшает ин¬ ф о р м а ц и о н н у ю безопасность. Разумный подход к упомянутым вопросам применительно к опера ц и о н н ы м системам предлагается в «Оранжевой книге», где выделены сле дующие события: • вход в систему (успешный или нет); • выход из системы; • обращение к удаленной системе; • операции с ф а й л а м и (открыть, закрыть, переименовать, уда¬ лить); • смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.). П р и п р о т о к о л и р о в а н и и события рекомендуется записывать, по крайней мере, следующую и н ф о р м а ц и ю : • дата и время события; • уникальный идентификатор пользователя — инициатора дейст вия; • тип события; • результат действия (успех или неудача); • источник запроса (например, и м я терминала); • имена затронутых объектов (например, открываемых или уда¬ ляемых файлов); • описание и з м е н е н и й , внесенных в базы данных защиты (на¬ пример, новая метка безопасности объекта). Е щ е одно важное понятие, фигурирующее в «Оранжевой книге», — выборочное протоколирование, как в о т н о ш е н и и пользователей (внима¬ тельно следить только за подозрительными), так и в о т н о ш е н и и событий. Характерная особенность протоколирования и аудита — зависимость от других средств безопасности. И д е н т и ф и к а ц и я и аутентификация слу¬ жат отправной точкой подотчетности пользователей, логическое управле¬ н и е доступом защищает конфиденциальность и целостность регистраци148
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
о н н о й и н ф о р м а ц и и . Возможно, для защиты привлекаются и криптогра¬ ф и ч е с к и е методы. Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь к а к сдерживающее средство. Если пользователи и администраторы знают, что все их дейст¬ вия фиксируются, о н и , возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, м о ж н о регистрировать все его действия, вплоть до каждого нажатия клавиши. П р и этом обеспечивается не только возможность рас следования случаев нарушения режима безопасности, но и откат некор¬ ректных изменений (если в протоколе присутствуют д а н н ы е до и после м о д и ф и к а ц и и ) . Тем самым защищается целостность и н ф о р м а ц и и . Р е к о н с т р у к ц и я последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить мас штабы причиненного ущерба и вернуться к нормальной работе. Обнаружение п о п ы т о к нарушений и н ф о р м а ц и о н н о й безопасности — ф у н к ц и я активного аудита, о котором пойдет речь в следующем разде ле. О б ы ч н ы й аудит позволяет выявить подобные попытки с опозданием, но и это оказывается полезным. В свое время поимка немецких хакеров, действовавших по заказу К Г Б , началась с выявления подозрительного расхождения в несколько центов в ежедневном отчете крупного вычисли¬ тельного центра. Выявление и анализ проблем могут помочь улучшить такой пара¬ метр безопасности, как доступность. Обнаружив узкие места, м о ж н о по¬ пытаться переконфигурировать или перенастроить систему, снова изме рить производительность и т.д. Непросто осуществить организацию согласованного протоколиро¬ вания и аудита в распределенной разнородной системе. Во-первых, н е к о торые к о м п о н е н т ы , важные для безопасности (например, маршрутизато р ы ) , могут не обладать своими ресурсами протоколирования; в таком слу¬ чае их нужно экранировать другими сервисами, которые возьмут прото¬ колирование на себя. Во-вторых, необходимо увязывать между собой с о бытия в разных сервисах.
Активный аудит Основные понятия П о д подозрительной активностью понимается поведение пользова теля или компонента и н ф о р м а ц и о н н о й системы, являющееся злоумыш¬ л е н н ы м (в соответствии с заранее определенной политикой безопаснос¬ ти) или н е т и п и ч н ы м (согласно п р и н я т ы м критериям). 149
Курс
Основы информационной безопасности
Задача активного аудита — оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее. Активность, не соответствующую политике безопасности, целесооб¬ разно разделить на атаки, направленные на незаконное получение полно¬ мочий, и на действия, выполняемые в рамках имеющихся п о л н о м о ч и й , но нарушающие политику безопасности. Атаки нарушают любую о с м ы с л е н н у ю п о л и т и к у безопасности. И н ы м и словами, активность атакующего является разрушительной неза висимо от политики. Следовательно, для описания и выявления атак м о ж н о применять универсальные методы, инвариантные относительно политики безопасности, такие как сигнатуры и их обнаружение во вход¬ ном потоке событий с п о м о щ ь ю аппарата экспертных систем. Сигнатура атаки — это совокупность условий, при выполнении кото¬ рых атака считается и м е ю щ е й место, что вызывает заранее определенную реакцию. П р о с т е й ш и й пример сигнатуры — «зафиксированы три после¬ довательные неудачные п о п ы т к и входа в систему с одного терминала», пример ассоциированной реакции — блокирование терминала до п р о я с н е н и я ситуации. Действия, выполняемые в рамках имеющихся п о л н о м о ч и й , но нару¬ ш а ю щ и е политику безопасности, м ы будем называть злоупотреблением полномочиями. Злоупотребления п о л н о м о ч и я м и возможны из-за н е адекватности средств разграничения доступа выбранной политике безо пасности. П р о с т е й ш и м примером злоупотреблений является неэтичное поведение суперпользователя, просматривающего л и ч н ы е ф а й л ы других пользователей. Анализируя регистрационную и н ф о р м а ц и ю , м о ж н о обна ружить подобные события и сообщить о них администратору безопасно сти, хотя для этого необходимы соответствующие средства выражения политики безопасности. Выделение злоупотреблений п о л н о м о ч и я м и в отдельную группу н е правомерных действий, выявляемых средствами активного аудита, не я в ляется о б щ е п р и н я т ы м , однако, на н а ш взгляд, подобный подход имеет право на существование и м ы будем его придерживаться, хотя наиболее радикальным р е ш е н и е м было бы развитие средств разграничения досту¬ па (см. «Возможный подход к управлению доступом в распределенной объектной среде»). Нетипичное поведение выявляется статистическими методами. В простейшем случае применяют систему порогов, п р е в ы ш е н и е которых является подозрительным. (Впрочем, «пороговый» метод м о ж н о тракто¬ вать и как вырожденный случай сигнатуры атаки, и как тривиальный спо¬ соб выражения политики безопасности.) В более развитых системах п р о изводится сопоставление долговременных характеристик работы (назы150
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
ваемых долгосрочным профилем) с краткосрочными п р о ф и л я м и . (Здесь м о ж н о усмотреть аналогию биометрической аутентификации по пове¬ денческим характеристикам.) Применительно к средствам активного аудита различают о ш и б к и первого и второго рода: пропуск атак и л о ж н ы е тревоги, соответственно. Нежелательность о ш и б о к первого рода очевидна; о ш и б к и второго рода не менее н е п р и я т н ы , поскольку отвлекают администратора безопасности от действительно важных дел, косвенно способствуя пропуску атак. Достоинства сигнатурного метода — высокая производительность, малое число о ш и б о к второго рода, обоснованность решений. Основной недостаток — неумение обнаруживать неизвестные атаки и вариации из¬ вестных атак. Основные достоинства статистического подхода — универсальность и обоснованность р е ш е н и й , потенциальная способность обнаруживать неизвестные атаки, то есть м и н и м и з а ц и я числа о ш и б о к первого рода. Минусы заключаются в относительно высокой доле о ш и б о к второго р о да, плохой работе в случае, когда неправомерное поведение является т и п и ч н ы м , когда типичное поведение плавно меняется от легального к н е правомерному, а также в случаях, когда типичного поведения нет (как п о казывает статистика, таких пользователей п р и м е р н о 5-10%). Средства активного аудита могут располагаться на всех линиях обо¬ р о н ы и н ф о р м а ц и о н н о й системы. На границе контролируемой зоны они могут обнаруживать подозрительную активность в точках подключения к в н е ш н и м сетям (не только п о п ы т к и нелегального п р о н и к н о в е н и я , но и действия по «прощупыванию» сервисов безопасности). В корпоративной сети, в рамках и н ф о р м а ц и о н н ы х сервисов и сервисов безопасности, ак¬ т и в н ы й аудит в состоянии обнаружить и пресечь подозрительную актив ность внешних и внутренних пользователей, выявить проблемы в работе сервисов, вызванные к а к нарушениями безопасности, так и аппаратнопрограммными о ш и б к а м и . Важно отметить, что активный аудит, в прин¬ ц и п е , способен обеспечить защиту от атак на доступность. К сожалению, формулировка «в п р и н ц и п е , способен обеспечить за¬ щиту» не случайна. Активный аудит развивается более десяти лет, и пер¬ вые результаты казались весьма многообещающими. Довольно быстро удалось реализовать распознавание простых типовых атак, однако затем было выявлено множество проблем, связанных с обнаружением заранее неизвестных атак, атак распределенных, растянутых во времени и т.п. Б ы ло бы н а и в н о ожидать полного решения подобных проблем в ближайшее время. (Оперативное п о п о л н е н и е базы сигнатур атак таким решением, к о н е ч н о , не является.) Тем не менее, и на н ы н е ш н е й стадии развития ак¬ т и в н ы й аудит полезен к а к один из рубежей (вернее, как набор прослоек) э ш е л о н и р о в а н н о й обороны. 151
Курс
Основы информационной безопасности
Функциональные компоненты и архитектура В составе средств активного аудита м о ж н о выделить следующие ф у н к ц и о н а л ь н ы е компоненты: • к о м п о н е н т ы генерации регистрационной и н ф о р м а ц и и . О н и находятся на стыке между средствами активного аудита и конт¬ ролируемыми объектами; • к о м п о н е н т ы хранения сгенерированной регистрационной ин¬ формации; • к о м п о н е н т ы извлечения регистрационной и н ф о р м а ц и и (сен соры). Обычно различают сетевые и хостовые сенсоры, имея в виду под первыми выделенные компьютеры, сетевые карты ко¬ торых установлены в режим прослушивания, а под вторыми — программы, ч и т а ю щ и е регистрационные журналы операцион¬ ной системы. На н а ш взгляд, с развитием коммутационных тех нологий это различие постепенно стирается, так как сетевые сенсоры приходится устанавливать в активном сетевом обору довании и, по сути, о н и становятся частью сетевой О С ; • к о м п о н е н т ы просмотра регистрационной и н ф о р м а ц и и . Могут помочь при принятии р е ш е н и я о реагировании на подозри¬ тельную активность; • к о м п о н е н т ы анализа и н ф о р м а ц и и , поступившей от сенсоров. В соответствии с д а н н ы м в ы ш е определением средств активного аудита, выделяют пороговый анализатор, анализатор наруше н и й политики безопасности, экспертную систему, выявляю¬ щую сигнатуры атак, а также статистический анализатор, обна¬ руживающий нетипичное поведение; • к о м п о н е н т ы хранения и н ф о р м а ц и и , участвующей в анализе. Такое хранение необходимо, например, для выявления атак, протяженных во времени; • к о м п о н е н т ы принятия р е ш е н и й и реагирования («решатели»). «Решатель» может получать и н ф о р м а ц и ю не только от локаль¬ ных, но и от внешних анализаторов, проводя так называемый к о р р е л я ц и о н н ы й анализ распределенных событий; • к о м п о н е н т ы хранения и н ф о р м а ц и и о контролируемых объек тах. Здесь могут храниться как пассивные данные, так и мето д ы , необходимые, например, для извлечения из объекта регис т р а ц и о н н о й и н ф о р м а ц и и или для реагирования; • к о м п о н е н т ы , играющие роль организующей оболочки для ме¬ неджеров активного аудита, называемые мониторами и объеди¬ н я ю щ и е анализаторы, «решатели», хранилище о п и с а н и й объ ектов и интерфейсные компоненты. В число последних входят к о м п о н е н т ы интерфейса с другими мониторами, к а к р а в н о 152
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
п р а в н ы м и , так и входящими в иерархию. Такие интерфейсы н е обходимы, например, для выявления распределенных, широ¬ комасштабных атак; • к о м п о н е н т ы интерфейса с администратором безопасности. Средства активного аудита строятся в архитектуре менеджер/агент. О с н о в н ы м и агентскими компонентами являются сенсоры. Анализ, п р и нятие р е ш е н и й — ф у н к ц и и менеджеров. Очевидно, между менеджерами и агентами д о л ж н ы быть с ф о р м и р о в а н ы доверенные каналы. П о д ч е р к н е м важность и н т е р ф е й с н ы х к о м п о н е н т о в . О н и п о л е з н ы к а к с внутренней для средств активного аудита точки з р е н и я (обеспечи вают р а с ш и р я е м о с т ь , п о д к л ю ч е н и е к о м п о н е н т о в различных п р о и з в о дителей), так и с в н е ш н е й точки з р е н и я . Между менеджерами (между к о м п о н е н т а м и анализа и «решателями») могут существовать г о р и з о н тальные связи, необходимые для анализа распределенной активности. В о з м о ж н о также ф о р м и р о в а н и е иерархий средств активного аудита с в ы н е с е н и е м на верхние уровни и н ф о р м а ц и и о наиболее м а с ш т а б н о й и о п а с н о й активности. Обратим также в н и м а н и е на архитектурную общность средств ак¬ тивного аудита и управления, являющуюся следствием общности выпол няемых ф у н к ц и й . Продуманные интерфейсные к о м п о н е н т ы могут суще¬ ственно облегчить совместную работу этих средств.
Шифрование М ы приступаем к рассмотрению криптографических сервисов безо¬ пасности, точнее, к изложению элементарных сведений, помогающих со¬ ставить общее представление о компьютерной криптографии и ее месте в общей архитектуре и н ф о р м а ц и о н н ы х систем. Криптография необходима для реализации, по крайней мере, трех сервисов безопасности: • шифрование; • контроль целостности; • аутентификация (этот сервис был рассмотрен н а м и ранее). Ш и ф р о в а н и е — наиболее м о щ н о е средство обеспечения к о н ф и д е н циальности. Во многих отношениях оно занимает центральное место сре д и программно-технических регуляторов безопасности, являясь основой реализации многих из них, и в то ж е время последним (а подчас и единст венным) з а щ и т н ы м рубежом. Н а п р и м е р , для портативных компьютеров только ш и ф р о в а н и е позволяет обеспечить конфиденциальность данных даже в случае кражи. В большинстве случаев и шифрование, и контроль целостности игра¬ ют глубоко инфраструктурную роль, оставаясь прозрачными и для прило153
Курс
Основы информационной безопасности
ж е н и й , и для пользователей. Типичное место этих сервисов безопасности — на сетевом и транспортном уровнях реализации стека сетевых протоколов. Различают два основных метода ш и ф р о в а н и я : симметричный и асимметричный. В первом из них один и тот ж е ключ (хранящийся в сек рете) используется и для з а ш и ф р о в а н и я , и для р а с ш и ф р о в а н и я данных. Разработаны весьма э ф ф е к т и в н ы е (быстрые и надежные) методы симме¬ тричного ш и ф р о в а н и я . Существует и н а ц и о н а л ь н ы й стандарт на подоб н ы е методы — ГОСТ 28147-89 «Системы обработки и н ф о р м а ц и и . Защита криптографическая. Алгоритм криптографического преобразования». Рис. 11.1 иллюстрирует использование симметричного шифрования. Для определенности м ы будем вести речь о защите сообщений, хотя собы тия могут развиваться не только в пространстве, но и во времени, когда за шифровываются и расшифровываются никуда не перемещающиеся файлы.
Сообщение
Сообщение
у Зашифрование
Ключ
\
Н
Зашифрованное ' сообщение г
Общий секретный ключ
„ , Расшифрование
Г Ключ
Генератор ключей Рис. 11.1. Использование симметричного метода ш и ф р о в а н и я . О с н о в н ы м недостатком симметричного ш и ф р о в а н и я является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это создает новую проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это с о о б щ е н и е от конкретного отправителя, поскольку такое ж е сообщение он мог сгенерировать самостоятельно. В асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с другими открытыми све154
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
д е н и я м и о пользователе), применяется для ш и ф р о в а н и я , другой (секрет н ы й , известный только получателю) — для р а с ш и ф р о в а н и я . С а м ы м попу л я р н ы м из асимметричных является метод R S A (Райвест, Ш а м и р , Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями. Проиллюстрируем использование асимметричного шифрования (см. рис. 11.2).
Сообщение
Сообщение
I Зашифрование
Зашифрованное сообщение
•+А Расшифрование
I Открытый ключ
Секретный ключ ч
Генератор ключей Рис. 11.2. Использование асимметричного метода ш и ф р о в а н и я . Существенным недостатком асимметричных методов ш и ф р о в а н и я является их низкое быстродействие, поэтому д а н н ы е методы приходится сочетать с симметричными (асимметричные методы на 3 — 4 порядка мед леннее). Так, для р е ш е н и я задачи эффективного ш и ф р о в а н и я с передачей секретного ключа, использованного отправителем, сообщение сначала симметрично зашифровывают случайным ключом, затем этот ключ за¬ ш и ф р о в ы в а ю т открытым асимметричным ключом получателя, после ч е го сообщение и ключ отправляются по сети. Рис. 11.3 иллюстрирует э ф ф е к т и в н о е ш и ф р о в а н и е , реализованное путем сочетания симметричного и асимметричного методов. На рис. 11.4 показано р а с ш и ф р о в а н и е э ф ф е к т и в н о зашифрованного сообщения. Отметим, что асимметричные методы позволили решить важную за¬ дачу совместной выработки секретных ключей (это существенно, если стороны не доверяют друг другу), обслуживающих сеанс взаимодействия, 155
Курс
Основы информационной безопасности
при изначальном отсутствии общих секретов. Для этого используется ал горитм Д и ф ф и - Х е л м а н а .
Симметричное зашифрование
Зашифрованное сообщение
Асимметричное -Ч зашифрование
Зашифрованный
Сообщение
Ключ
ключ
I
Генератор ключей Для каждого сообщения генерируется свой ключ.
J
I I
Открытый ключ получателя
Рис. 11.3. Э ф ф е к т и в н о е ш и ф р о в а н и е сообщения.
Зашифрованное сообщение
Зашифрованный ключ
Секретный ключ получателяя Рис. 11.4. Р а с ш и ф р о в а н и е э ф ф е к т и в н о зашифрованного сообщения. Определенное распространение получила разновидность симмет¬ ричного ш и ф р о в а н и я , основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, х р а н я щ и е ся отдельно. Каждая часть сама по себе не позволяет выполнить р а с ш и ф рование. Если у правоохранительных органов появляются подозрения от¬ носительно лица, использующего некоторый ключ, о н и могут в установ¬ л е н н о м порядке получить половинки ключа и дальше действовать обыч н ы м для симметричного р а с ш и ф р о в а н и я образом. 156
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
П о р я д о к работы с составными ключами — хороший пример следова н и я п р и н ц и п у разделения обязанностей. О н позволяет сочетать права на разного рода т а й н ы (персональную, коммерческую) с возможностью э ф фективно следить за нарушителями закона, хотя, конечно, здесь очень много тонкостей и технического, и юридического плана. М н о г и е криптографические алгоритмы в качестве одного из параме¬ тров требуют псевдослучайное значение, в случае предсказуемости кото¬ рого в алгоритме появляется уязвимость (подобное уязвимое место было обнаружено в некоторых вариантах Web-навигаторов). Генерация псевдо¬ случайных последовательностей — важный аспект криптографии, на ко¬ тором м ы , однако, останавливаться не будем. Более подробную и н ф о р м а ц и ю о к о м п ь ю т е р н о й к р и п т о г р а ф и и м о ж н о почерпнуть из статьи Г. Семенова «Не только ш и ф р о в а н и е , или Обзор криптотехнологий» (Jet Info, 2001, 3).
Контроль ц е л о с т н о с т и Криптографические методы позволяют надежно контролировать це лостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать не возможность отказаться от совершенных действий (»неотказуемость»). В основе криптографического контроля целостности лежат два п о нятия: • хэш-функция; • электронная цифровая подпись ( Э Ц П ) . Х э ш - ф у н к ц и я — это труднообратимое преобразование данных (од носторонняя ф у н к ц и я ) , реализуемое, как правило, средствами симмет ричного ш и ф р о в а н и я со связыванием блоков. Результат ш и ф р о в а н и я п о следнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции. Пусть имеются данные, целостность которых нужно проверить, хэшфункция и ранее вычисленный результат ее применения к исходным данным (так называемый дайджест). Обозначим хэш-функцию через h , исходные данные — через T , проверяемые данные — через T ' . Контроль целостности данных сводится к проверке равенства h ( T ' ) = h ( T ) . Если оно выполнено, считается, что T ' = T . Совпадение дайджестов для различных данных назы вается коллизией. В принципе, коллизии, конечно, возможны, поскольку мощность множества дайджестов меньше, чем мощность множества хэшируемых данных, однако то, что h есть функция односторонняя, означает, что за приемлемое время специально организовать коллизию невозможно. Рассмотрим теперь п р и м е н е н и е асимметричного ш и ф р о в а н и я для выработки и проверки электронной ц и ф р о в о й подписи. Пусть E ( T ) обо157
Курс
Основы информационной безопасности
значает результат з а ш и ф р о в а н и я текста T с п о м о щ ь ю открытого ключа, а D ( T ) — результат р а с ш и ф р о в а н и я текста Т (как правило, шифрованного) с п о м о щ ь ю секретного ключа. Чтобы асимметричный метод мог п р и м е няться для реализации Э Ц П , необходимо в ы п о л н е н и е тождества E(D(T))
=
D(E(T))
=
T
На рис. 11.5 показана процедура выработки электронной ц и ф р о в о й подписи, состоящая в ш и ф р о в а н и и преобразованием D дайджеста h ( T ) .
Сообщение т
Дайджест h ( T )
•*-]
h
ЭЦП
Сообщение
Электронная подпись
D(h(T))
Секретный ключ отправителя
I
Рис. 11.5. Выработка электронной ц и ф р о в о й подписи. Проверка Э Ц П может быть реализована так, к а к показано на рис. 11.6.
Сообщение
Сообщение т'
Электроннаяя подпись S'
Да, все
Открытый ключ отправителя
порядке
Рис. 11.6. Проверка электронной ц и ф р о в о й подписи. 158
Лекция 11
Протоколирование и аудит, шифрование, контроль целостности
И з равенства E(S')
=
h(T')
следует, что S ' = D ( h ( T ' ) (для доказательства достаточно применить к обеим частям преобразование D и вычеркнуть в левой части тождествен н о е преобразование D ( E ( ) ) ) . Таким образом, электронная цифровая подпись защищает целостность сообщения и удостоверяет личность от правителя, то есть защищает целостность источника данных и служит ос¬ новой неотказуемости. Два российских стандарта, ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной ц и ф р о в о й подписи на базе асимметричного криптографического алгоритма» и ГОСТ Р 34.11-94 «Функция хэширова ния», объединенные о б щ и м заголовком « И н ф о р м а ц и о н н а я технология. Криптографическая защита и н ф о р м а ц и и » , регламентируют вычисление дайджеста и реализацию Э Ц П . В сентябре 2001 года был утвержден, а 1 июля 2002 года вступил в силу новый стандарт Э Ц П — ГОСТ Р 34.10-2001, разработанный специалистами Ф А П С И . Д л я к о н т р о л я ц е л о с т н о с т и последовательности с о о б щ е н и й (то есть д л я з а щ и т ы от к р а ж и , д у б л и р о в а н и я и п е р е у п о р я д о ч е н и я с о о б щ е н и й ) п р и м е н я ю т в р е м е н н ы е ш т а м п ы и н у м е р а ц и ю э л е м е н т о в последо¬ вательности, п р и этом ш т а м п ы и н о м е р а включают в п о д п и с ы в а е м ы й текст.
Цифровые сертификаты П р и использовании асимметричных методов ш и ф р о в а н и я (и, в ча¬ стности, электронной ц и ф р о в о й подписи) необходимо иметь гарантию подлинности п а р ы (имя пользователя, открытый ключ пользователя). Для р е ш е н и я этой задачи в с п е ц и ф и к а ц и я х X.509 вводятся понятия ц и ф рового сертификата и удостоверяющего центра. Удостоверяющий центр — это компонент глобальной службы ката¬ логов, отвечающий за управление криптографическими ключами пользо¬ вателей. Открытые ключи и другая и н ф о р м а ц и я о пользователях хранит ся удостоверяющими центрами в виде цифровых сертификатов, и м е ю щ и х следующую структуру: • порядковый номер сертификата; • идентификатор алгоритма электронной подписи; • и м я удостоверяющего центра; • срок годности; • и м я владельца сертификата (имя пользователя, которому при¬ надлежит сертификат); 159
Курс
Основы информационной безопасности
•
открытые ключи владельца сертификата (ключей может быть несколько); • идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата; • электронная подпись, сгенерированная с использованием сек ретного ключа удостоверяющего центра (подписывается р е зультат хэширования всей и н ф о р м а ц и и , хранящейся в серти¬ фикате). Ц и ф р о в ы е сертификаты обладают следующими свойствами: • любой пользователь, з н а ю щ и й открытый ключ удостоверяю¬ щего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата; • никто, кроме удостоверяющего центра, не может м о д и ф и ц и р о вать и н ф о р м а ц и ю о пользователе без нарушения целостности сертификата. В с п е ц и ф и к а ц и я х X.509 не описывается конкретная процедура гене р а ц и и криптографических ключей и управления и м и , однако даются н е которые общие рекомендации. В частности, оговаривается, что пары ключей могут порождаться л ю б ы м из следующих способов. • ключи может генерировать сам пользователь. В таком случае секретный ключ не попадает в руки третьих л и ц , однако нужно решать задачу безопасной связи с удостоверяющим центром; • ключи генерирует доверенное лицо. В таком случае приходится решать задачи безопасной доставки секретного ключа владель¬ цу и предоставления доверенных данных для создания серти¬ фиката; • ключи генерируются удостоверяющим центром. В таком случае остается только задача безопасной передачи ключей владельцу. Ц и ф р о в ы е сертификаты в формате X.509 версии 3 стали не только формальным, но и фактическим стандартом, поддерживаемым много¬ ч и с л е н н ы м и удостоверяющими центрами.
160
Лекция 12
Экранирование, анализ защищенности
Лекция 12. Экранирование, анализ защищенности
Рассматриваются сравнительно новые (развивающиеся с начала 1990-х го дов) сервисы безопасности — экранирование и анализ защищенности. Ключевые слова: экран, экранирование, разграничение доступа, п р о токолирование, фильтрация, фильтр, межсетевой экран ( М Э ) , до¬ ступность, конфиденциальность, частичное экранирование, ограни¬ ч и в а ю щ и й интерфейс, Web-сервис, внутренний М Э , в н е ш н и й М Э , двухкомпонентное экранирование, демилитаризованная зона, гра¬ н и ч н ы й маршрутизатор, многопротокольный М Э , сервер-посред¬ ник, составной М Э , персональный М Э , персональное экранирую¬ щее устройство, архитектурная безопасность, эшелонированность обороны, простота, управляемость, невозможность перехода в небе зопасное состояние, внешние угрозы, внутренние угрозы, экраниру¬ ю щ и й к о н ц е н т р а т о р , э к р а н и р у ю щ и й маршрутизатор, п а к е т н ы й фильтр, порт, входная фильтрация, выходная фильтрация, транс портное экранирование, прикладной М Э , комплексный М Э , про¬ зрачность, экранирующий агент, трансляция адресов, простота ис пользования, собственная защищенность, централизованное адми¬ нистрирование, база правил, непротиворечивость базы правил, кон¬ троль «на лету», П О промежуточного слоя, маршрутизация запросов, балансировка нагрузки, многозвенная архитектура клиент/сервер, анализ защищенности, сканер защищенности, база данных уязвимостей, сетевой сканер, антивирусная защита, автообнаружение.
Экранирование Основные понятия Формальная постановка задачи экранирования состоит в следую щем. Пусть имеется два множества и н ф о р м а ц и о н н ы х систем. Э к р а н — это средство разграничения доступа клиентов из одного множества к серве рам из другого множества. Экран осуществляет свои ф у н к ц и и , контроли руя все и н ф о р м а ц и о н н ы е потоки между двумя множествами систем (рис. 12.1). Контроль потоков состоит в их фильтрации, возможно, с вы¬ полнением некоторых преобразований. На следующем уровне детализации э к р а н (полупроницаемую мемб¬ рану) удобно представлять как последовательность фильтров. Каждый из 161
Курс
Основы информационной безопасности
фильтров, проанализировав д а н н ы е , может задержать (не пропустить) их, а может и сразу «перебросить» за экран. К р о м е того, допускается преоб разование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от и м е н и адресата и возврат результата отправителю (рис. 12.2).
Множество информационных систем 1 Клиенты
к-
Серверы
к-
Множество информационных систем 2
Э К Р А Н
Серверы Клиенты
Рис. 12.1. Экран к а к средство разограничения доступа.
Экран х ы н н а д
*Н
Фильтр 1 Анализ фильтруемых данных о и
в т т а с а рр б д о а и ть е к
к
о
отт б
х ы н д а ы
а
е
е
р
р
т
Ё.
е д го а
х ы н д с о р б е р е н а
В
а
ан
м е щ д р л с т а•еч д р е
е
Ф и л ь т р
иль
а
х ы н н а д а с е р д т
р
2
А
е
в
1.1 з
е Рис. 12.2. Р Экран к а к последовательность фильтров. П о м и м о ф у н к ц и й разграничения доступа, э к р а н ы осуществляют протоколирование обмена и н ф о р м а ц и е й . О б ы ч н о э к р а н н е является с и м м е т р и ч н ы м , для него определены п о н я т и я «внутри» и «снаружи». П р и этом задача э к р а н и р о в а н и я ф о р м у лируется к а к защита внутренней области от п о т е н ц и а л ь н о враждебной в н е ш н е й . Так, межсетевые э к р а н ы ( М Э ) ( п р е д л о ж е н н ы й автором п е р е 162
Лекция 12
Экранирование, анализ защищенности
вод английского т е р м и н а firewall) ч а щ е всего устанавливают для з а щ и т ы к о р п о р а т и в н о й сети о р г а н и з а ц и и , и м е ю щ е й выход в Internet (см. следу¬ ю щ и й раздел). Экранирование помогает поддерживать доступность сервисов внут¬ ренней области, уменьшая или вообще ликвидируя нагрузку, вызванную в н е ш н е й активностью. Уменьшается уязвимость внутренних сервисов бе¬ зопасности, поскольку первоначально злоумышленник должен преодо¬ леть экран, где защитные механизмы сконфигурированы особенно тща¬ тельно. К р о м е того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование дает возможность контролировать также информа¬ ц и о н н ы е потоки, направленные во в н е ш н ю ю область, что способствует поддержанию режима конфиденциальности в И С организации. Подчеркнем, что экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где проис¬ ходит обмен сообщениями. В а ж н е й ш и й пример подобной среды — объ ектно-ориентированные программные системы, когда для активизации методов объектов выполняется (по крайней мере, в концептуальном пла не) передача сообщений. Весьма вероятно, что в будущих объектно-ори¬ ентированных средах экранирование станет одним из важнейших инстру¬ ментов разграничения доступа к объектам. Экранирование может быть частичным, з а щ и щ а ю щ и м определен¬ н ы е и н ф о р м а ц и о н н ы е сервисы. Экранирование электронной почты опи¬ сано в статье «Контроль над корпоративной электронной почтой: систе¬ ма «Дозор-Джет»» (Jet Info, 2002, 5). Ограничивающий интерфейс также можно рассматривать как р а з н о в и д н о с т ь э к р а н и р о в а н и я . Н а н е в и д и м ы й объект трудно напа¬ дать, о с о б е н н о с п о м о щ ь ю ф и к с и р о в а н н о г о н а б о р а средств. В э т о м с м ы с л е W e b - и н т е р ф е й с обладает естественной з а щ и т о й , о с о б е н н о в т о м случае, когда г и п е р т е к с т о в ы е д о к у м е н т ы ф о р м и р у ю т с я динамиче¬ с к и . К а ж д ы й пользователь видит л и ш ь то, что ему п о л о ж е н о видеть. М о ж н о провести а н а л о г и ю между д и н а м и ч е с к и ф о р м и р у е м ы м и гипер¬ т е к с т о в ы м и д о к у м е н т а м и и п р е д с т а в л е н и я м и в р е л я ц и о н н ы х базах д а н н ы х , с той с у щ е с т в е н н о й о г о в о р к о й , что в случае Web в о з м о ж н о с т и существенно шире. Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирую¬ щие) ф у н к ц и и при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрыва ется реальная организация данных. 163
Курс
Основы информационной безопасности
Архитектурные аспекты Бороться с угрозами, присущими сетевой среде, средствами универ сальных операционных систем не представляется возможным. Универ сальная ОС — это огромная программа, наверняка содержащая, п о м и м о я в н ы х ошибок, некоторые особенности, которые могут быть использова н ы для нелегального получения привилегий. Современная технология программирования не позволяет сделать столь большие программы безо¬ пасными. К р о м е того, администратор, и м е ю щ и й дело со сложной систе¬ мой, далеко не всегда в состоянии учесть все последствия производимых изменений. Н а к о н е ц , в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и / и л и редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую д е к о м п о з и ц и ю , связанную с обслуживанием различных сетевых протоколов. Межсетевой э к р а н располагается между защищаемой (внутренней) сетью и в н е ш н е й средой ( в н е ш н и м и сетями или другими сегментами к о р поративной сети). В первом случае говорят о в н е ш н е м М Э , во втором — о внутреннем. В зависимости от точки зрения, в н е ш н и й межсетевой экран м о ж н о считать первой или последней (но н и к а к не единственной) лини¬ ей обороны. Первой — если смотреть на м и р глазами внешнего злоумыш¬ ленника. Последней — если стремиться к з а щ и щ е н н о с т и всех компонен¬ тов корпоративной сети и пресечению неправомерных действий внутрен¬ них пользователей. Межсетевой экран — идеальное место для встраивания средств ак¬ тивного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С дру¬ гой стороны, М Э способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в п р и н ц и п е может создать брешь, способствующую атакам на доступность. На межсетевой экран целесообразно возложить идентификацию/ау¬ т е н т и ф и к а ц и ю внешних пользователей, нуждающихся в доступе к корпо¬ ративным ресурсам (с поддержкой к о н ц е п ц и и единого входа в сеть). В силу п р и н ц и п о в эшелонированности обороны для защиты в н е ш них подключений обычно используется двухкомпонентное экранирова н и е (см. рис. 12.3). Первичная фильтрация (например, блокирование па кетов управляющего протокола S N M P , опасного атаками на доступность, 164
Лекция 12
Экранирование, анализ защищенности
или пакетов с определенными IP-адресами, включенными в «черный список») осуществляется граничным маршрутизатором (см. также следу ю щ и й раздел), за которым располагается так называемая демилитаризо ванная зона (сеть с умеренным доверием безопасности, куда выносятся в н е ш н и е и н ф о р м а ц и о н н ы е сервисы организации — Web, электронная почта и т.п.) и основной М Э , з а щ и щ а ю щ и й внутреннюю часть корпора¬ тивной сети.
Внешняя сеть
Граничный маршрутизатор с экранирующими функциями Демилитаризованная зона (внешние информационные сервисы организации: Web-сервер, почтовый сервер и т.п.)
Основной межсетевой экран
Внутренняя сеть
L
Рис. 12.3. Двухкомпонентное экранирование с демилитаризованной зоной. Теоретически межсетевой э к р а н (особенно внутренний) должен быть многопротокольным, однако на практике д о м и н и р о в а н и е семейст¬ ва протоколов T C P / I P столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим). Вообще говоря, и в н е ш н и й , и внутренний межсетевой э к р а н может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к р е ш е н и ю этой проблемы предпола¬ гает разбиение М Э на несколько аппаратных частей и организацию спе¬ циализированных серверов-посредников. Основной межсетевой э к р а н 165
Курс
Основы информационной безопасности
может проводить грубую к л а с с и ф и к а ц и ю входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему H T T P - т р а ф и к ) . Исходящий т р а ф и к снача ла обрабатывается сервером-посредником, который может выполнять и ф у н к ц и о н а л ь н о полезные действия, такие как к э ш и р о в а н и е страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной М Э в частности. Ситуации, когда корпоративная сеть содержит л и ш ь один в н е ш н и й канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких терри¬ ториально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, м о ж н о считать, что корпоративный в н е ш н и й межсетевой экран является составным, и требуется решать задачу согла сованного администрирования (управления и аудита) всех компонентов. Противоположностью составным корпоративным М Э (или их ком¬ понентами) являются персональные межсетевые э к р а н ы и персональные экранирующие устройства. П е р в ы е являются программными продукта м и , которые устанавливаются на персональные компьютеры и защищают только их. Вторые реализуются на отдельных устройствах и защищают не¬ большую локальную сеть, такую как сеть домашнего офиса. П р и развертывании межсетевых экранов следует соблюдать рассмо¬ тренные н а м и ранее п р и н ц и п ы архитектурной безопасности, в первую очередь позаботившись о простоте и управляемости, об э ш е л о н и р о в а н ности обороны, а также о невозможности перехода в небезопасное состо¬ я н и е . К р о м е того, следует принимать во в н и м а н и е не только в н е ш н и е , но и внутренние угрозы.
Классификация межсетевых экранов П р и рассмотрении любого вопроса, касающегося сетевых техноло гий, основой служит семиуровневая эталонная модель ISO/OSI. Межсе¬ тевые э к р а н ы также целесообразно классифицировать по уровню фильт¬ р а ц и и — канальному, сетевому, транспортному или прикладному. Соот¬ ветственно, м о ж н о говорить об экранирующих концентраторах (мостах, коммутаторах) (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Сущест¬ вуют также к о м п л е к с н ы е э к р а н ы , анализирующие и н ф о р м а ц и ю на не¬ скольких уровнях. Фильтрация и н ф о р м а ц и о н н ы х потоков осуществляется межсетевы ми экранами на основе набора правил, являющихся выражением сетевых аспектов политики безопасности организации. В этих правилах, п о м и м о 166
Лекция 12
Экранирование, анализ защищенности
и н ф о р м а ц и и , содержащейся в фильтруемых потоках, могут фигурировать д а н н ы е , полученные из окружения, например, текущее время, количест¬ во активных соединений, порт, через который поступил сетевой запрос, и т.д. Таким образом, в межсетевых экранах используется очень м о щ н ы й логический подход к разграничению доступа. Возможности межсетевого экрана непосредственно определяются тем, какая и н ф о р м а ц и я может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Вообще говоря, чем в ы ш е уровень в модели ISO/OSI, на котором функционирует М Э , тем более со¬ держательная и н ф о р м а ц и я ему доступна и, следовательно, тем тоньше и надежнее он может быть сконфигурирован. Э к р а н и р у ю щ и е маршрутизаторы (и концентраторы) имеют дело с отдельными пакетами данных, поэтому иногда их называют пакетными фильтрами. Р е ш е н и я о том, пропустить или задержать д а н н ы е , п р и н и м а ются для каждого пакета независимо, на основании анализа адресов и других полей заголовков сетевого (канального) и, быть может, транспорт¬ ного уровней. Е щ е один важный компонент анализируемой и н ф о р м а ц и и — порт, через который поступил пакет. Э к р а н и р у ю щ и е концентраторы являются средством не столько раз граничения доступа, сколько оптимизации работы локальной сети за счет организации так называемых виртуальных локальных сетей. Последние м о ж н о считать важным результатом п р и м е н е н и я внутреннего межсетево го экранирования. Современные маршрутизаторы позволяют связывать с каждым п о р том несколько десятков правил и фильтровать пакеты как на входе, так и на выходе. В п р и н ц и п е , в качестве пакетного фильтра может использо¬ ваться и универсальный компьютер, снабженный несколькими сетевыми картами. Основные достоинства экранирующих маршрутизаторов — доступ¬ ная цена (на границе сетей маршрутизатор нужен практически всегда, во¬ прос л и ш ь в том, как задействовать его э к р а н и р у ю щ и е возможности) и прозрачность для более высоких уровней модели OSI. Основной недоста¬ ток — ограниченность анализируемой и н ф о р м а ц и и и, как следствие, от¬ носительная слабость обеспечиваемой защиты. Транспортное экранирование позволяет контролировать процесс ус тановления виртуальных соединений и передачу и н ф о р м а ц и и по ним. С точки зрения реализации э к р а н и р у ю щ и й транспорт представляет собой довольно простую, а значит, надежную программу. П о сравнению с пакетными фильтрами, транспортное экранирова¬ н и е обладает большей и н ф о р м а ц и е й , поэтому соответствующий М Э мо¬ жет осуществлять более т о н к и й контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой и н ф о р м а 167
Курс
Основы информационной безопасности
ц и и и разрывать соединения после превышения определенного порога, препятствуя тем самым несанкционированному экспорту и н ф о р м а ц и и ) . Аналогично, возможно накопление более содержательной регистрацион ной и н ф о р м а ц и и . Главный недостаток — сужение области п р и м е н е н и я , поскольку вне контроля остаются датаграммные протоколы. Обычно транспортное экранирование применяют в сочетании с другими подхода¬ м и , как важный дополнительный элемент. Межсетевой э к р а н , ф у н к ц и о н и р у ю щ и й на прикладном уровне, спо¬ собен обеспечить наиболее надежную защиту. К а к правило, подобный М Э представляет собой универсальный компьютер, на котором функци¬ онируют экранирующие агенты, интерпретирующие протоколы приклад¬ ного уровня (HTTP, FTP, SMTP, telnet и т.д.) в той степени, которая необ ходима для обеспечения безопасности. П р и использовании прикладных М Э , п о м и м о фильтрации, реализу¬ ется еще один важнейший аспект экранирования. Субъекты из в н е ш н е й сети видят только шлюзовой компьютер; соответственно, им доступна только та и н ф о р м а ц и я о внутренней сети, которую он считает нужным экспортировать. Прикладной М Э на самом деле экранирует, то есть зас¬ лоняет, внутреннюю сеть от внешнего мира. В то ж е время, субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира. Недостаток прикладных М Э — отсутствие полной проз¬ рачности, требующее специальных действий для поддержки каждого прикладного протокола. Если организация располагает исходными текстами прикладного М Э и в состоянии эти тексты модифицировать, перед ней открываются чрезвычайно ш и р о к и е возможности по настройке экрана с учетом собст¬ венных нужд. Дело в том, что при разработке систем клиент/сервер в многозвенной архитектуре появляются специфические прикладные п р о токолы, нуждающиеся в защите не меньше стандартных. Подход, о с н о в а н н ы й на использовании экранирующих агентов, позволяет построить такую защиту, не снижая безопасности и эффективности других приложе н и й и не усложняя структуру связей в межсетевом экране. К о м п л е к с н ы е межсетевые э к р а н ы , охватывающие уровни от сетево¬ го до прикладного, соединяют в себе лучшие свойства «одноуровневых» М Э разных видов. З а щ и т н ы е ф у н к ц и и выполняются к о м п л е к с н ы м и М Э прозрачным для приложений образом, не требуя внесения каких-либо и з м е н е н и й н и в существующее программное обеспечение, н и в действия, ставшие для пользователей п р и в ы ч н ы м и . Комплексность М Э может достигаться р а з н ы м и способами: «снизу вверх», от сетевого уровня через накопление контекста к прикладному уровню, или «сверху вниз», посредством д о п о л н е н и я прикладного М Э механизмами транспортного и сетевого уровней. 168
Лекция 12
Экранирование, анализ защищенности
П о м и м о выразительных возможностей и допустимого количества правил, качество межсетевого экрана определяется еще двумя очень важ н ы м и характеристиками — простотой использования и собственной за щ и щ е н н о с т ь ю . В плане простоты использования первостепенное значе н и е имеют наглядный интерфейс при определении правил фильтрации и возможность централизованного администрирования составных конфи¬ гураций. В свою очередь, в последнем аспекте хотелось бы выделить сред¬ ства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной и н ф о р м а ц и и , а также получение сигналов о попытках в ы п о л н е н и я действий, запрещенных политикой безопасности. Собственная защищенность межсетевого экрана обеспечивается те м и ж е средствами, что и защищенность универсальных систем. Имеется в виду физическая защита, и д е н т и ф и к а ц и я и аутентификация, разграниче¬ н и е доступа, контроль целостности, протоколирование и аудит. П р и вы¬ п о л н е н и и централизованного администрирования следует также позабо титься о защите и н ф о р м а ц и и от пассивного и активного прослушивания сети, то есть обеспечить ее ( и н ф о р м а ц и и ) целостность и конфиденциаль¬ ность. К р а й н е важно оперативное наложение заплат, ликвидирующих в ы я в л е н н ы е уязвимые места М Э . Хотелось бы подчеркнуть, что природа экранирования как сервиса безопасности очень глубока. П о м и м о блокирования потоков данных, на¬ рушающих политику безопасности, межсетевой э к р а н может скрывать и н ф о р м а ц и ю о защищаемой сети, тем самым затрудняя действия потен циальных злоумышленников. М о щ н ы м методом сокрытия и н ф о р м а ц и и является трансляция «внутренних» сетевых адресов, которая попутно ре шает проблему р а с ш и р е н и я адресного пространства, выделенного орга¬ низации. Отметим также следующие дополнительные возможности межсете¬ вых экранов: • контроль и н ф о р м а ц и о н н о г о н а п о л н е н и я (антивирусный конт роль «на лету», в е р и ф и к а ц и я Java-апплетов, выявление ключе вых слов в электронных сообщениях и т.п.); • в ы п о л н е н и е ф у н к ц и й П О промежуточного слоя. Особенно важным представляется последний из перечисленных ас пектов. П О промежуточного слоя, как и традиционные межсетевые экра н ы прикладного уровня, скрывает и н ф о р м а ц и ю о предоставляемых услу гах. За счет этого о н о может выполнять такие ф у н к ц и и , как маршрутиза ц и я запросов и балансировка нагрузки. Представляется вполне естест¬ в е н н ы м , чтобы эти возможности были реализованы в рамках межсетево¬ го экрана. Это существенно упрощает действия по обеспечению высокой доступности экспортируемых сервисов и позволяет осуществлять пере169
Курс
Основы информационной безопасности
ключение на резервные м о щ н о с т и прозрачным для внешних пользовате лей образом. В результате к услугам, традиционно предоставляемым меж сетевыми экранами, добавляется поддержка высокой доступности сете¬ вых сервисов. П р и м е р современного межсетевого экрана представлен в статье «Z2 — универсальный межсетевой э к р а н высшего уровня защиты» (Jet Info, 2002, 5).
Анализ защищенности Сервис анализа защищенности предназначен для выявления уязви мых мест с целью их оперативной ликвидации. Сам по себе этот сервис н и от чего н е защищает, н о помогает обнаружить (и устранить) пробелы в за¬ щите раньше, чем их сможет использовать злоумышленник. В первую очередь, имеются в виду н е архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате о ш и б о к администриро вания или из-за н е в н и м а н и я к обновлению версий программного обеспе чения. Системы анализа защищенности (называемые также сканерами за¬ щ и щ е н н о с т и ) , к а к и рассмотренные в ы ш е средства активного аудита, ос¬ нованы на накоплении и использовании знаний. В д а н н о м случае имеют¬ ся в виду з н а н и я о пробелах в защите: о том, к а к их искать, насколько о н и серьезны и к а к их устранять. Соответственно, ядром таких систем является база уязвимых мест, которая определяет доступный диапазон возможностей и требует практи чески постоянной актуализации. В п р и н ц и п е , могут выявляться бреши самой р а з н о й природы: на¬ л и ч и е вредоносного П О (в частности, вирусов), слабые пароли пользо¬ вателей, неудачно с к о н ф и г у р и р о в а н н ы е о п е р а ц и о н н ы е системы, небе¬ з о п а с н ы е сетевые сервисы, неустановленные заплаты, уязвимости в п р и л о ж е н и я х и т.д. Однако наиболее э ф ф е к т и в н ы м и я в л я ю т с я сетевые с к а н е р ы ( о ч е в и д н о , в силу д о м и н и р о в а н и я с е м е й с т в а п р о т о к о л о в T C P / I P ) , а также антивирусные средства. Антивирусную защиту м ы п р и ч и с л я е м к средствам анализа з а щ и щ е н н о с т и , н е считая ее отдель¬ н ы м сервисом безопасности. Сканеры могут выявлять уязвимые места к а к путем пассивного ана лиза, то есть изучения конфигурационных файлов, задействованных пор¬ тов и т. п., так и путем имитации действий атакующего. Некоторые най¬ д е н н ы е уязвимые места могут устраняться автоматически (например, л е чение зараженных файлов), о других сообщается администратору. Системы анализа защищенности снабжены т р а д и ц и о н н ы м «техно¬ логическим сахаром»: автообнаружением компонентов анализируемой 170
Лекция 12
Экранирование, анализ защищенности
И С и графическим интерфейсом (помогающим, в частности, эффектив¬ но работать с протоколом сканирования). С возможностями свободно распространяемого сканера Nessus мож но ознакомиться, прочитав статью «Сканер з а щ и щ е н н о с т и Nessus: у н и кальное предложение на российском рынке» (Jet Info, 2000, 10). Контроль, обеспечиваемый системами анализа з а щ и щ е н н о с т и , но¬ сит реактивный, запаздывающий характер, он н е защищает от новых атак, однако следует помнить, что оборона должна быть эшелонирован¬ н о й , и в качестве одного из рубежей контроль з а щ и щ е н н о с т и вполне адекватен. Отметим также, что подавляющее большинство атак носит ру¬ т и н н ы й характер; о н и возможны только потому, что известные бреши в защите годами остаются неустраненными.
171
Курс
Основы информационной безопасности
Л е к ц и я 13. О б е с п е ч е н и е в ы с о к о й д о с т у п н о с т и
Рассматриваются два вида средств поддержания высокой доступности: обес печение отказоустойчивости (нейтрализация отказов, живучесть) и обеспе чение безопасного и быстрого восстановления после отказов (обслуживае мость). Ключевые слова: высокая доступность, и н ф о р м а ц и о н н ы й сервис, эффективность сервиса, время недоступности, отказоустойчивые системы, отказ, интенсивность отказов, среднее время наработки на отказ, слабое звено, показатель эффективности, избыточность, го¬ товность, к о э ф ф и ц и е н т готовности, структуризация, архитектурная безопасность, безотказность, пассивная безопасность, отказоустой чивость, нейтрализация отказов, живучесть, обслуживаемость, безо¬ пасное восстановление, полнота, систематичность, карта И С , зона поражения, зона риска, зона нейтрализации, одиночная точка отка¬ за, резервирование, локальные меры, распределенные меры, тира¬ жирование, симметричное тиражирование, асимметричное тиражи¬ рование, синхронное тиражирование, асинхронное тиражирование, тиражирование внутренними средствами, тиражирование внешни¬ ми средствами, «горячий» резерв, «теплый» резерв, программное обеспечение промежуточного слоя ( П О П С ) , маршрутизация запро¬ сов, балансировка загрузки, тиражирование прикладных данных, отслеживание состояния приложений, переконфигурирование, н а ращивание, у н и ф и к а ц и я , модульность, автоматическое обнаруже ние отказов, динамическое переконфигурирование, замена в горя чем режиме, изоляция отказавших компонентов, сохранение рабо¬ тоспособности сервисов, (обслуживаемость пользователей).
Доступность Основные понятия И н ф о р м а ц и о н н а я система предоставляет своим пользователям о п ределенный набор услуг (сервисов). Говорят, что обеспечен нужный уро вень доступности этих сервисов, если следующие показатели находятся в заданных пределах: Эффективность услуг. Эффективность услуги определяется в терми нах максимального времени обслуживания запроса, количества под172
Лекция 13
Обеспечение высокой доступности
держиваемых пользователей и т.п. Требуется, чтобы эффективность не опускалась н и ж е заранее установленного порога. Время недоступности. Если эффективность и н ф о р м а ц и о н н о й услуги не удовлетворяет н а л о ж е н н ы м ограничениям, услуга считается н е доступной. Требуется, чтобы максимальная продолжительность п е риода недоступности и суммарное время недоступности за некото рой период (месяц, год) не превышали заранее заданных пределов. В сущности, требуется, чтобы и н ф о р м а ц и о н н а я система почти все гда работала с нужной эффективностью. Для некоторых критически важ ных систем (например, систем управления) время недоступности должно быть нулевым, без всяких «почти». В таком случае говорят о вероятности в о з н и к н о в е н и я ситуации недоступности и требуют, чтобы эта вероят ность не превышала заданной величины. Для р е ш е н и я д а н н о й задачи с о здавались и создаются специальные отказоустойчивые системы, стои¬ мость которых, как правило, весьма высока. К подавляющему большинству коммерческих систем предъявляются менее жесткие требования, однако современная деловая ж и з н ь и здесь на кладывает достаточно суровые ограничения, когда число обслуживаемых пользователей может измеряться тысячами, время ответа не должно превы шать нескольких секунд, а время недоступности — нескольких часов в год. Задачу обеспечения высокой доступности необходимо решать для современных конфигураций, построенных в технологии клиент/сервер. Это означает, что в защите нуждается вся цепочка — от пользователей (возможно, удаленных) до критически важных серверов (в том числе сер¬ веров безопасности). Основные угрозы доступности были рассмотрены нами ранее. В соответствии с ГОСТ 27.002, под отказом понимается событие, к о торое заключается в нарушении работоспособности изделия. В контексте данной работы изделие — это и н ф о р м а ц и о н н а я система или ее компонент. В простейшем случае м о ж н о считать, что отказы любого компонен¬ та составного изделия ведут к общему отказу, а распределение отказов во времени представляет собой простой пуассоновский поток событий. В та ком случае вводят понятие интенсивности отказов и среднего времени н а р а б о т к и на о т к а з , к о т о р ы е с в я з а н ы между собой с о о т н о ш е н и е м Ti
=
1
>ч где i — номер компонента, К— интенсивность отказов, T — среднее вре м я наработки на отказ. Интенсивности отказов независимых компонентов складываются: К = }ц + ... + K
n
173
Курс
Основы информационной безопасности
а среднее время наработки на отказ для составного изделия задается соот¬ ношением T
=
1
Уже эти простейшие выкладки показывают, что если существует компонент, интенсивность отказов которого много больше, чем у осталь¬ ных, то и м е н н о он определяет среднее время наработки на отказ всей и н ф о р м а ц и о н н о й системы. Это является теоретическим обоснованием п р и н ц и п а первоочередного укрепления самого слабого звена. Пуассоновская модель позволяет обосновать еще одно очень важ н о е п о л о ж е н и е , состоящее в том, что э м п и р и ч е с к и й подход к построе¬ н и ю систем высокой доступности не может быть реализован за приемле¬ мое время. П р и т р а д и ц и о н н о м ц и к л е тестирования/отладки программ¬ н о й системы по оптимистическим о ц е н к а м каждое исправление о ш и б к и приводит к э к с п о н е н ц и а л ь н о м у убыванию (примерно на половину деся тичного порядка) интенсивности отказов. Отсюда следует, что для того, чтобы на опыте убедиться в д о с т и ж е н и и необходимого уровня доступно сти, независимо от п р и м е н я е м о й технологии тестирования и отладки, придется потратить время, практически равное среднему времени нара ботки на отказ. Н а п р и м е р , для достижения среднего времени наработки на отказ 10 часов потребуется более 10 часов, что составляет более трех лет. Значит, нужны и н ы е методы построения систем высокой доступнос¬ ти, методы, э ф ф е к т и в н о с т ь которых доказана аналитически или практи¬ чески за более ч е м пятьдесят лет развития вычислительной техники и программирования. Пуассоновская модель п р и м е н и м а в тех случаях, когда и н ф о р м а ц и о н н а я система содержит одиночные точки отказа, то есть к о м п о н е н т ы , выход которых из строя ведет к отказу всей системы. Для исследования систем с резервированием применяется и н о й формализм. В соответствии с постановкой задачи будем считать, что существует количественная мера эффективности предоставляемых изделием и н ф о р м а ц и о н н ы х услуг. В таком случае вводятся понятия показателей э ф ф е к тивности отдельных элементов и э ф ф е к т и в н о с т и ф у н к ц и о н и р о в а н и я всей сложной системы. В качестве меры доступности можно принять вероятность приемле мости эффективности услуг, предоставляемых информационной системой, на всем протяжении рассматриваемого отрезка времени. Чем большим за¬ пасом эффективности располагает система, тем выше ее доступность. П р и наличии избыточности в конфигурации системы вероятность того, что в рассматриваемый промежуток времени эффективность ин¬ ф о р м а ц и о н н ы х сервисов не опустится н и ж е допустимого предела, зави5
4,5
174
Лекция 13
Обеспечение высокой доступности
сит не только от вероятности отказа компонентов, но и от времени, в те ч е н и е которого они остаются неработоспособными, поскольку при этом суммарная эффективность падает, и каждый следующий отказ может стать фатальным. Чтобы максимально увеличить доступность системы, необходимо минимизировать время неработоспособности каждого к о м понента. К р о м е того, следует учитывать, что, вообще говоря, р е м о н т н ы е работы могут потребовать п о н и ж е н и я эффективности или даже времен ного отключения работоспособных компонентов; такого рода в л и я н и е также необходимо минимизировать. Несколько терминологических замечаний. Обычно в литературе по теории надежности вместо доступности говорят о готовности (в том ч и с ле о высокой готовности). М ы предпочли термин «доступность», чтобы подчеркнуть, что и н ф о р м а ц и о н н ы й сервис должен быть не просто «го¬ тов» сам по себе, но доступен для своих пользователей в условиях, когда ситуации недоступности могут вызываться п р и ч и н а м и , на первый взгляд не и м е ю щ и м и прямого отношения к сервису (пример — отсутствие к о н сультационного обслуживания). Далее, вместо времени недоступности обычно говорят о к о э ф ф и ц и енте готовности. Нам хотелось обратить в н и м а н и е на два показателя — длительность однократного простоя и суммарную продолжительность простоев, поэтому м ы предпочли термин «время недоступности» как бо¬ лее емкий.
Основы мер обеспечения высокой доступности Основой мер п о в ы ш е н и я доступности является п р и м е н е н и е струк¬ турированного подхода, нашедшего воплощение в объектно-ориентиро¬ ванной методологии. Структуризация необходима по о т н о ш е н и ю ко всем аспектам и составным частям и н ф о р м а ц и о н н о й системы — от архитекту¬ р ы до административных баз данных, на всех этапах ее ж и з н е н н о г о цик¬ ла — от и н и ц и а ц и и до выведения из эксплуатации. Структуризация, важ ная сама по себе, является одновременно необходимым условием практи ческой реализуемости прочих мер п о в ы ш е н и я доступности. Только ма¬ ленькие системы м о ж н о строить и эксплуатировать как угодно. У боль¬ ш и х систем свои законы, которые, к а к м ы уже указывали, программисты впервые осознали более 30 лет назад. П р и разработке мер обеспечения высокой доступности и н ф о р м а ц и о н н ы х сервисов рекомендуется руководствоваться следующими архитек турными п р и н ц и п а м и , рассматривавшимися ранее: • апробированность всех процессов и составных частей инфор¬ м а ц и о н н о й системы; • у н и ф и к а ц и я процессов и составных частей; 175
Курс
Основы информационной безопасности
• управляемость процессов, контроль состояния частей; • автоматизация процессов; • модульность архитектуры; • ориентация на простоту решений. Доступность системы в общем случае достигается за счет п р и м е н е н и я трех групп мер, направленных на повышение: • безотказности (под этим понимается м и н и м и з а ц и я вероятнос ти возникновения какого-либо отказа; это элемент пассивной безопасности, который дальше рассматриваться не будет); • отказоустойчивости (способности к нейтрализации отказов, «живучести», то есть способности сохранять требуемую э ф ф е к тивность, несмотря на отказы отдельных компонентов); • обслуживаемости (под обслуживаемостью понимается м и н и мизация времени простоя отказавших компонентов, а также отрицательного в л и я н и я ремонтных работ на эффективность и н ф о р м а ц и о н н ы х сервисов, то есть быстрое и безопасное вос¬ становление после отказов). Главное при разработке и реализации мер обеспечения высокой д о ступности — полнота и систематичность. В этой связи представляется ц е лесообразным составить (и поддерживать в актуальном состоянии) карту и н ф о р м а ц и о н н о й системы организации (на что м ы уже обращали внима¬ ние), в которой фигурировали бы все объекты И С , их состояние, связи между н и м и , процессы, ассоциируемые с объектами и связями. С помо¬ щью подобной карты удобно формулировать намечаемые меры, контро¬ лировать их исполнение, анализировать состояние И С .
Отказоустойчивость и зона риска И н ф о р м а ц и о н н у ю систему м о ж н о представить в виде графа серви¬ сов, ребра в котором соответствуют о т н о ш е н и ю «сервис A непосредствен но использует сервис В». Пусть в результате осуществления некоторой атаки (источником к о торой может быть как человек, так и явление природы) выводится из строя подмножество сервисов S (то есть эти сервисы в результате н а н е сенных повреждений становятся неработоспособными). Назовем S з о ной поражения. В зону риска S м ы будем включать все сервисы, эффективность ко¬ торых при осуществлении атаки падает н и ж е допустимого предела. Оче¬ видно, S1 — подмножество S. S строго включает S , когда имеются серви сы, непосредственно не затронутые атакой, но критически зависящие от пораженных, то есть неспособные переключиться на использование э к вивалентных услуг либо в силу отсутствия таковых, либо в силу невоз1
1
1
176
Лекция 13
Обеспечение высокой доступности
можности доступа к н и м . Н а п р и м е р , зона поражения может сводиться к одному порту концентратора, обслуживающему к р и т и ч н ы й сервер, а зо¬ на риска охватывает все рабочие места пользователей сервера. Ч т о б ы система не содержала одиночных точек отказа, то есть оста¬ валась «живучей» п р и реализации любой из рассматриваемых угроз, н и одна зона риска не должна включать в себя предоставляемые услуги. Н е й т р а л и з а ц и ю отказов нужно выполнять внутри системы, незаметно для пользователей, за счет р а з м е щ е н и я достаточного количества избы¬ точных ресурсов. С другой стороны, естественно соизмерять усилия по обеспечению «живучести» с рассматриваемыми угрозами. Когда рассматривается на бор угроз, соответствующие им зоны поражения могут оказаться вложен¬ н ы м и , так что «живучесть» по о т н о ш е н и ю к более серьезной угрозе авто¬ матически влечет за собой и «живучесть» в более легких случаях. Следует учитывать, однако, что обычно стоимость переключения на резервные ресурсы растет вместе с увеличением объема этих ресурсов. Значит, для наиболее вероятных угроз целесообразно минимизировать зону риска, даже если предусмотрена нейтрализация объемлющей угрозы. Нет с м ы с ла переключаться на резервный вычислительный центр только потому, что у одного из серверов вышел из строя блок питания. Зону риска м о ж н о трактовать не только как совокупность ресурсов, но и как часть пространства, затрагиваемую при реализации угрозы. В та¬ ком случае, к а к правило, чем больше расстояние дублирующего ресурса от границ зоны риска, тем в ы ш е стоимость его поддержания, поскольку увеличивается протяженность л и н и й связи, время переброски персонала и т.п. Это еще один довод в пользу адекватного противодействия угрозам, который следует принимать во в н и м а н и е при размещении избыточных ресурсов и, в частности, при организации резервных центров. Введем еще одно понятие. Назовем зоной нейтрализации угрозы со¬ вокупность ресурсов, вовлеченных в нейтрализацию отказа, возникшего вследствие реализации угрозы. Имеются в виду ресурсы, режим работы которых в случае отказа изменяется. Очевидно, зона риска является под¬ множеством зоны нейтрализации. Ч е м меньше разность между н и м и , тем э к о н о м и ч н е е д а н н ы й механизм нейтрализации. Все, что находится вне зоны нейтрализации, отказа «не чувствует» и может трактовать внутренность этой зоны как безотказную. Таким обра¬ зом, в иерархически организованной системе грань между «живучестью» и обслуживаемостью, с одной стороны, и безотказностью, с другой сторо¬ н ы , относительна. Целесообразно конструировать целостную информа¬ ц и о н н у ю систему из компонентов, которые на верхнем уровне м о ж н о считать безотказными, а вопросы «живучести» и обслуживаемости ре¬ шать в пределах каждого компонента. 177
Курс
Основы информационной безопасности
Обеспечение отказоустойчивости О с н о в н ы м средством п о в ы ш е н и я «живучести» является внесение избыточности в конфигурацию аппаратных и программных средств, под¬ держивающей инфраструктуры и персонала, резервирование техничес¬ ких средств и тиражирование и н ф о р м а ц и о н н ы х ресурсов (программ и данных). Меры по обеспечению отказоустойчивости м о ж н о разделить на ло¬ кальные и распределенные. Локальные меры направлены на достижение «живучести» отдельных компьютерных систем или их аппаратных и про¬ граммных компонентов (в первую очередь с целью нейтрализации внут¬ ренних отказов И С ) . Типичные примеры подобных мер — использование кластерных конфигураций в качестве платформы критичных серверов или «горячее» резервирование активного сетевого оборудования с авто¬ матическим переключением на резерв. Если в число рассматриваемых р и с к о в входят серьезные аварии под держивающей инфраструктуры, приводящие к выходу из строя производ¬ ственной площадки организации, следует предусмотреть распределенные меры обеспечения живучести, такие как создание или аренда резервного вычислительного центра. П р и этом, п о м и м о дублирования и / и л и тира ж и р о в а н и я ресурсов, необходимо предусмотреть средства автоматическо го или быстрого ручного переконфигурирования компонентов И С , чтобы обеспечить переключение с основной площадки на резервную. Аппаратура — относительно статичная составляющая, однако было бы о ш и б к о й полностью отказывать ей в динамичности. В большинстве организаций и н ф о р м а ц и о н н ы е системы находятся в постоянном разви тии, поэтому на протяжении всего ж и з н е н н о г о цикла И С следует соотно сить все изменения с необходимостью обеспечения «живучести», не за¬ бывать «тиражировать» новые и м о д и ф и ц и р о в а н н ы е компоненты. Программы и д а н н ы е более д и н а м и ч н ы , чем аппаратура, и резерви¬ роваться о н и могут постоянно, при каждом изменении, после заверше н и я некоторой логически замкнутой группы изменений или по истече¬ н и и определенного времени. Резервирование программ и данных может выполняться многими способами — за счет зеркалирования дисков, резервного копирования и восстановления, репликации баз данных и т.п. Будем использовать для всех перечисленных способов термин «тиражирование». Выделим следующие классы тиражирования: Симметричное/асимметричное. Тиражирование называется симмет р и ч н ы м , если все серверы, предоставляющие д а н н ы й сервис, могут изменять принадлежащую им и н ф о р м а ц и ю и передавать изменения другим серверам. В противном случае тиражирование называется асимметричным. 178
Лекция 13
Обеспечение высокой доступности
Синхронное/асинхронное. Тиражирование называется синхронным, если и з м е н е н и е передается всем экземплярам сервиса в рамках од¬ ной распределенной транзакции. В противном случае тиражирова¬ ние называется асинхронным. Осуществляемое средствами сервиса, хранящего информацию/внеш¬ н и м и средствами. Рассмотрим, какие способы тиражирования предпочтительнее. Безусловно, следует предпочесть стандартные средства тиражирова¬ н и я , встроенные в сервис. Асимметричное тиражирование теоретически п р о щ е симметрично¬ го, поэтому целесообразно выбрать асимметрию. Труднее всего выбрать между с и н х р о н н ы м и асинхронным тиражи¬ рованием. Синхронное идейно п р о щ е , но его реализация может быть т я желовесной и сложной, хотя это внутренняя сложность сервиса, невиди мая для приложений. Асинхронное тиражирование устойчивее к отказам в сети, оно м е н ь ш е влияет на работу основного сервиса. Ч е м надежнее связь между серверами, в о в л е ч е н н ы м и в процесс т и р а ж и р о в а н и я , чем м е н ь ш е время, отводимое на п е р е к л ю ч е н и е с о с н о в ного сервера на р е з е р в н ы й , ч е м жестче требования к актуальности и н ф о р м а ц и и , тем более предпочтительным оказывается с и н х р о н н о е тира¬ жирование. С другой с т о р о н ы , недостатки а с и н х р о н н о г о т и р а ж и р о в а н и я могут к о м п е н с и р о в а т ь с я п р о ц е д у р н ы м и и п р о г р а м м н ы м и м е р а м и , направлен¬ н ы м и на к о н т р о л ь целостности и н ф о р м а ц и и в распределенной И С . С е р в и с ы , входящие в состав И С , в с о с т о я н и и обеспечить ведение и хра н е н и е журналов т р а н з а к ц и й , с п о м о щ ь ю которых м о ж н о выявлять о п е р а ц и и , у т е р я н н ы е при п е р е к л ю ч е н и и на р е з е р в н ы й сервер. Д а ж е в усло виях неустойчивой связи с удаленными ф и л и а л а м и о р г а н и з а ц и и подоб н а я проверка в ф о н о в о м р е ж и м е займет не более н е с к о л ь к и х часов, п о этому а с и н х р о н н о е т и р а ж и р о в а н и е может использоваться практически в любой И С . Асинхронное тиражирование может производиться на сервер, рабо т а ю щ и й в режиме «горячего» резерва, возможно, даже обслуживающего часть пользовательских запросов, или на сервер, работающий в режиме «теплого» резерва, когда изменения периодически «накатываются», но сам резервный сервер запросов не обслуживает. Д о с т о и н с т в о «теплого» р е з е р в и р о в а н и я в т о м , что его м о ж н о р е а л и з о в а т ь , о к а з ы в а я м е н ь ш е е в л и я н и е на о с н о в н о й сервер. Это влия¬ н и е в о о б щ е может быть с в е д е н о к н у л ю , если а с и н х р о н н о е тиражиро¬ в а н и е о с у щ е с т в л я е т с я путем п е р е д а ч и и н к р е м е н т а л ь н ы х к о п и й с о с н о в н о г о сервера ( р е з е р в н о е к о п и р о в а н и е н е о б х о д и м о в ы п о л н я т ь в л ю б о м случае). 179
Курс
Основы информационной безопасности
Основной недостаток «теплого» резерва состоит в длительном вре¬ мени включения, что может быть неприемлемо для «тяжелых» серверов, таких как кластерная конфигурация сервера СУБД. Здесь необходимо проводить измерения в условиях, близких к реальным. Второй недостаток «теплого» резерва вытекает из опасности малых изменений. Может оказаться, что в самый н у ж н ы й момент срочный пе¬ ревод резерва в штатный режим невозможен. Учитывая приведенные соображения, следует в первую очередь рас сматривать возможность «горячего» резервирования, либо тщательно контролировать использование «теплого» резерва и регулярно (не реже одного раза в неделю) проводить пробные переключения резерва в «горя¬ чий» режим.
Программное обеспечение промежуточного слоя С п о м о щ ь ю программного обеспечения промежуточного слоя ( П О П С ) м о ж н о для произвольных прикладных сервисов добиться высокой «живучести» с полностью прозрачным для пользователей переключением на резервные мощности. О возможностях и свойствах П О промежуточного слоя м о ж н о п р о читать в статье Ф. Бернстайна «Middleware: модель сервисов распределен ной системы» (Jet Info, 1997, 11). Перечислим основные достоинства П О П С , существенные для обес печения высокой доступности. • П О П С уменьшает сложность создания распределенных с и с тем. Подобное П О берет на себя часть ф у н к ц и й , которые в л о кальном случае выполняют о п е р а ц и о н н ы е системы; • П О П С берет на себя маршрутизацию запросов, позволяя тем самым обеспечить «живучесть» прозрачным для пользователей образом; • П О П С осуществляет балансировку загрузки вычислительных мощностей, что также способствует п о в ы ш е н и ю доступности данных; • П О П С в состоянии осуществлять тиражирование любой ин¬ ф о р м а ц и и , а не только содержимого баз данных. Следователь¬ но, любое приложение м о ж н о сделать устойчивым к отказам серверов; • П О П С в состоянии отслеживать состояние приложений и при необходимости тиражировать и перезапускать программы, что гарантирует «живучесть» программных систем; • П О П С дает возможность прозрачным для пользователей обра зом выполнять переконфигурирование (и, в частности, нара180
Лекция 13
Обеспечение высокой доступности
щивание) серверных компонентов, что позволяет масштабиро вать систему, сохраняя инвестиции в прикладные системы. Ста бильность прикладных систем — важный фактор п о в ы ш е н и я доступности данных. Ранее мы упоминали о достоинствах использования П О П С в рамках межсетевых экранов, которые в таком случае становятся элементом обеспе чения отказоустойчивости предоставляемых информационных сервисов.
Обеспечение обслуживаемости М е р ы по обеспечению обслуживаемости направлены на с н и ж е н и е сроков диагностирования и устранения отказов и их последствий. Для обеспечения обслуживаемости рекомендуется соблюдать следу¬ ю щ и е архитектурные п р и н ц и п ы : • ориентация на построение и н ф о р м а ц и о н н о й системы из у н и ф и ц и р о в а н н ы х компонентов с целью упрощения замены отка¬ завших частей; • ориентация на р е ш е н и я модульной структуры с возможностью автоматического обнаружения отказов, динамического пере конфигурирования аппаратных и программных средств и заме н ы отказавших компонентов в «горячем» режиме. Динамическое переконфигурирование преследует две основные цели: • изоляция отказавших компонентов; • сохранение работоспособности сервисов. И з о л и р о в а н н ы е к о м п о н е н т ы образуют зону поражения реализован н о й угрозы. Ч е м м е н ь ш е соответствующая зона риска, тем в ы ш е обслу живаемость сервисов. Так, при отказах блоков питания, вентиляторов и / и л и д и с к о в в современных серверах зона риска ограничивается отка¬ завшим компонентом; при отказах процессорных модулей весь сервер может потребовать перезагрузки (что способно вызвать дальнейшее рас¬ ш и р е н и е зоны риска). Очевидно, в идеальном случае зоны поражения и риска совпадают, и современные серверы и активное сетевое оборудова¬ ние, а также программное обеспечение ведущих производителей весьма близки к этому идеалу. Возможность программирования реакции на отказ также повышает обслуживаемость систем. Каждая организация может выбрать свою стра тегию реагирования на отказы тех или иных аппаратных и программных компонентов и автоматизировать эту реакцию. Так, в простейшем случае возможна отправка сообщения системному администратору, чтобы уско¬ рить начало ремонтных работ; в более сложном случае может быть реали¬ зована процедура «мягкого» выключения (переключения) сервиса, чтобы упростить обслуживание. 181
Курс
Основы информационной безопасности
Возможность удаленного в ы п о л н е н и я административных действий — важное направление п о в ы ш е н и я обслуживаемости, поскольку при этом ускоряется начало восстановительных мероприятий, а в идеале все работы (обычно связанные с обслуживанием программных компонентов) выполняются в удаленном режиме, без перемещения к в а л и ф и ц и р о в а н ного персонала, то есть с высоким качеством и в кратчайшие сроки. Для современных систем возможность удаленного администрирования — стандартное свойство, но важно позаботиться о его практической реали зуемости в условиях разнородности конфигураций (в первую очередь клиентских). Централизованное распространение и конфигурирование программного обеспечения, управление компонентами информацион¬ ной системы и диагностирование — надежный фундамент технических мер п о в ы ш е н и я обслуживаемости. Существенный аспект п о в ы ш е н и я обслуживаемости — организация консультационной службы для пользователей (обслуживаемость пользо вателей), внедрение программных систем для работы этой службы, обес печение достаточной пропускной способности каналов связи с пользова телями, в том числе в режиме пиковых нагрузок.
182
Лекция 14
Туннелирование и управление
Лекция 14. Туннелирование и управление
Рассматриваются два сервиса безопасности очень разного масштаба — тун нелирование и управление. Ключевые слова: туннелирование, туннель, конвертование, оберты¬ вание, конфиденциальность, конфиденциальность трафика, вирту¬ альные частные сети, межсетевой э к р а н , криптография, инфраст руктурный сервис, интегрирующая оболочка, мониторинг, к о н троль, координация, управление конфигурацией, управление отка¬ зами, управление производительностью, управление безопаснос¬ тью, управление учетной и н ф о р м а ц и е й , атрибуты объекта, допусти м ы е операции, извещения, менеджер, агент, управляющая консоль, многоуровневая архитектура, доверенное управление, делегирован ное управление, модель управляющей и н ф о р м а ц и и , пакет, дерево наследования, проактивное управление, упреждающее управление, управление, каркас, безопасность, загрузка, событие, хранение дан¬ ных, проблемная ситуация, отчет, автообнаружение, менеджер безо пасности, разграничение доступа, идентификация/аутентификация, политика безопасности, высокая доступность, резервное копирова¬ ние, контроль производительности, активный аудит.
Туннелирование На наш взгляд, туннелирование следует рассматривать как самосто ятельный сервис безопасности. Его суть состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт». В качестве с и н о н и м о в термина «туннелирование» могут ис¬ пользоваться «конвертование» и «обертывание». Туннелирование может применяться для нескольких целей: • передачи через сеть пакетов, принадлежащих протоколу, кото¬ р ы й в д а н н о й сети не поддерживается (например, передача па кетов IPv6 через старые сети, поддерживающие только IPv4); • обеспечения слабой ф о р м ы конфиденциальности (в первую очередь конфиденциальности трафика) за счет сокрытия ис¬ т и н н ы х адресов и другой служебной и н ф о р м а ц и и ; • обеспечения конфиденциальности и целостности передавае¬ мых данных при использовании вместе с криптографическими сервисами. 183
Курс
Основы информационной безопасности
Туннелирование может применяться к а к на сетевом, т а к и на п р и кладном уровнях. Н а п р и м е р , стандартизовано туннелирование для IP и двойное конвертование для почты X.400. На р и с . 14.1 показан пример обертывания пакетов IPv6 в формат IPv4.
Заголовок IPv4 с полем Protocol, равным 41 Рис. 14.1. Обертывание пакетов IPv6 в формат IPv4 с целью их туннелирования через сети IPv4. К о м б и н а ц и я туннелирования и ш и ф р о в а н и я (наряду с необходимой криптографической инфраструктурой) на выделенных шлюзах и экрани¬ рования на маршрутизаторах поставщиков сетевых услуг (для разделения пространств «своих» и «чужих» сетевых адресов в духе виртуальных ло¬ кальных сетей) позволяет реализовать такое важное в современных усло виях защитное средство, к а к виртуальные частные сети. П о д о б н ы е сети, наложенные обычно поверх Internet, существенно дешевле и гораздо бе¬ зопаснее, ч е м собственные сети организации, построенные на выделен¬ ных каналах. К о м м у н и к а ц и и на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об их уязвимости и соответственно обеспечивать защиту. Современные п р о токолы, направленные на поддержку классов обслуживания, помогут га рантировать для виртуальных частных сетей заданную пропускную с п о собность, величину задержек и т.п., ликвидируя тем самым единственное на сегодня реальное преимущество сетей собственных.
IP-пакет с истинными адресами и открытым содержимым
Внутренняя сеть 1
Обернутый зашифро ванный IP-пакет с адресами концов туннеля Internet
Внутренняя сеть 2
Рис. 14.2. Межсетевые э к р а н ы как точки реализации сервиса виртуальных частных сетей. 184
Лекция 14
Туннелирование и управление
К о н ц а м и туннелей, реализующих виртуальные частные сети, целе¬ сообразно сделать межсетевые э к р а н ы , обслуживающие подключение ор¬ ганизаций к в н е ш н и м сетям (см. рис. 14.2). В таком случае туннелирова н и е и ш и ф р о в а н и е станут дополнительными преобразованиями, выпол н я е м ы м и в процессе фильтрации сетевого трафика наряду с трансляцией адресов. К о н ц а м и туннелей, п о м и м о корпоративных межсетевых экранов, могут быть мобильные компьютеры сотрудников (точнее, их персональ¬ ные МЭ).
Управление Основные понятия Управление м о ж н о отнести к числу инфраструктурных сервисов, обеспечивающих нормальную работу компонентов и средств безопаснос¬ ти. Сложность современных систем такова, что без правильно организо¬ ванного управления о н и постепенно деградируют к а к в плане эффектив¬ ности, так и в плане защищенности. Возможен и другой взгляд на управление — к а к на интегрирующую оболочку и н ф о р м а ц и о н н ы х сервисов и сервисов безопасности (в том числе средств обеспечения высокой доступности), обеспечивающую их нормальное, согласованное ф у н к ц и о н и р о в а н и е под контролем админис¬ тратора И С . Согласно стандарту X.700, управление подразделяется на: • мониторинг компонентов; • контроль (то есть выдачу и реализацию управляющих воздейст¬ вий); • к о о р д и н а ц и ю работы компонентов системы. Системы управления должны: • позволять администраторам планировать, организовывать, контролировать и учитывать использование и н ф о р м а ц и о н н ы х сервисов; • давать возможность отвечать на изменение требований; • обеспечивать предсказуемое поведение и н ф о р м а ц и о н н ы х сер¬ висов; • обеспечивать защиту и н ф о р м а ц и и . И н ы м и словами, управление должно обладать достаточно богатой функциональностью, быть результативным, гибким и и н ф о р м а ц и о н н о безопасным. В X.700 выделяется пять функциональных областей управления: • управление конфигурацией (установка параметров для н о р 185
Курс
Основы информационной безопасности
мального ф у н к ц и о н и р о в а н и я , запуск и остановка к о м п о н е н тов, сбор и н ф о р м а ц и и о текущем состоянии системы, прием извещений о существенных изменениях в условиях ф у н к ц и о н и р о в а н и я , и з м е н е н и е конфигурации системы); • управление отказами (выявление отказов, их изоляция и вос¬ становление работоспособности системы); • управление производительностью (сбор и анализ статистичес¬ кой и н ф о р м а ц и и , определение производительности системы в штатных и нештатных условиях, изменение режима работы си¬ стемы); • управление безопасностью (реализация политики безопаснос ти путем создания, удаления и и з м е н е н и я сервисов и механиз мов безопасности, распространения соответствующей и н ф о р м а ц и и и реагирования на инциденты); • управление учетной и н ф о р м а ц и е й (т.е. в з и м а н и е платы за пользование ресурсами). В стандартах семейства X.700 описывается модель управления, с п о собная обеспечить достижение поставленных целей. Вводится понятие управляемого объекта как совокупности характеристик компонента с и с темы, важных с точки зрения управления. К таким характеристикам от носятся: • атрибуты объекта; • допустимые операции; • извещения, которые объект может генерировать; • связи с другими управляемыми объектами. Согласно рекомендациям X.701, системы управления распределен н ы м и И С строятся в архитектуре менеджер/агент. Агент (как программ ная модель управляемого объекта) выполняет управляющие действия и порождает (при в о з н и к н о в е н и и определенных событий) извещения от его и м е н и . В свою очередь, менеджер выдает агентам команды на управ¬ л я ю щ и е воздействия и получает извещения. Иерархия взаимодействующих менеджеров и агентов может иметь несколько уровней. П р и этом элементы промежуточных уровней играют двоякую роль: по о т н о ш е н и ю к в ы ш е с т о я щ и м элементам они являются агентами, а к н и ж е с т о я щ и м — менеджерами. Многоуровневая архитекту¬ ра менеджер/агент — ключ к распределенному, масштабируемому управ¬ лению большими системами. Логически связанной с многоуровневой архитектурой является к о н цепция доверенного (или делегированного) управления. П р и доверенном управлении менеджер промежуточного уровня может управлять объекта м и , использующими собственные протоколы, в то время как «наверху» опираются исключительно на стандартные средства. 186
Лекция 14
Туннелирование и управление
Обязательным элементом при любом числе архитектурных уровней является управляющая консоль. С точки зрения изучения возможностей систем управления следует учитывать разделение, введенное в X.701. Управление подразделяется на следующие аспекты: • и н ф о р м а ц и о н н ы й (атрибуты, операции и извещения управляе¬ мых объектов); • ф у н к ц и о н а л ь н ы й (управляющие действия и необходимая для них и н ф о р м а ц и я ) ; • к о м м у н и к а ц и о н н ы й (обмен управляющей и н ф о р м а ц и е й ) ; • организационный (разбиение на области управления). Ключевую роль играет модель управляющей и н ф о р м а ц и и . Она о п и сывается рекомендациями X.720. Модель является объектно-ориентиро ванной с поддержкой инкапсуляции и наследования. Дополнительно вводится понятие пакета как совокупности атрибутов, операций, извеще н и й и соответствующего поведения. Класс объектов определяется позицией в дереве наследования, на¬ бором включенных пакетов и в н е ш н и м интерфейсом, то есть видимыми снаружи атрибутами, операциями, и з в е щ е н и я м и и демонстрируемым по¬ ведением. К числу концептуально важных можно отнести понятие «проактивного», то есть упреждающего управления. Упреждающее управление осно вано на предсказании поведения системы на основе текущих данных и ра¬ нее накопленной и н ф о р м а ц и и . Простейший пример подобного управле¬ н и я — выдача сигнала о возможных проблемах с диском после серии п р о граммно-нейтрализуемых ошибок чтения/записи. В более сложном случае определенный характер рабочей нагрузки и действий пользователей мо¬ жет предшествовать резкому замедлению работы системы; адекватным уп¬ равляющим воздействием могло бы стать понижение приоритетов некото¬ рых заданий и извещение администратора о приближении кризиса.
Возможности типичных систем Развитые системы управления имеют, если м о ж н о так выразиться, двухмерную настраиваемость — на нужды конкретных организаций и на и з м е н е н и я в и н ф о р м а ц и о н н ы х технологиях. Системы управления живут (по крайней мере, д о л ж н ы жить) долго. За это время в различных пред метных областях администрирования (например, в области резервного копирования) наверняка появятся р е ш е н и я , превосходящие изначально заложенные в управляющий комплект. Последний должен уметь эволю¬ ционировать, причем разные его к о м п о н е н т ы могут делать это с разной скоростью. Н и к а к а я жесткая, монолитная система такого не выдержит. 187
Курс
Основы информационной безопасности
Единственный выход — наличие каркаса, с которого м о ж н о снимать старое и «навешивать» новое, не теряя эффективности управления. Каркас как самостоятельный продукт необходим для достижения по крайней мере следующих целей: • сглаживание разнородности управляемых и н ф о р м а ц и о н н ы х систем, предоставление у н и ф и ц и р о в а н н ы х программных ин¬ терфейсов для быстрой разработки управляющих приложений; • создание инфраструктуры управления, обеспечивающей нали¬ ч и е таких свойств, как поддержка распределенных конфигура¬ ц и й , масштабируемость, и н ф о р м а ц и о н н а я безопасность и т.д.; • предоставление ф у н к ц и о н а л ь н о полезных универсальных сер¬ висов, таких как планирование заданий, генерация отчетов и т. п. Вопрос о том, что, п о м и м о каркаса, должно входить в систему управ л е н и я , является достаточно сложным Во-первых, многие системы управ ления имеют м э й н ф р е й м о в о е п р о ш л о е и попросту унаследовали некото рую функциональность, которая перестала быть необходимой. Во-вто рых, для ряда функциональных задач появились отдельные, высококаче ственные р е ш е н и я , превосходящие аналогичные по назначению «штат¬ ные» компоненты. Видимо, с развитием объектного подхода, многоплатформенности важнейших сервисов и их взаимной совместимости, систе¬ м ы управления действительно превратятся в каркас. П о к а ж е на их долю остается достаточно важных областей, а именно: • управление безопасностью; • управление загрузкой; • управление событиями; • управление хранением данных; • управление проблемными ситуациями; • генерация отчетов. На уровне инфраструктуры присутствует р е ш е н и е еще одной важ¬ н е й ш е й ф у н к ц и о н а л ь н о й задачи — обеспечение автоматического обнару¬ ж е н и я управляемых объектов, выявление их характеристик и связей меж¬ ду н и м и . Отметим, что управление безопасностью в совокупности с соответст¬ вующим программным интерфейсом позволяет реализовать платформнонезависимое разграничение доступа к объектам произвольной природы и (что очень важно) вынести ф у н к ц и и безопасности из прикладных систем. Чтобы выяснить, разрешен ли доступ текущей политикой, приложению достаточно обратиться к менеджеру безопасности системы управления. Менеджер безопасности осуществляет идентификацию/аутентифи¬ кацию пользователей, контроль доступа к ресурсам и протоколирование неудачных попыток доступа. М о ж н о считать, что менеджер безопасности 188
Лекция 14
Туннелирование и управление
встраивается в ядро операционных систем контролируемых элементов И С , перехватывает соответствующие обращения и осуществляет свои проверки перед проверками, выполняемыми О С , так что он создает еще один защит н ы й рубеж, не отменяя, а дополняя защиту, реализуемую средствами ОС. Развитые системы управления располагают централизованной ба зой, в которой хранится и н ф о р м а ц и я о контролируемой И С и, в частнос¬ ти, некоторое представление о политике безопасности. М о ж н о считать, что при каждой попытке доступа выполняется просмотр сохраненных в базе правил, в результате которого выясняется наличие у пользователя н е обходимых прав. Тем самым для проведения единой политики безопасно сти в рамках корпоративной и н ф о р м а ц и о н н о й системы закладывается п р о ч н ы й технологический фундамент. Хранение параметров безопасности в базе данных дает администра торам еще одно важное преимущество — возможность в ы п о л н е н и я разно¬ образных запросов. М о ж н о получить с п и с о к ресурсов, доступных данно¬ му пользователю, список пользователей, имеющих доступ к данному ре¬ сурсу и т.п. Одним из элементов обеспечения высокой доступности данных явля ется подсистема автоматического управления хранением данных, выпол няющая резервное копирование данных, а также автоматическое отслежи вание их перемещения между основными и резервными носителями. Для обеспечения высокой доступности и н ф о р м а ц и о н н ы х сервисов используется управление загрузкой, которое м о ж н о подразделить на уп¬ равление прохождением заданий и контроль производительности. Контроль производительности — понятие многогранное. Сюда вхо дят и оценка быстродействия компьютеров, и анализ пропускной способ¬ ности сетей, и отслеживание числа одновременно поддерживаемых поль¬ зователей, и время реакции, и накопление и анализ статистики использо вания ресурсов. Обычно в распределенной системе соответствующие д а н н ы е доступны «в принципе», они поставляются точечными средствами управления, но проблема получения целостной картины, как текущей, так и перспективной, остается весьма сложной. Решить ее способна толь ко система управления корпоративного уровня. Средства контроля производительности целесообразно разбить на две категории: • выявление случаев неадекватного ф у н к ц и о н и р о в а н и я компо¬ нентов и н ф о р м а ц и о н н о й системы и автоматическое реагирова¬ н и е на эти события; • анализ тенденций изменения производительности системы и долгосрочное планирование. Для ф у н к ц и о н и р о в а н и я обеих категорий средств необходимо выб рать отслеживаемые параметры и допустимые границы для них, выход за 189
Курс
Основы информационной безопасности
которые означает «неадекватность функционирования». После этого за дача сводится к выявлению нетипичного поведения компонентов И С , для чего могут применяться статистические методы. Управление событиями (точнее, с о о б щ е н и я м и о событиях) — это ба зовый механизм, позволяющий контролировать состояние и н ф о р м а ц и онных систем в реальном времени. Системы управления позволяют клас сифицировать события и назначать для некоторых из них специальные процедуры обработки. Тем самым реализуется важный п р и н ц и п автома тического реагирования. Очевидно, что задачи контроля производительности и управления событиями, равно как и методы их решения в системах управления, близ¬ ки к аналогичным аспектам систем активного аудита. Н а л и ц о еще одно свидетельство концептуального единства области з н а н и й под названием « и н ф о р м а ц и о н н а я безопасность» и необходимости реализации этого единства на практике.
190
Лекция 15
Заключение
Л е к ц и я 15. З а к л ю ч е н и е
В последней лекции подводится итог курса. Ключевые слова: и н ф о р м а ц и о н н а я безопасность, И Б , интерес, субъ ект, и н ф о р м а ц и о н н ы е отношения, важность, сложность, доступ ность, целостность, конфиденциальность, уязвимость, активный агент, нарушение, ущерб, рост, затраты, законодательный уровень, административный уровень, процедурный уровень, программнотехнический уровень, объектно-ориентированный подход, инкапсу¬ л я ц и я , наследование, п о л и м о р ф и з м , грань, уровень детализации, правовой акт, стандарт, координация, лицензирование, сертифика ц и я , «Оранжевая книга», «Общие критерии», сервис безопасности, к л а с с и ф и к а ц и я , X.800, сетевые конфигурации, механизм безопасно сти, ф у н к ц и о н а л ь н ы е требования, программа безопасности, поли¬ тика безопасности, анализ рисков, угроза, базовый уровень И Б , ж и з н е н н ы й ц и к л , превентивные меры, обнаружение, локализация, прослеживание, восстановление, архитектурная безопасность, сла бое звено, небезопасное состояние, простота, управляемость, иден т и ф и к а ц и я , аутентификация, управление доступом, разграничение доступа, протоколирование, аудит, активный аудит, криптография, ш и ф р о в а н и е , контроль целостности, электронная цифровая под¬ пись, экранирование, анализ з а щ и щ е н н о с т и , отказоустойчивость, безопасное восстановление, туннелирование, управление.
Что т а к о е и н ф о р м а ц и о н н а я б е з о п а с н о с т ь . Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности Цель мероприятий в области информационной безопасности — защи¬ тить интересы субъектов информационных отношений. Интересы эти мно¬ гообразны, но все они концентрируются вокруг трех основных аспектов: • доступность; • целостность; • конфиденциальность. Первый шаг при построении системы И Б организации — ранжиро¬ вание и детализация этих аспектов. 191
Курс
Основы информационной безопасности
Важность проблематики И Б объясняется двумя основными причи¬ нами: • ценностью накопленных и н ф о р м а ц и о н н ы х ресурсов; • критической зависимостью от и н ф о р м а ц и о н н ы х технологий. Разрушение важной и н ф о р м а ц и и , кража к о н ф и д е н ц и а л ь н ы х дан¬ ных, перерыв в работе вследствие отказа — все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или м е д и ц и н с к и м и системами угрожают здоро¬ вью и ж и з н и людей. Современные и н ф о р м а ц и о н н ы е системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. П о с т о я н но обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во в н и м а н и е чрезвычайно ш и р о к и й спектр аппа ратного и программного обеспечения, многочисленные связи между ком¬ понентами. Меняются п р и н ц и п ы построения корпоративных И С . Используют ся многочисленные в н е ш н и е и н ф о р м а ц и о н н ы е сервисы; предоставляют ся вовне собственные; получило ш и р о к о е распространение явление, обо¬ значаемое и с к о н н о русским словом «аутсорсинг», когда часть ф у н к ц и й корпоративной И С передается в н е ш н и м организациям. Развивается про¬ граммирование с активными агентами. Подтверждением сложности проблематики И Б является параллель н ы й (и довольно быстрый) рост затрат на з а щ и т н ы е мероприятия и коли¬ чества нарушений И Б в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важно¬ сти И Б . ) Успех в области и н ф о р м а ц и о н н о й безопасности может принести только комплексный подход, сочетающий м е р ы четырех уровней: • законодательного; • административного; • процедурного; • программно-технического. Проблема И Б — не только (и не столько) техническая; без законода тельной базы, без постоянного внимания руководства организации и выде ления необходимых ресурсов, без мер управления персоналом и физичес кой защиты решить ее невозможно. Комплексность также усложняет про блематику И Б ; требуется взаимодействие специалистов из разных областей. В качестве основного инструмента борьбы со сложностью предлага¬ ется объектно-ориентированный подход. И н к а п с у л я ц и я , наследование, п о л и м о р ф и з м , выделение граней объектов, варьирование уровня детали зации — все это универсальные понятия, з н а н и е которых необходимо всем специалистам по и н ф о р м а ц и о н н о й безопасности. 192
Лекция 15
Заключение
Законодательный, административный и процедурный уровни Законодательный уровень является в а ж н е й ш и м для обеспечения и н ф о р м а ц и о н н о й безопасности. Необходимо всячески подчеркивать важность проблемы И Б ; сконцентрировать ресурсы на важнейших на¬ правлениях исследований; скоординировать образовательную деятель ность; создать и поддерживать негативное о т н о ш е н и е к нарушителям И Б — все это ф у н к ц и и законодательного уровня. На законодательном уровне особого в н и м а н и я заслуживают право¬ вые акты и стандарты. Российские правовые акты в большинстве своем имеют ограничи¬ тельную направленность. Н о то, что для Уголовного или Гражданского кодекса естественно, по о т н о ш е н и ю к Закону об и н ф о р м а ц и и , информа¬ тизации и защите и н ф о р м а ц и и является п р и н ц и п и а л ь н ы м недостатком. С а м и по себе лицензирование и сертификация не обеспечивают безопас¬ ности. К тому же в законах не предусмотрена ответственность государст¬ венных органов за нарушения И Б . Реальность такова, что в России в деле обеспечения И Б на п о м о щ ь государства рассчитывать не приходится. На этом ф о н е поучительным является знакомство с законодательст вом С Ш А в области И Б , которое гораздо обширнее и многограннее рос¬ сийского. Среди стандартов выделяются «Оранжевая книга», рекомендации X.800 и «Критерии о ц е н к и безопасности и н ф о р м а ц и о н н ы х технологий». »Оранжевая книга» заложила п о н я т и й н ы й базис; в ней определяют ся важнейшие сервисы безопасности и предлагается метод классифика ц и и и н ф о р м а ц и о н н ы х систем по требованиям безопасности. Рекомендации X.800 весьма глубоко трактуют вопросы защиты сете¬ вых конфигураций и предлагают развитый набор сервисов и механизмов безопасности. Международный стандарт ISO 15408, известный как «Общие крите¬ рии», реализует более современный подход, в нем зафиксирован чрезвы¬ ч а й н о ш и р о к и й спектр сервисов безопасности (представленных к а к ф у н к ц и о н а л ь н ы е требования). Его п р и н я т и е в качестве национального стандарта важно не только из абстрактных соображений интеграции в мировое сообщество; оно, как м о ж н о надеяться, облегчит ж и з н ь владель¬ цам и н ф о р м а ц и о н н ы х систем, существенно р а с ш и р и в спектр доступных сертифицированных р е ш е н и й . Главная задача мер административного уровня — сформировать про¬ грамму работ в области и н ф о р м а ц и о н н о й безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. 193
Курс
Основы информационной безопасности
Основой программы является политика безопасности, отражающая подход организации к защите своих и н ф о р м а ц и о н н ы х активов. Разработка политики и программы безопасности начинается с ана лиза рисков, первым этапом которого, в свою очередь, является ознаком¬ ление с наиболее распространенными угрозами. Главные угрозы — внутренняя сложность И С , непреднамеренные о ш и б к и штатных пользователей, операторов, системных администрато¬ ров и других лиц, обслуживающих и н ф о р м а ц и о н н ы е системы. На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддер¬ ж и в а ю щ е й инфраструктуры. В общем числе нарушений растет доля внешних атак, но основной ущерб по-прежнему наносят «свои». Для подавляющего большинства организаций достаточно общего знакомства с рисками; ориентация на типовые, апробированные р е ш е н и я позволит обеспечить базовый уровень безопасности при минималь¬ ных интеллектуальных и разумных материальных затратах. Существенную п о м о щ ь в разработке п о л и т и к и безопасности мо¬ жет оказать б р и т а н с к и й стандарт BS 7799:1995, п р е д л а г а ю щ и й т и п о в о й каркас. Разработка программы и политики безопасности может служить примером использования понятия уровня детализации. О н и должны под разделяться на несколько уровней, трактующих вопросы разной степени специфичности. Важным элементом программы является разработка и поддержание в актуальном состоянии карты И С . Необходимым условием для построения надежной, э к о н о м и ч н о й защиты является рассмотрение ж и з н е н н о г о цикла И С и синхронизация с н и м мер безопасности. Выделяют следующие этапы жизненного цикла: • инициация; • закупка; • установка; • эксплуатация; • выведение из эксплуатации. Безопасность невозможно добавить к системе; ее нужно закладывать с самого начала и поддерживать до конца. Меры процедурного уровня ориентированы на людей (а не на техни ческие средства) и подразделяются на следующие виды: • управление персоналом; • физическая защита; • поддержание работоспособности; • реагирование на нарушения режима безопасности; • планирование восстановительных работ. 194
Лекция 15
Заключение
На этом уровне п р и м е н и м ы важные п р и н ц и п ы безопасности: • непрерывность защиты в пространстве и времени; • разделение обязанностей; • м и н и м и з а ц и я привилегий. Здесь также п р и м е н и м ы объектный подход и п о н я т и е ж и з н е н н о г о цикла. П е р в ы й позволяет разделить контролируемые сущности (террито р и ю , аппаратуру и т.д.) на относительно независимые подобъекты, рас сматривая их с разной степенью детализации и контролируя связи между ними. П о н я т и е жизненного цикла полезно применять не только к инфор¬ м а ц и о н н ы м системам, но и к сотрудникам. На этапе и н и ц и а ц и и должно быть разработано описание должности с требованиями к к в а л и ф и к а ц и и и выделяемыми компьютерными привилегиями; на этапе установки необ¬ ходимо провести обучение, в том числе по вопросам безопасности; на этапе выведения из эксплуатации следует действовать аккуратно, не д о пуская нанесения ущерба о б и ж е н н ы м и сотрудниками. И н ф о р м а ц и о н н а я безопасность во многом зависит от аккуратного ведения текущей работы, которая включает: • поддержку пользователей; • поддержку программного обеспечения; • к о н ф и г у р а ц и о н н о е управление; • резервное копирование; • управление носителями; • документирование; • регламентные работы. Элементом повседневной деятельности является отслеживание ин¬ ф о р м а ц и и в области И Б ; как м и н и м у м , администратор безопасности дол¬ ж е н подписаться на список рассылки по н о в ы м пробелам в защите (и своевременно знакомиться с поступающими сообщениями). Нужно, однако, заранее готовиться к событиям неординарным, то есть к нарушениям И Б . Заранее продуманная реакция на нарушения ре¬ ж и м а безопасности преследует три главные цели: • локализация инцидента и уменьшение наносимого вреда; • выявление нарушителя; • предупреждение повторных нарушений. Выявление нарушителя — процесс сложный, но первый и третий пункты м о ж н о и нужно тщательно продумать и отработать. В случае серьезных аварий необходимо проведение восстановитель¬ ных работ. Процесс планирования таких работ м о ж н о разделить на следу¬ ю щ и е этапы: • выявление критически важных ф у н к ц и й организации, установ¬ л е н и е приоритетов; 195
Курс
Основы информационной безопасности
• • • • •
и д е н т и ф и к а ц и я ресурсов, необходимых для выполнения кри¬ тически важных ф у н к ц и й ; определение перечня возможных аварий; разработка стратегии восстановительных работ; подготовка к реализации выбранной стратегии; проверка стратегии.
Программно-технические меры Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и / и л и данных, образуют последний и самый важный рубеж и н ф о р м а ц и о н н о й безопасности. На этом рубеже становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса и н ф о р м а ц и о н н ы х техноло гий. Во-первых, дополнительные возможности появляются не только у специалистов по И Б , но и у злоумышленников. Во-вторых, информаци¬ о н н ы е системы все время модернизируются, перестраиваются, к н и м д о бавляются недостаточно проверенные к о м п о н е н т ы (в первую очередь программные), что затрудняет соблюдение режима безопасности. Сложность современных корпоративных И С , многочисленность и разнообразие угроз их безопасности м о ж н о наглядно представить, озна¬ к о м и в ш и с ь с и н ф о р м а ц и о н н о й системой Верховного суда Российской Федерации. Меры безопасности целесообразно разделить на следующие виды: • превентивные, препятствующие нарушениям И Б ; • меры обнаружения нарушений; • локализующие, сужающие зону воздействия нарушений; • меры по выявлению нарушителя; • меры восстановления режима безопасности. В продуманной архитектуре безопасности все о н и д о л ж н ы присутст¬ вовать. С практической точки зрения важными также являются следующие п р и н ц и п ы архитектурной безопасности: • непрерывность защиты в пространстве и времени, невозмож¬ ность миновать з а щ и т н ы е средства; • следование п р и з н а н н ы м стандартам, использование апробиро¬ ванных р е ш е н и й ; • иерархическая организация И С с небольшим числом сущнос¬ тей на каждом уровне; • усиление самого слабого звена; • невозможность перехода в небезопасное состояние; 196
Лекция 15
Заключение
• м и н и м и з а ц и я привилегий; • разделение обязанностей; • эшелонированность обороны; • разнообразие защитных средств; • простота и управляемость и н ф о р м а ц и о н н о й системы. Центральным для программно-технического уровня является п о н я тие сервиса безопасности. В число таких сервисов входят: • и д е н т и ф и к а ц и я и аутентификация; • управление доступом; • протоколирование и аудит; • шифрование; • контроль целостности; • экранирование; • анализ защищенности; • обеспечение отказоустойчивости; • обеспечение безопасного восстановления; • туннелирование; • управление. Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, то есть быть устойчивыми к соответствую¬ щ и м угрозам, а их применение должно быть удобным для пользователей и администраторов. Например, современные средства идентификации/ау¬ тентификации должны быть устойчивыми к пассивному и активному про¬ слушиванию сети и поддерживать к о н ц е п ц и ю единого входа в сеть. Выделим важнейшие моменты для каждого из перечисленных сер¬ висов безопасности: 1. Предпочтительными являются криптографические методы аутенти¬ ф и к а ц и и , реализуемые программным или аппаратно-программным способом. Парольная защита стала анахронизмом, биометрические методы нуждаются в дальнейшей проверке в сетевой среде. 2. В условиях, когда понятие доверенного программного обеспечения уходит в прошлое, становится анахронизмом и самая распростра н е н н а я — произвольная (дискреционная) — модель управления д о ступом. В ее терминах невозможно даже объяснить, что такое «тро янская» программа. В идеале при разграничении доступа должна учитываться семантика операций, но пока для этого есть только те оретическая база. Е щ е один важный момент — простота админист рирования в условиях большого числа пользователей и ресурсов и непрерывных изменений конфигурации. Здесь может помочь роле¬ вое управление. Протоколирование и аудит д о л ж н ы быть в с е п р о н и к а ю щ и м и и мно¬ гоуровневыми, с фильтрацией данных при переходе на более высокий 197
Курс
Основы информационной безопасности
уровень. Это необходимое условие управляемости. Желательно примене¬ н и е средств активного аудита, однако нужно осознавать ограниченность их возможностей и рассматривать эти средства как один из рубежей эше¬ лонированной обороны, причем не самый надежный. Следует конфигу¬ рировать их таким образом, чтобы минимизировать число ложных тревог и не совершать опасных действий при автоматическом реагировании. Все, что связано к криптографией, сложно не столько с технической, сколько с юридической точки зрения; для ш и ф р о в а н и я это верно вдвой не. Д а н н ы й сервис является инфраструктурным, его реализации должны присутствовать на всех аппаратно-программных платформах и удовлет¬ ворять жестким требованиям не только к безопасности, но и к произво дительности. П о к а же единственным доступным выходом является п р и менение свободно распространяемого П О . Надежный контроль целостности также базируется на криптографи ческих методах с аналогичными проблемами и методами их решения. Возможно, п р и н я т и е Закона об электронной ц и ф р о в о й подписи изменит ситуацию к лучшему, будет р а с ш и р е н спектр реализаций. К счастью, к статической целостности есть и некриптографические подходы, основан¬ н ы е на использовании з а п о м и н а ю щ и х устройств, д а н н ы е на которых до¬ ступны только для чтения. Если в системе разделить статическую и д и н а мическую составляющие и поместить первую в П З У или на компактдиск, м о ж н о в корне пресечь угрозы целостности. Разумно, например, за¬ писывать регистрационную и н ф о р м а ц и ю на устройства с однократной записью; тогда з л о у м ы ш л е н н и к не сможет «замести следы». Экранирование — идейно очень богатый сервис безопасности. Его ре¬ ализации — это не только межсетевые экраны, но и ограничивающие ин¬ терфейсы, и виртуальные локальные сети. Экран инкапсулирует защищае¬ мый объект и контролирует его внешнее представление. Современные межсетевые экраны достигли очень высокого уровня защищенности, удоб ства использования и администрирования; в сетевой среде они являются первым и весьма м о щ н ы м рубежом обороны. Целесообразно применение всех видов М Э — от персонального до внешнего корпоративного, а контро¬ лю подлежат действия как внешних, так и внутренних пользователей. Анализ з а щ и щ е н н о с т и — это инструмент поддержки безопасности ж и з н е н н о г о цикла. С активным аудитом его роднит эвристичность, необ¬ ходимость практически непрерывного обновления базы знаний и роль не самого надежного, но необходимого защитного рубежа, на котором мож¬ но расположить свободно распространяемый продукт. Обеспечение отказоустойчивости и безопасного восстановления — аспекты высокой доступности. П р и их реализации на первый план выхо¬ дят архитектурные вопросы, в первую очередь — внесение в конфигура¬ ц и ю (как аппаратную, так и программную) определенной избыточности, 198
Лекция 15
Заключение
с учетом возможных угроз и соответствующих зон поражения. Безопасное восстановление — действительно последний рубеж, требующий особого в н и м а н и я , тщательности при проектировании, реализации и сопровож¬ дении. Туннелирование — с к р о м н ы й , но необходимый элемент в списке сервисов безопасности. Он важен не столько сам по себе, сколько в ком¬ бинации с ш и ф р о в а н и е м и экранированием для реализации виртуальных частных сетей. Управление — это инфраструктурный сервис. Безопасная система должна быть управляемой. Всегда должна быть возможность узнать, что на самом деле происходит в И С (а в идеале — и получить прогноз разви¬ тия ситуации). Возможно, наиболее практичным р е ш е н и е м для боль шинства организаций является использование какого-либо свободно распространяемого каркаса с постепенным «навешиванием» на него соб¬ ственных функций. М и с с и я обеспечения и н ф о р м а ц и о н н о й безопасности трудна, во многих случаях невыполнима, но всегда благородна.
199
Курс
Основы информационной безопасности
Литература
1.
Галатенко В. А. Информационная безопасность: практический подход. П о д ред. Бетелина В.Б.- М.: Наука, 1998.
2.
Гайкович В., П е р ш и н А. Безопасность электронных банковских систем. М.: Единая Европа, 1994.
3.
Трубачев А. П. и др. Оценка безопасности информационных технологий. П о д общ. ред. Галатенко В.А. - М.: С И П РИА, 2001.
4.
Russel D . , Gangemi G.T. Computer Security Basics. O'Reilly & Associates, Inc., 1992.
5.
Буч Г. Объектно-ориентированный анализ и проектирование с примерами приложений на C++, 2-е изд. Б и н о м , Невский диалект, 2001
200
Статьи по теме курса
Статьи по т е м е к у р с а
1.
2.
3.
4.
5.
6.
7. 8.
9.
10. 11.
Гостехкомиссия России. Руководящий документ. К о н ц е п ц и я защи¬ ты СВТ и АС от Н С Д к и н ф о р м а ц и и Москва, 1992. Гостехкомиссия России. Руководящий документ. Средства вычисли¬ тельной техники. Защита от несанкционированного доступа к ин¬ формации. Показатели защищенности от Н С Д к и н ф о р м а ц и и Москва, 1992. Гостехкомиссия России. Руководящий документ. Автоматизирован¬ н ы е системы. Защита от несанкционированного доступа к информа¬ ции. К л а с с и ф и к а ц и я автоматизированных систем и требования по защите и н ф о р м а ц и и Москва, 1992. Гостехкомиссия России. Руководящий документ. Временное поло ж е н и е по организации разработки, изготовления и эксплуатации программных и технических средств защиты и н ф о р м а ц и и от Н С Д в автоматизированных системах и средствах вычислительной техники Москва, 1992. Гостехкомиссия России. Руководящий документ. Защита от несанк ционированного доступа к и н ф о р м а ц и и . Термины и определения Москва, 1992. Федеральный Закон «Об и н ф о р м а ц и и , и н ф о р м а т и з а ц и и и защите информации» »Российская газета», 1995, 22 февраля. Department of Defense Trusted Computer System Evaluation Criteria D o D 5200.28-STD, 1993. Information Technology Security Evaluation Criteria ( I T S E C ) . Harmonized Criteria of France - Germany - the Netherlands - the United Kingdom Department of Trade and Industry, London, 1991. Security Architecture for Open Systems Interconnection for C C I T T Applications. Recommendation X.800 CCITT, Geneva, 1991. Holbrook P., Reynolds J., Site Security Handbook. Request for Comments: 1244, 1991. Винклер А., Задание: ш п и о н а ж http://www.jetinfo.ru/1996/19/1/article1.19.1996.html
201
Курс
12.
13. 14. 15.
16.
17. 18.
19. 20. 21.
22. 23.
24.
Основы информационной безопасности
Беззубцев О., Ковалев А., О лицензировании и сертификации в об¬ ласти з а щ и т ы и н ф о р м а ц и и http://www.jetinfo.ru/1997/4/1/article1.4.1997.html С и м о н о в С., Анализ рисков, управление р и с к а м и http://www.jetinfo.ru/1999/1/1/article1.1.1999.html Барсуков В., Физическая защита и н ф о р м а ц и о н н ы х систем http://www.jetinfo.ru/1997/1/1/article1.1.1997.html Барсуков В., Блокирование технологических каналов утечки инфор¬ мации http://www.jetinfo.ru/1998/5-6/1/article1.5-6.1998.html Барсуков В., Защита компьютерных систем от силовых деструктив¬ ных воздействий http://www.jetinfo.ru/2000/2/2/article2.2.2000.html Бабернов В., Системы резервного копирования http://www.jetinfo.ru/2000/12/1/article1.12.2000.html Браунли Н., Гатмэн Э., К а к реагировать на нарушения и н ф о р м а ц и о н н о й безопасности ( R F C 2350, B C P 21) http://www.jetinfo.ru/2000/5/1/article1.5.2000.html Таранов А., Ц и ш е в с к и й В., Java в три года http://www.jetinfo.ru/1998/11-12/1/article1.11-12.1998.html Семенов Г., Н е только ш и ф р о в а н и е , или Обзор криптотехнологий http://www.jetinfo.ru/2001/3/2/article2.3.2001.html Контроль над корпоративной электронной почтой: система «ДозорДжет» http://www.jetinfo.ru/2002/5/2/article2.5.2002.html Z-2 = универсальный межсетевой экран высшего уровня защиты http://www.jetinfo.ru/2002/5/3/article3.5.2002.html Сканер з а щ и щ е н н о с т и Nessus: уникальное предложение на россий¬ ском р ы н к е http://www.jetinfo.ru/2000/10/2/article2.10.2000.html Бернстайн Ф.А., Middleware: модель сервисов распределенной сис¬ темы http://www.jetinfo.ru/1997/11/1/article1.11.1997.html
202
Сайты по теме курса
С а й т ы по т е м е к у р с а
1. 2. 3.
4.
5. 6. 7.
8.
9. 10.
11.
12. 13.
14.
15.
Web-сервер властных структур Российской Федерации. http://www.gov.ru/ Web-сервер Совета безопасности Р Ф . http://www.scrf.gov.ru/ Web-сервер Федерального агентства правительственной связи и ин¬ ф о р м а ц и и п р и Президенте Российской Федерации. http://www.fagci.ru/ Web-сервер Государственной технической комиссии при Президенте Российской Федерации. http://www.infotecs.ru/gtc/ Сервер Государственной Думы Федерального Собрания Р Ф http://www.duma.gov.ru/ Web-сервер Верховного Суда Российской Федерации. http://www.supcourt.ru/ Web-сервер подразделения п о выявлению и пресечению преступле¬ н и й , совершаемых с использованием поддельных кредитных карт, и преступлений, совершаемых путем несанкционированного доступа в компьютерные сети и базы данных. http://www.cyberpolice.ru/ Два портала по и н ф о р м а ц и о н н о й безопасности: http://infosecurity.report.ru/ http://www.void.ru/ Российский криптографический портал. http://www.cryptography.ru/ И н ф о р м а ц и о н н ы й бюллетень «Jet Info» с тематическим разделом п о и н ф о р м а ц и о н н о й безопасности. http://www.jetinfo.ru/ Журнал «Открытые системы», регулярно публикующий статьи п о и н ф о р м а ц и о н н о й безопасности. http://www.osp.ru/os/ Сервер к о м п а н и и Н И П «Информзащита». http://www.infosec.ru/ Сервер с и н ф о р м а ц и е й об аутентификации п о биометрическим ха¬ рактеристикам (прежде всего - по отпечаткам пальцев). http://biometrics.ru/ Два сервера с «хакерским» имиджем. http://www.hackzone.ru/ http://www.nerf.ru/ Украинский Центр и н ф о р м а ц и о н н о й безопасности. http://www.bezpeka.com/ 203
Курс
16. 17. 18. 19. 20.
21. 22. 23. 24. 25.
26. 27.
28.
29. 30.
31.
32.
Основы информационной безопасности
Сервер оперативной и н ф о р м а ц и и UA/Security Line. http://hack.com.ua/ Библиотека Конгресса С Ш А . http://thomas.loc.gov/ Сервер с материалами по законодательству Великобритании. http://www.hmso.gov.uk/ Сервер Института и н ф о р м а ц и о н н о й безопасности http://www.gocsi.com/ Web-сервер подразделения Министерства юстиции С Ш А , предназ наченный для освещения вопросов киберпреступности. http://www.cybercrime.gov/ Web-сервер Национального института стандартов ( Н И С Т ) С Ш А . http://www.nist.gov/ Web-сервер Института национальной безопасности С Ш А . http://www.nsi.org/ Сервер с материалами по «Общим критериям». http://www.commoncriteria.org/ Сервер Тематической группы п о технологии Internet. http://www.ietf.org/. Сервер координационного совета группы реагирования на наруше ния И Б . http://www.cert.org/ Форум групп реагирования. http://www.first.org/ Страница на сервере Агентства национальной безопасности ( А Н Б ) С Ш А с материалами о версии свободно распространяемой О С Linux с усовершенствованными средствами безопасности. http://www.nsa.gov/selinux/ Подборка ответов на часто задаваемые вопросы по информацион¬ ной безопасности. http://www.faqs.org/faqs/computer-security/ Телеконференция по и н ф о р м а ц и о н н о й безопасности. news:comp.security.misc Сервер с архивами сообщений и с возможностью подписки на спис¬ ки рассылки по И Б . http://www.securityfocus.com/ Страница Р. Райвеста на сервере Массачусетского технологического института. http://theory.csl.mit.edu/~rivest/ Web-сервер Брюса Шнейера. http://www.counterpane.com/ 204
Сайты по теме курса
33.
34. 35. 36. 37. 38.
39.
40.
41. 42. 43.
44. 45. 46. 47. 48.
Д о м а ш н я я страница известного специалиста в области информаци¬ о н н о й безопасности Дороти Деннинг. http://www.cs.georgetown.edu/~denning/ Материалы по безопасности Java-среды. http://java.sun.com/security/ Подборка материалов п о и н ф о р м а ц и о н н о й безопасности. http://www.linuxsecurity.com/ Сервер разработок П О с открытым кодом. http://www.opensource.org/ Х р а н и л и щ е разработок с открытым кодом. http://www.sourceforge.net/ Сервер Института системного администрирования, сетевого обеспе чения и безопасности. http://www.sans.org/ Сервер консорциума аутентификации по биометрическим характе¬ ристикам. http://www.biometrics.org/ Сервер Лаборатории проектирования систем Стэнфордского иссле¬ довательского института. http://www.sdl.sri.com/ Сервер И н ф о р м а ц и о н н о г о центра электронной приватности. http://www.epic.org/ Сервер с материалами п о протоколу SSL. http://www.openssl.org/ Серверы с материалами п о S S H . http://www.ssh.com/ http://www.openssh.org/ Сервер с новостной и н ф о р м а ц и е й по И Б . http://www.infosecnews.com/ Сервер с реферативной и н ф о р м а ц и е й по И Б . http://www.isr.net/ Журнал п о и н ф о р м а ц и о н н о й безопасности. http://www.securitymagazine.com/ Классический хакерский журнал 2600. http://www.2600.com/ Сервер с хакерским имиджем. http://www.insecure.org/
205
С е р и я «Основы и н ф о р м а т и к и и м а т е м а т и к и » 1. 2. 3. 4.
Преподавание информатики и математических основ информатики, под. ред. А.В. Михалева, 2005, 144 с., I S B N 5-9556-0037-Х. Начала алгебры, часть I, A . В. Михалев, А.А. Михалев, 2005, 272 с., I S B N 5-9556-0038-8. Основы программирования, B. В. Борисенко, 2005, 328 с., I S B N 5-9556-0039-6. Работа с текстовой информацией. Microsoft Office Word 2003, О.Б. Калугина, В.С. Люцарев, 2005, 152 с., I S B N 5-9556-0041-8.
С е р и я «Основы и н ф о р м а ц и о н н ы х т е х н о л о г и й » 1. 2. 3. 4.
5. 6. 7. 8. 9. 10. 11. 12. 13. 14.
Основы Web-технологий, П . Б . Храмцов и др., 2003, 512 с., I S B N 5-9556-0001-9. Основы сетей передачи данных, 2-е издание, В.Г. Олифер, Н.А. О л и ф е р , 2005, 176 с., I S B N 5-9556-0035-3. Основы информационной безопасности, 3-е издание, В.А. Галатенко, 2006, 264 с., I S B N 5-9556-0052-3. Основы микропроцессорной техники, 3-е издание, Ю.В. Н о в и к о в , П . К . Скоробогатов, 2006, 360 с., I S B N 5-9556-0054-Х. Язык программирования С и + + , 2-е издание, A . Л. Ф р и д м а н , 2004, 264 с., I S B N 5-9556-0017-5. Программирование на Java, Н.А. Вязовик, 2003, 592 с., I S B N 5-9556-0006-Х. Стандарты информационной безопасности, 2-е издание, B. А. Галатенко, 2006, 264 с., I S B N 5-9556-0007-8. Основы функционального программирования, Л.В. Городняя, 2004, 280 с., I S B N 5-9556-0008-6. Программирование в стандарте POSIX, B. А. Галатенко, 2004, 560 с., I S B N 5-9556-0011-6. Введение в теорию программирования, C. В. Зыков, 2004, 400 с., I S B N 5-9556-0009-4. Основы менеджмента программных проектов, И . Н . С к о п и н , 2004, 336 с., I S B N 5-9556-0013-2. Основы операционных систем, 2-е издание, В.Е. Карпов, К.А. К о н ь к о в , 2006, 536 с., I S B N 5-9556-0044-2. Основы SQL, Л . Н . Полякова, 2004, 368 с., I S B N 5-9556-0014-0. Архитектуры и топологии многопроцессорных вычислительных систем, А.В. Богданов, В.В. Корхов, В.В. Мареев, Е . Н . Станкова, 2004, 176 с., I S B N 5-9556-0018-3.
15. 16.
17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32.
Операционная система UNIX, Г.В. Курячий, 2004, 320 с., I S B N 5-9556-0019-1. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия, О.Р. Л а п о н и н а , 2005, 608 с., I S B N 5-9556-0020-5. Программирование в стандарте POSIX. Часть 2, В.А. Галатенко, 2005, 384 с., I S B N 5-9556-0021-3. Интеграция приложений на основе WebSphere M Q , B.А. Макушкин, Д.С. Володичев, 2005, 336 с., I S B N 5-9556-0031-0. Стили и методы программирования, Н.Н. Непейвода, 2005, 320 с., I S B N 5-9556-0023-Х. Основы программирования на РНР, Н.В. Савельева, 2005, 264 с., I S B N 5-9556-0026-4. Основы баз данных, C. Д. Кузнецов, 2005, 488 с., I S B N 5-9556-0028-0. Интеллектуальные робототехнические системы, В.Л. А ф о н и н , В.А. М а к у ш к и н , 2005, 208 с., I S B N 5-9556-0024-8. Программирование на языке Pascal, Т.А. Андреева, 2006, 240 с., I S B N 5-9556-0025-6. Основы тестирования программного обеспечения, В.П. Котляров, 2006, 288 с., I S B N 5-9556-0027-2. Язык Си и особенности работы с ним, Н . И . Костюкова, Н.А. К а л и н и н а , 2006, 208 с., I S B N 5-9556-0026-4. Основы локальных сетей, Ю.В. Н о в и к о в , С.В. Кондратенко, 2005, 360 с., I S B N 5-9556-0032-9. Операционная система Linux, Г.В. Курячий, К.А. М а с л и н с к и й , 2005, 400 с., I S B N 5-9556-0029-9. Проектирование информационных систем, В.И. Грекул и др., 2005, 296 с., I S B N 5-9556-0033-7. Основы программирования на языке Пролог, П.А. Ш р а й н е р , 2005, 176 с., I S B N 5-9556-0034-5. Операционная система Solaris, Ф.И. Торчинский, 2006, 472 с., I S B N 5-9556-0022-1. Архитектура и технологии IBM eServer zSeries, Вафоломеев В.А. и др., 2005, 640 с., I S B N 5-9556-0036-1. Основы права интеллектуальной собственности, А.Г. Серго и др., 2005, 344 с., I S B N 5-9556-0047-7
К н и г и издательства Интернет-Университета И н ф о р м а ц и о н н ы х Технологий всегда м о ж н о заказать на сайте: www.intuit.ru П о вопросам оптовых закупок звоните (095) 253-9312. Адрес: Россия, Москва, 123056, Электрический пер., д о м 8, строение 3.
Серия «Основы информационных технологий»
В. А. Галатенко под редакцией академика РАН В. Б. Бетелина Основы информационной безопасности Курс лекций. Учебное пособие Третье издание Редактор, корректор Е. Петровичева Технический редактор О. Новикова Обложка М. Автономова 1
Формат 60x90 /16. Усл. печ. л. 13. Бумага офсетная. Подписано в печать 25.10.2006. Тираж 2000 экз. Заказ № Санитарно-эпидемиологическое заключение о соотвествии санитарным правилам №77.99.02.953.Д.006052.08.03 от 12.08.2003 О О О «ИНТУИТ.ру» Интернет-Университет И н ф о р м а ц и о н н ы х Технологий, www.intuit.ru 123056, Москва, Электрический пер., 8, стр.3. Отпечатано с готовых диапозитивов на Ф Г У П ордена «Знак Почета» Смоленская областная типография им. В.И.Смирнова. Адрес: 214000, г.Смоленск, проспект им.Ю.Гагарина, д.2.