Файл: лекции по ксзи.pdf

АРД отвечает за разделение доступа и управление информаци­

онными  потоками.  Основную политику безопасности, выполняе­
мую  подсистемой,  можно  сформулировать  следующим  образом: 

разрешать  доступ  легального  субъекта  к  объекту,  на  который  у 
него  есть  права,  и  запрещать доступ  при  любых других  комбина­
циях  полномочий.

Данная  подсистема  может  быть  реализована  аппаратно-про­

граммным  или  только  программным  способом.  В  случае  реализа­
ции  подсистемы на отдельном сервере необходимо отметить, что с 
остальными подсистемами она должна быть соединена закрытыми 
внутренними  каналами  связи,  что повышает надежность защиты.

Управление  ресурсом  осуществляется  АРД.  Как  уже  отмеча­

лось, внутренняя защита и бесперебойное функционирование ре­

сурса  разграничения  доступа  обеспечивается  его  администрато­
ром.  В  модели  считается,  что данная  среда  постоянно  предостав­

ляет  необходимые  системе  функции.

На данном  этапе  проверяется  подлинность  субъекта  и  его  ко­

манды.  Задача средств разграничения доступа —  аутентифициро­
вать  субъект  и  получить  у АУД  информацию  о  наличии  прав  на 
осуществление доступа  к запрашиваемому объекту.

11.4.5.  Противостояние угрозам.  Реализация

системы защиты  информации  субъекта АС

субъектно-объектной  модели

В  соответствии  с  физическим способом  размещения  субъекты 

и  объекты  системы  защиты  информации  могут размещаться:

•  в  специализированных  программно-аппаратных  комплексах 

(например,  средство  криптографической  зашиты  информации, 

криптомаршрутизатор  и  т.п.);

•  в  АРМах  администраторов  системы  и  сети  (различные  про­

граммы  администрирования и  настройки  компонентов  сети);

• в серверах (защита информации, хранящейся на серверах, сер­

верная  часть программных комплексов  защиты  информации);

•  в  клиентских АРМах  — у  пользователей  АС.
Все  эти  компоненты работают в рамках единой операционной 

среды,  обеспечивающей  целостность всех сообщений.  Например, 
в  этих  целях может  использоваться  ЭЦП.

Согласно  мнениям  многих  экспертов  в  области  защиты  ин­

формации,  обеспечить защиту только  программными  средствами 

невозможно (хотя бы потому, что аппаратное обеспечение средств 
вычислительной  техники  —  импортного  производства).  В  наибо­

лее  критичных  местах  (особенно  для  защиты  соединений,  выхо­
дящих  за  пределы  контролируемой  зоны)  необходимо  обязатель­

ное  использование доверенной  аппаратной  части,  поэтому функ­

ции  линейного  шифрования  целесообразно  возложить  на  аппа­

ратные средства.  Программные средства шифрования  применяют 

только для  защиты  информации  внутри локальной  сети.

Задачей  АРД  по  отношению  к  подсистеме  шифрования  явля­

ется обеспечение того, чтобы вся информация, выходящая за пре­

делы контролируемой зоны, а также важная информация, переда­

ющаяся в пределах контролируемой зоны, была зашифрована пе­

ред отправлением.  Задачей АУД  является  поддержка списков  ка­

тегорий  нуждающейся  в  шифровании  информации,  а  также  рас­

пределение  ключей  между  средствами  шифрования.

Эффективное  управление  информационной  безопасностью 

предполагает  обязательное  наличие  средств  централизованного 
управления  ее  компонентами,  которые  должны  размещаться  в 
составе программного обеспечения АРМов администраторов без­
опасности.  К  сожалению,  очень  немногие  отечественные  сред­

ства  защиты  информации  позволяют  осуществлять  централизо­

ванное управление.  В  этом отношении  имеется  существенное от­

ставание  отечественных  изделий  от продукции  ведущих зарубеж­

ных фирм,  в  первую  очередь  Cisco.

Все АУД,  АРД, ABC должны быть распределенными средства­

ми  с  централизованным  программным  управлением.

Наиболее  критическими  сегментами АС являются  серверы  баз 

данных, электронной почты, приложений, причем значимость той 

или иной  угрозы для разных типов серверов варьируется.  Напри­
мер, для сервера баз данных исключительное значение имеет обес­

печение конфиденциальности хранящейся в базах данных инфор­
мации, а для сервера приложений в первую очередь следует обеспе­
чить  доступность  информации.  Это  необходимо  учитывать  при 
построении  системы  защиты.

Прежде  всего  пользовательские  АРМы  должны  обеспечивать 

поддержку  функциональности  работы  средств  и  механизмов  за­
щищенной  сети:

•  иметь  клиентское  программное  обеспечение,  реализующее 

необходимую совокупность защищенных протоколов и интерфей­

сов с другими  субъектами  АС;

•  обеспечивать  безопасное  хранение  ключей,  прав  доступа  и 

других  атрибутов;

•  иметь  в  наличии  средства  генерации  ЭЦП,  а  также  аппарат­

ный  или  программный  модуль шифрования;

•  вести  аудит  критически  важных  событий.

При  этом  должно  быть  обеспечено  предотвращение  доступа 

самих  пользователей  к механизмам  защиты.

АУД должны предоставить все необходимые атрибуты безопас­

ности для пользователей, а АРД — обеспечивать защиту от несанк­

ционированного доступа,  разрешать  порождение  только тех  про­
цессов,  которые  разрешены  пользователям.

Приведем  некоторые  рекомендации  по  построению  пользова­

тельского  АРМа.  Важное  значение  для  обеспечения  надежного 

аудита  имеет  защита  журнала  регистрации  событий,  в  котором 

должны  отмечаться  факты  создания  и  отправления  команд  от 

субъекта. Для защиты данного журнала от чтения и доступа само­

го  клиента  применяются  криптографические  и  другие  средства. 

Применение  журнала  регистрации  событий  позволяет  обезопа­

сить АС  от  воздействия  следующих угроз:

•  отказ  от  переданного  сообщения;
•  отказ  от  факта  приема  сообщения;
•  несанкционированное  уничтожение  сообщения;
•  повтор сообщения;
•  маскарад.

ЭЦП  используется  для  подтверждения  подлинности  и  автор­

ства  сообщения,  которое  отправляется  субъектом.  Прямая  реа­

лизация  функции  генерации  ЭЦП  должна  быть  недоступна 

пользователю. Для создания подписи используется закрытый ключ 
субъекта.  Цифровая  подпись  создается  автоматически  под  каж­

дым  отправляемым  сообщением  и  позволяет  предотвратить  уг­

розы  нарушения  целостности  сообщений,  маскарада и  отказа от 
авторства.

Шифрование предназначено для защиты от раскрытия инфор­

мации, передаваемой между защищенными сегментами АС, а также 

для  разграничения доступа  между  пользователями сети  подразде­
ления.  Перед отправкой сообщения по сети  может производиться 

его  шифрование,  возможно,  прозрачное  для  субъекта.

Конечно, функции шифрования должны выполняться не толь­

ко  клиентскими  рабочими  станциями.  При  передаче  сообщений 
между защищенными  сегментами  возможно  применение  группо­
вых  средств  засекречивания,  в  том  числе  криптомаршрутизато­
ров.  В этом случае мы получаем два контура засекречивания.  При­

менение  шифрования  позволяет  предотвратить  угрозы  наруше­
ния  конфиденциальности.  Необходимо  предусмотреть  периоди­

ческую смену используемых ключей  и  паролей.  При  этом  выпол­

няются  команды  удаления  и  добавления  атрибутов  субъекту.  Ру­
ководящим  документом  Гостехкомиссии  РФ  установлены  знач- 
ность  и  алфавит  паролей для  разных  классов АС.

11.5.  Формализация  модели  безопасности

Формализация  модели  безопасности  заключается  в  том,  что 

представляются логические  выражения,  связывающие  множества 
субъектов-объектов  с  множествами  видов  доступа  (операций)  в 
сети.  Эта связь управляется  и  контролируется администраторами, 
вызывающими  те  или  иные  сервисы/механизмы  безопасности.

Рассмотрим  наиболее  часто  встречающиеся  операции,  харак­

терные для АС масштаба подразделения.  При этом будем придер­

живаться  таких  обозначений: 

Comm(S

)— -—»0  означает,  что

субъект 

S

 выполняет  команду 

Сотт

  над  объектом 

О

 под управ­

лением  (при  разрешении)  администратора 

А.

11.5.1.  Процедура  создания  пары субъект-

объект,  наделение  их атрибутами  безопасности

Создание  пары  «субъект—объект»  —  достаточно  часто  встре­

чающаяся  операция,  выполняющаяся  при  появлении  как нового 
пользователя АС, так и нового объекта доступа.  Конечно, для уско­

рения  ее  выполнения  на  практике  обычно  будет  связываться  не 

конкретный субъект с конкретным объектом, а член группы субъек­

тов  с членом  группы  объектов.

Для  каждой  группы  ресурсов  определена  группа  субъектов, 

которые  имеют  к  нему  различные  типы  доступов.  Точно  так же 

для  каждой  группы  субъектов  определены  их  права  на  доступ  к 

группам объектов. Для простоты изложения рассмотрим создание 
связи  «субъект—объект»  (СО).

Создание субъекта.

1. АС создает вначале «пустого» субъекта: 

Generate{As)

 -> 

Sh

  где 

As  —

  АС,  затем  наделяет  его  определенными  правами  по  отно­

шению к объекту (группе объектов), включает в ту или иную группу 
субъектов (например, присваивает ему определенный уровень кон­
фиденциальности).  Эта  информация  включается  в  базы  данных 

АУД.  Обозначим  эту  операцию  как 

RightsQ(As)

 - »

Sj,Ad,

  где 

RightSQ

 (•)  — права субъекта по  отношению к объекту, 

Ad —

 АУД.

2.  Однако  простого наличия  прав у субъекта  недостаточно для 

получения доступа  к  объекту:  он  может  быть лишь  идентифици­

рован.  Для того чтобы  он  мог быть аутентифицирован,  ему необ­
ходимы атрибуты безопасности. АС через АУД выдает такие атри­

буты  субъекту.  Например,  пользователь  может  физически  при­

быть для получения пароля/ключа к АС. Другим вариантом явля­

ется  получение  пользователем  атрибутов  удаленным  образом  — 
здесь  уже  АС  не  вмешивается  в  работу  АУД.  Однако  в  данном 

случае  АРМ  пользователя  должен  быть  способен  как-то  устано­
вить защищенное соединение с АУД еще до получения  пользова­
телем  атрибутов  безопасности.  Выходом  является  использование 
механизмов  безопасности  на  сетевом  или  канальном  уровне,  на­
пример  сетевой  карты  с  криптоинтерфейсом.

Операция  получения  пользователем  атрибутов  безопасности

может быть записана в виде: 

AltribSj

— ^

—

>5, ,  где вертикальная

черта показывает, что АУД работал по команде АС (хотя в данном 
случае  это  не  всегда  обязательно).

3. 

После  создания  нового  пользователя  можно  проверить  его 

работоспособность. АУД выдает ему команду, по которой субъект 

автоматически посылает некоторую текстовую последовательность, 
например,  хэш  пароля  или  какой-то  зашифрованный  постоян­
ный текст.  АУД  проверяет результаты  инициализации,  делает от­
метки  в журнале  аудита и  выдает  отчет АС:

Quest(Ad)

 -> 

S/i  Rpl(Si) 

Ad\  Res(Ad)

 - »

As.

С  этого  момента  субъект  может  приступать  к  передаче  непо­

средственных команд для  операции  со  своим  ресурсом.

Запишем  данную  процедуру  с  помощью  введенных  обозначе­

ний,  кроме  квитанций  подтверждений  об  успешности  выполне­
ния  операций:

1. 

Genera te(As)

 -» 

Sr

2. 

RightsQ(As)

  -> 

S„Ad.

3. 

AttribSj

— ^   )5,..

4. 

Quest(Ad)

  -> 5,;  ^ /(5 ,) -> 

Ad;  Res(Ad) -> As.

Процедуру регистрации событий в журнале аудита можно пред­

ставить  в  виде  модификации  объекта  — журнала  аудита:

ModifyiA,)

—

>0,,

Создание объекта.

Объекты могут создавать пользователи, администраторы, а так­

же  субъекты  —  программные  модули.  Принцип  для  всех один  и 
тот  же.

Запрос  на создание  объекта: 

Questа

 (5,) -н> 

Ard,

  где 

Аы

 — адми­

нистратор разграничения доступом (АРД). В команду 

Quest

 вклю­

чены  идентификатор  и  аутентификатор  пользователя.

Аутентификация 

Authent(Ard ) 

S,.

Если  результат  положительный,  то  запрос  к АУД:

- *   A d -

АУЛ  отвечает.  RplSi  0i(Ad)

 н> 

Ard-

АРД  сообщает  субъекту  о  разрешении  или  отказе  в  создании 

объекта: 

RplSi  0:(Ard)  —> Sr

Если  ответ  положительный,  субъект  создает  объект:

Generate(Sj

) —

—»£, ;

Далее  он  наделяет  его  атрибутами  безопасности  (теми,  кото­

рыми  ему разрешено  наделять): 

Attribs,(S,

)— 4^4*—>0,.