Файл: Руководство для профессиональных аналитиков москва 2009 rv удк 001. 51 Ббк72 с 40.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 510
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
и поток от А к С». Поток, проходящий через несколько объектов, называется составным потоком.
В приведенном примере составным будет поток от А к С.
Верно также и то, что если на каком-то участке поток прерван, то и общего составного потока не существует.
Межсетевой экран подключается в точке выхода АС КС во внешний сегмент КС. Он имеет два интерфейса или порта, один из которых направлен во внешний сегмент
КС, а другой - в локальный сегмент КС. Пусть Pi - внутренний порт межсетевого экрана, подключенный к
ЛС КС, и Ро - внешний порт межсетевого экрана, подключенный к внешнему сегменту КС. Предположим, что злоумышленник X во внешнем сегменте КС хочет получить доступ к объекту Oi в локальном сегменте КС.
Для этого он должен реализовать поток от Oi к Pi, затем от Pi к Ро, а от Ро - к X. Межсетевой экран анализирует разрешения доступа к объекту Oi, свойства субъекта X,
инициирующего эти потоки. В том случае, когда он признает поток нелегальным, он разрывает поток между
Pi и Ро. Таким образом, не существует и результирующего составной поток, субъект X не получает доступа к объекту Oi. В случае разрешения доступа поток между внешним и внутренним портом межсетевого экрана разрешается. В России вопросы разработки и использования средств межсетевой защиты регулируются документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации», разработанным рядом ведущих экспертов в области сетевой безопасности и принятым Гостехкомиссией РФ (ныне Федеральная служба РФ по техническому и экспортному контролю) в 1997 г. Этот руководящий документ устанавливает классификацию межсетевых экранов по уровню защищенности от несанкционированного доступа (в соответствии с перечнем показателей защищенности).
В терминологии данного документа межсетевые экраны представляют собой локальное (однокомпонент- ное) или функционально-распределенное средство (ком-
430 плекс), реализующее контроль за информацией, поступающей в КС и/или выходящей из КС, и обеспечивающее защиту КС посредством фильтрации информации, т.е. ее анализа по совокупности.
Деление межсетевых экранов на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей. Документ устанавливает пять классов защищенности
МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, самый высокий - первый.
Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и КС в соответствии с руководящими документами Гостехкомиссии России:
«Средства вычислительной техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации». При включении
МЭ в
КС определенного класса защищенности класс защищенности совокупной КС не должен понижаться.
Отметим, что необходимо обеспечить безопасное взаимодействие пользователей и аналитиков между собой и с серверами системы. Для этого необходимо интегрировать в КС функции шифрования. При этом возможно применение предварительного или динамического
(«прозрачного») шифрования.
Предварительное шифрование состоит в зашифровании файла программой (субъектом), а затем его расшифровании той же программой или иным субъектом. Расшифрованный массив непосредственно используется прикладной программой пользователя.
Например, таким образом устроена защищенная электронная почта. При отправке письма его «тело»
В приведенном примере составным будет поток от А к С.
Верно также и то, что если на каком-то участке поток прерван, то и общего составного потока не существует.
Межсетевой экран подключается в точке выхода АС КС во внешний сегмент КС. Он имеет два интерфейса или порта, один из которых направлен во внешний сегмент
КС, а другой - в локальный сегмент КС. Пусть Pi - внутренний порт межсетевого экрана, подключенный к
ЛС КС, и Ро - внешний порт межсетевого экрана, подключенный к внешнему сегменту КС. Предположим, что злоумышленник X во внешнем сегменте КС хочет получить доступ к объекту Oi в локальном сегменте КС.
Для этого он должен реализовать поток от Oi к Pi, затем от Pi к Ро, а от Ро - к X. Межсетевой экран анализирует разрешения доступа к объекту Oi, свойства субъекта X,
инициирующего эти потоки. В том случае, когда он признает поток нелегальным, он разрывает поток между
Pi и Ро. Таким образом, не существует и результирующего составной поток, субъект X не получает доступа к объекту Oi. В случае разрешения доступа поток между внешним и внутренним портом межсетевого экрана разрешается. В России вопросы разработки и использования средств межсетевой защиты регулируются документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации», разработанным рядом ведущих экспертов в области сетевой безопасности и принятым Гостехкомиссией РФ (ныне Федеральная служба РФ по техническому и экспортному контролю) в 1997 г. Этот руководящий документ устанавливает классификацию межсетевых экранов по уровню защищенности от несанкционированного доступа (в соответствии с перечнем показателей защищенности).
В терминологии данного документа межсетевые экраны представляют собой локальное (однокомпонент- ное) или функционально-распределенное средство (ком-
430 плекс), реализующее контроль за информацией, поступающей в КС и/или выходящей из КС, и обеспечивающее защиту КС посредством фильтрации информации, т.е. ее анализа по совокупности.
Деление межсетевых экранов на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей. Документ устанавливает пять классов защищенности
МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, самый высокий - первый.
Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и КС в соответствии с руководящими документами Гостехкомиссии России:
«Средства вычислительной техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации». При включении
МЭ в
КС определенного класса защищенности класс защищенности совокупной КС не должен понижаться.
Отметим, что необходимо обеспечить безопасное взаимодействие пользователей и аналитиков между собой и с серверами системы. Для этого необходимо интегрировать в КС функции шифрования. При этом возможно применение предварительного или динамического
(«прозрачного») шифрования.
Предварительное шифрование состоит в зашифровании файла программой (субъектом), а затем его расшифровании той же программой или иным субъектом. Расшифрованный массив непосредственно используется прикладной программой пользователя.
Например, таким образом устроена защищенная электронная почта. При отправке письма его «тело»
431
и вложения зашифровываются, а при приеме - расшифровываются на локальном компьютере и передаются для чтения пользователю.
Хотя данный подход и применяется достаточно широко, он имеет ряд недостатков:
• необходимость дополнительного ресурса для рабо ты с зашифрованным объектом (например, дискового пространства);
• потенциальная возможность доступа со стороны активных субъектов локального сегмента КС к расшиф рованному файлу (во время его существования);
• возникновение задачи гарантированного уничтоже ния расшифрованного файла после его использования.
Для преодоления ряда недостатков предварительного шифрования применяется динамическое шифрование. Его сущность состоит в следующем: происходит зашифрование всего файла
(аналогично предварительному шифрованию). Затем с использованием специальных механизмов, обеспечивающих модификацию функций
КС, происходит работа с зашифрованным объектом. При этом расшифрованию подвергается только та часть объекта, которая в текущий момент времени используется прикладной программой. При записи прикладная программа осуществляет зашифрование записываемой части объекта.
Данный подход позволяет максимально экономично использовать вычислительные ресурсы КС, поскольку расшифровывается только та часть объекта, которая непосредственно нужна прикладной программе. Кроме того, на внешних носителях информация всегда хранится в зашифрованном виде, что исключительно ценно для предотвращения несанкционированного доступа. Динамическое шифрование целесообразно применять для защиты удаленных или распределенных объектов КС. Описанный подход реализован при построении EFS (Encrypted File System).
При необходимости обращения к удаленным файлам КС на рабочей станции активизируется сетевое программное обеспечение. Путем переопределения функ- ции работы с файловой системой ОС оно создает единое файловое пространство рабочей станции и сервера. Поскольку работа с файлами происходит через функции установленной на рабочей станции ОС, сетевое программное обеспечение модифицирует эти функции так, что обращение к ним со стороны прикладного уровня КС происходит так же, как и обычным образом.
Это позволяет обеспечить нормальную работу прикладного и пользовательского уровня программного обеспечения рабочей станции КС.
Как показано на рис. 28, функции для работы с файлами
КС встраиваются в цепочку обработки файловых операций.
1. Прикладная программа
2. Криптомодуль
3. Сетевой клиент рабочей станции t
5. Транспортный уровень
1
6. Сетевая ОС
Рис. 28. Структура взаимодействия криптомодуля и КС при
файловом динамическом, шифровании
Некоторой модификацией описанного метода является метод криптографического сервера. При рассмотрении данного метода выделяется активная аппаратная компонента КС (как правило, выделенный компьютер), которая имеет общий групповой ресурс со всеми субъектами, требующими исполнения криптографических функций.
При создании и перезаписи файла или иного объекта, принадлежащего общему ресурсу, автоматиче-
432 433 4. Локальная ОС
Хотя данный подход и применяется достаточно широко, он имеет ряд недостатков:
• необходимость дополнительного ресурса для рабо ты с зашифрованным объектом (например, дискового пространства);
• потенциальная возможность доступа со стороны активных субъектов локального сегмента КС к расшиф рованному файлу (во время его существования);
• возникновение задачи гарантированного уничтоже ния расшифрованного файла после его использования.
Для преодоления ряда недостатков предварительного шифрования применяется динамическое шифрование. Его сущность состоит в следующем: происходит зашифрование всего файла
(аналогично предварительному шифрованию). Затем с использованием специальных механизмов, обеспечивающих модификацию функций
КС, происходит работа с зашифрованным объектом. При этом расшифрованию подвергается только та часть объекта, которая в текущий момент времени используется прикладной программой. При записи прикладная программа осуществляет зашифрование записываемой части объекта.
Данный подход позволяет максимально экономично использовать вычислительные ресурсы КС, поскольку расшифровывается только та часть объекта, которая непосредственно нужна прикладной программе. Кроме того, на внешних носителях информация всегда хранится в зашифрованном виде, что исключительно ценно для предотвращения несанкционированного доступа. Динамическое шифрование целесообразно применять для защиты удаленных или распределенных объектов КС. Описанный подход реализован при построении EFS (Encrypted File System).
При необходимости обращения к удаленным файлам КС на рабочей станции активизируется сетевое программное обеспечение. Путем переопределения функ- ции работы с файловой системой ОС оно создает единое файловое пространство рабочей станции и сервера. Поскольку работа с файлами происходит через функции установленной на рабочей станции ОС, сетевое программное обеспечение модифицирует эти функции так, что обращение к ним со стороны прикладного уровня КС происходит так же, как и обычным образом.
Это позволяет обеспечить нормальную работу прикладного и пользовательского уровня программного обеспечения рабочей станции КС.
Как показано на рис. 28, функции для работы с файлами
КС встраиваются в цепочку обработки файловых операций.
1. Прикладная программа
2. Криптомодуль
3. Сетевой клиент рабочей станции t
5. Транспортный уровень
1
6. Сетевая ОС
Рис. 28. Структура взаимодействия криптомодуля и КС при
файловом динамическом, шифровании
Некоторой модификацией описанного метода является метод криптографического сервера. При рассмотрении данного метода выделяется активная аппаратная компонента КС (как правило, выделенный компьютер), которая имеет общий групповой ресурс со всеми субъектами, требующими исполнения криптографических функций.
При создании и перезаписи файла или иного объекта, принадлежащего общему ресурсу, автоматиче-
432 433 4. Локальная ОС
ски происходит его зашифрование или фиксация целостности. Кроме того, в криптосервере может быть реализована функция изоляции защищенного объекта- файла, состоящая в его перемещении в выделенный групповой массив (директория «исходящих» файлов).
Процесс обратного преобразования в других выделенных массивах (или проверки целостности) происходит аналогичным образом. При получении зашифрованных файлов из внешнего сегмента КС они помещаются в выделенную папку приема, считываются оттуда криптографическим сервером, расшифровываются и перемещаются в папки пользователей, для которых они предназначены. Для пользователя этот процесс выглядит, например, как автоматическое зашифрование при записи (или интеграция электронной цифровой подписи в файл) в некоторую заранее указанную директорию на файловом сервере.
Подход прикладного криптосервера широко применяется для криптографической защиты электронных файлов документов в гетерогенной КС " или для сопряжения с телекоммуникационными системами.
Однако потребности аналитика и пользователей не всегда исчерпываются защищенной передачей файлов. В ряде случаев целесообразно иметь целиком защищенный канал связи с сервером и реализовывать криптографическую защиту на транспортном уровне.
При рассмотрении криптографической зашиты на транспортном уровне компьютерной системы необходимо учитывать важное свойство, следующее из иерархической модели взаимодействия: передача информации от верхних уровней представления
(файлов) к нижним уровням (пакетам) полностью и без изменения сохраняет содержательную часть информации. Например, передача файла по сети происходит следующим образом: файл разбивается на блоки-пакеты, длина которых зависит от применяемого оборудования связи, эти пакеты транспортируются по сети, затем на приеме собираются в файл. Отсюда следует, что зашифрованный файл будет
99. Гетерогенной называется компьютерная система, состоящая из разнородных элементов, например, серверов, персональных компьютеров, различных мобильных устройств (смартфонов).
434
Процесс обратного преобразования в других выделенных массивах (или проверки целостности) происходит аналогичным образом. При получении зашифрованных файлов из внешнего сегмента КС они помещаются в выделенную папку приема, считываются оттуда криптографическим сервером, расшифровываются и перемещаются в папки пользователей, для которых они предназначены. Для пользователя этот процесс выглядит, например, как автоматическое зашифрование при записи (или интеграция электронной цифровой подписи в файл) в некоторую заранее указанную директорию на файловом сервере.
Подход прикладного криптосервера широко применяется для криптографической защиты электронных файлов документов в гетерогенной КС " или для сопряжения с телекоммуникационными системами.
Однако потребности аналитика и пользователей не всегда исчерпываются защищенной передачей файлов. В ряде случаев целесообразно иметь целиком защищенный канал связи с сервером и реализовывать криптографическую защиту на транспортном уровне.
При рассмотрении криптографической зашиты на транспортном уровне компьютерной системы необходимо учитывать важное свойство, следующее из иерархической модели взаимодействия: передача информации от верхних уровней представления
(файлов) к нижним уровням (пакетам) полностью и без изменения сохраняет содержательную часть информации. Например, передача файла по сети происходит следующим образом: файл разбивается на блоки-пакеты, длина которых зависит от применяемого оборудования связи, эти пакеты транспортируются по сети, затем на приеме собираются в файл. Отсюда следует, что зашифрованный файл будет
99. Гетерогенной называется компьютерная система, состоящая из разнородных элементов, например, серверов, персональных компьютеров, различных мобильных устройств (смартфонов).
434
разобран на уже зашифрованные пакеты и вся информация в канале связи также будет зашифрованной.
И, наоборот, при процедуре шифрования, реализованной на транспортном уровне, информация получается и передается в верхние уровни в открытом виде, но пакеты шифруются в сети.
Данный факт позволяет определить область применения шифрований транспортного уровня:
1. В компьютерной системе с прохождением каналов связи по территории, доступной для злоумышленника.
2. При невозможности зашифрования путем дина мического файлового шифрования.
3. При отсутствии необходимости шифрования ло кальных ресурсов.
Криптогафическая защита транспортного уровня (рис. 29) может быть реализована программно при встраивании в информационные потоки сетевых программных средств и аппаратно - на стыке компьютер -сетевые средства (на рис. - уровень 4) или компьютер -кабельная система (на рис. - уровень 6).
И, наоборот, при процедуре шифрования, реализованной на транспортном уровне, информация получается и передается в верхние уровни в открытом виде, но пакеты шифруются в сети.
Данный факт позволяет определить область применения шифрований транспортного уровня:
1. В компьютерной системе с прохождением каналов связи по территории, доступной для злоумышленника.
2. При невозможности зашифрования путем дина мического файлового шифрования.
3. При отсутствии необходимости шифрования ло кальных ресурсов.
Криптогафическая защита транспортного уровня (рис. 29) может быть реализована программно при встраивании в информационные потоки сетевых программных средств и аппаратно - на стыке компьютер -сетевые средства (на рис. - уровень 4) или компьютер -кабельная система (на рис. - уровень 6).
1 ... 17 18 19 20 21 22 23 24 25
1. Прикладная программа
2. Сетевой клиент рабочей станции
3. Локальная ОС
5
. Транспортный уровень
6. Криптомодуль наложенный
7. Сетевая ОС
Рис. 29. Встраивание средств криптозащиты
транспортного уровня
435
4. Криптомодуль встроенный
2. Сетевой клиент рабочей станции
3. Локальная ОС
5
. Транспортный уровень
6. Криптомодуль наложенный
7. Сетевая ОС
Рис. 29. Встраивание средств криптозащиты
транспортного уровня
435
4. Криптомодуль встроенный
Криптографическая защита информации на
прикладном уровне (или криптографическая защита
прикладного уровня) - такой порядок проектирования,
реализации
и
использования
криптографических
средств, при котором входная и выходная информация
и, возможно, ключевые параметры принадлежат
потокам
и
объектам
прикладного
уровня.
Информация, находящаяся на нижестоящих иерархических уровнях (далее используется термин
«нижестоящие уровни») относительно объекта прикладного уровня, представляет собой подобъекты данного объекта (его составные части). Только на прикладном уровне возможна персонализация объекта, т.е. однозначное соответствие созданного объекта породившему его субъекту (субъектом прикладного уровня является, как правило, прикладная программа, управляемая человеком-пользователем).
В то же время необходимо отметить, что логическая защита вышестоящего уровня наследуется нижестоящими. Поясним данное свойство примером.
Предположим, на прикладном уровне зашифровано поле базы данных. При передаче информации по сети происходит ее преобразование на нижестоящий сетевой уровень.
При этом поле будет передано в зашифрованном виде, разобщено на последовательность пакетов, информационное поле каждого из которых также зашифровано, и затем передано по транспортной системе локальной или глобальной телекоммуникационной сети в виде датаграмм с зашифрованным информационным полем. Адрес при этом не будет закрыт, поскольку субъект нижестоящего уровня, который произвел декомпозицию, не имеет информации о функции преобразования объекта. Это показывает, что криптографическая защита объекта прикладного уровня действительна и для всех нижестоящих уровней. Таким образом, при защите информации на прикладном уровне процедуры передачи, разборки на пакеты, маршрутизации и обратной сборки не могут нанести ущерба конфиденциальности информации.
Особенностью существования субъектов-программ прикладного уровня, а также порождаемых ими объектов, является отсутствие стандартизованных форматов представления объектов. Более того, молено утверждать, что такая стандартизация возможна лишь для отдельных структурных компонент субъектов и объектов прикладного уровня (например, типизация данных в транслируемых и интерпретируемых языках программирования, форматы результирующего хранения для текстовых редакторов и др.). Субъекты и объекты прикладных систем создаются пользователем, и априорно задать их структуру не представляется возможным.
Существует два подхода к реализации криптографических функций на прикладном уровне.
Первый подход связан с реализацией функций криптографической защиты в отдельном субъекте- программе (например, после подготовки электронного документа в файле активизируется программа цифровой подписи для подписания данного файла).
Данный подход получил также название абонентской зашиты, поскольку активизация программы производится конечным пользователем-абонентом. Мы упоминали об этом подходе, когда рассматривали защищенную электронную почту.
Первый подход отличается простотой реализации и применения. Второй подход связан с вызовом функций субъекта непосредственно из программы порождения защищаемых объектов и с внедрением криптографических функций непосредственно в прикладную программу. В связи с этим современные информационные технологии предполагают более широкое использование второго подхода, хотя при этом применяются различные технические решения. Сравним оба подхода в таб. 23.
436 437
Таблица 23
Первый подход
Второй подход
Сопряжение с прикладной подсистемой
На этапе эксплуатации
На этапе проектирования и разработки
Зависимость от прикладной системы
Низкая
Высокая
Локализация защищаемого объекта
Внешняя (относительно защитного модуля и прикладной программы)
Внутренняя (защита внутреннего объекта прикладной программы)
Операционная зависимость
Полная
Неполная
Несомненно, что предпочтительным для аналитической подсистемы является реализация криптографических функций на прикладном уровне.
При этом всегда можно точно оценить, все ли объекты будут криптографически защищены.
Процесс внедрения криптографических механизмов в аналитическую подсистему на языке специалистов- криптографов называется встраиванием. Важной задачей является проверка корректности встраивания криптографических функций в аналитическую прикладную систему.
Основным показателем корректности встраивания является использование криптографических механизмов в необходимых местах прикладной системы. Надежный замок должен быть врезан в прочную дверь, а не в стену.
12.5. Процесс построения
защищенной компьютерной системы
для аналитических исследований
Для плодотворной работы системного аналитика необходимо создание компьютерного инструментария. В первую очередь необходимо понять цель и рамки проведения ССИ и выбрать для них соответствующие ресурсы.
Далее, необходимо определить, какого рода информация будет анализироваться, обрабатываться и храниться,
и выбрать необходимый набор аппаратных и программных средств для реализации поставленных задач.
Кратко опишем методологию процесса проектирования защищенной корпоративной КС, предназначенной для проведения ССИ. При этом будем опираться на сформулированные выше утверждения, методы и подходы. Изложенный выше понятийный и методический аппарат позволяет заказчику аналитической системы, эксперту-аналитику, который будет потом ее использовать, «говорить на одном языке» с разработчиками архитектур КС, программистами прикладных аналитических систем и специалистами по безопасности, понимать предложенные ими решения, правильно оценивать реальные параметры защищенной системы, самостоятельно и осознанно применять и совершенствовать организационные и организационно- технические меры безопасности.
Первоначально, исходя из назначения аналитической КС, определяются существенно важные элементы, связанные с ее архитектурой, с распределенностью КС, с составом аппаратных компонент, с составом и свойствами «программного наполнения»
(в первую очередь свойствами операционных сред КС). Выше мы приводили обобщенную пятизвенную архитектуру аналитической
КС. В целом ее можно брать за основу при проектировании, делая необходимые уточнения в конкретных случаях. Например, если аналитическая КС замкнута внутри корпорации и не допускает работу удаленных аналитиков, то звено внешних пользователей не нужно реализо-вывать, что удешевляет стоимость системы и упрощает реализацию функций безопасности для КС в целом.
Далее формулируется политика безопасности, реализуемая в КС (состоящая, как было указано, в выборе критерия различения потоков легального и несанкционированного доступа).
Затем политика безопасности подвергается коррекции, учитывающей распределенность компьютерной системы. Уточненная политика безопасности подвергается содержательному анализу с целью