Законодательные основы защиты информации1

Законодательные основы защиты информации
В настоящее время в РФ принят ряд законов, имеющих непосредственное отношение к за- щите информации. В том числе «Доктрина информационной безопасности». Реализация этой доктрины предполагает наличие современного научно-технического и организационного пра- вового обеспечения защиты информации. Научно-техническое обеспечение это некоторый комплекс защищённых технологий представленных на уровне ПО, и аппаратных средств заши- ты информации. Организационно-правовое обеспечение совокупность организационных ре- шений, законов и нормативов, определяющих общую организацию работ по защите информа- ции, как в масштабах государства, так и конкретного информационного объекта защиты.
Наиболее значимыми прежде всего являются следующие два закона:
Закон об информации, ИТ и защите информации (2006 год)
Закон о государственной тайне (1993 год)
Информация (в том числе подлежащая защите) является специфическим продуктом, кото- рый может быть представлен в конкретном материализованном виде.
В законе об информации даётся следующее определение информации: Информация это сведения, сообщения или данные, полученные независимо от способа их поиска, хранения и обработки.
Вводится понятие "документированной информации": Документированная информация за- фиксированная на материальном носителе информации с реквизитами, позволяющими её иден- тифицировать.
Этим же законом определено, что обладателем информации признаётся лицо, самостоя- тельно получившее или создавшее информацию, либо лицо, которому исключительные права обладателя были переданы на законных основаниях.
Вводится в рассмотрение понятие "информации с ограниченным доступом": Информация с ограниченным доступом может быть представлена в двух основных видах:
Информация, отнесённая к государственной тайне
Конфиденциальная информация, определяющая коммерческую, личную, служебную и другие тайны
Таким образом, законом определяется соответствующая категория информации, требующая определённых ограничений в её использовании, а следовательно такая информация требует защиты.
Цели защиты информации
Основные цели защиты информации:
Предотвращение утечки, хищения, утраты и искажения информации
Обеспечение безопасности личности, общества, государства
Предотвращение несанкционированных действий по уничтожению, модификации, блоки- рованию и копированию информации
Защита конституционных прав граждан на сохранение личной тайны и конфиденциаль- ности персональных данных в информационных системах различного рода и назначений
Сохранение государственной тайны и конфиденциальности документированной информа- ции в соответствии с законодательством
Для достижения указанных целей, структуры, использующие информацию с ограниченным доступом, должны иметь в своём составе ответственных за защиту этой информации или специальных службы, обеспечивающие защиту информации.
Государственная тайна сведения, в области его военной, внешнеполитической, эконо- мической, разведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.
Степень секретности сведений, составляющих государственную тайну, должна соответство- вать степени тяжести ущерба, который может быть нанесён безопасности государства, вслед- ствие распространения указанных сведений, а именно, в этой связи устанавливаются три сте- пени секретности сведений, составляющих государственную тайну и соответствующие этим степеням грифы секретности для носителей указанных сведений (в порядке убывания секрет- ности):
Особой важности
Совершенно секретно
Секретно
Носитель такой информации обязательно должен иметь реквизиты, включающие следующие данные:
О степени секретности сведений, содержащися на носителе
Об органе государственной власти, осуществляющим засекречивание носителя
О регистрационном номере
Об условиях рассекречивания сведений
В общем смысле, говоря о секретной информации, мы говорим о гостайне.
Лицензирование и сертификация в области защиты ин- формации
Контроль за использованием ценной информации, в том числе секретной можно эффек- тивно осуществлять через соответствующие системы лицензирования, а за качеством системы обработки и защиты информации через системы сертификации. Системы лицензирования и сертификации в области защиты информации являются важной составной частью государ- ственной системы защиты информации.
Под лицензированием в области защиты информации понимают деятельность, связанную с
передачей или получением прав на проведение работ в области защиты информации.
Лицензия в области защиты информации оформленное соответствующим образом разре- шение на проведение указанных в разрешении работ в области защиты информации.
Лицензиат сторона, получившая право на проведение работ в области защиты информа-
ции.
Система государственного лицензирования создаёт правовые условия для проведения со- ответствующих работ по защите информации для субъектов, имеющих на этот вид деятельности соответствующее разрешение. Порядок и правила лицензирования в области защиты информации существенно зависят от вида ценной информации, которая может быть отнесена к государственной тайне или к конфиденциальной информации. В этой связи созданы и функционируют несколько систем лицензирования. Как правило, в лицензировании задействованы прежде всего Федеральная служба технического и экспортного контроля (ФСТЭК), Федеральная служба безопасности РФ (ФСБ), Федеральная служба охраны (ФСО) и некоторые другие службы.
Сертификация средств защиты информации это комплекс организационно-технических мероприятий, в результате которых посредством специального документа (сертификата) под- тверждается соответствие средств защиты информации требованиям нормативных документов об информационной безопасности и государственным стандартам.
Примечание: обязательной сертификации подлежат все средства зашиты информации, пред- назначенные для зашиты сведений, составляющих гостайну.
Кроме лицензирования и сертификации важную роль в вопросах защиты информации иг- рают аттестации объектов информатизации по требованиям безопасности информации и контроль состояния зашиты информации.
Под объектами информатизации понимают автоматизированные системы обработки ин- формации различного уровня и назначения, совместно с помещениями, в которых они распо- ложены, а так же отдельные помещения, предназначенные для проведения закрытых (конфи- денциальных) мероприятий информационного характера.
Под аттестацией объектов информатизации понимается комплекс соответствующих органи-
зационно-технических мероприятий, в результате которых проверяется соответствие объекта требованиям нормативно-технических документов по аттестации объекта. В итоге аттестации выдаётся документ аттестат соответствия.
Наличие на объекте информатизации действующего аттестата соответствия даёт право об- работки ценной информации на период времени, указанный в аттестате.
Примечание: обязательной аттестации подлежат объекты информатизации, предназначен- ные для обработки информации, составляющей гостайну.
Аттестация всегда предшествует началу обработки этой информации и вызвана необходи- мостью официального подтверждения эффективности комплекса средств защиты информации, используемого на данном объекте.
Основные понятия определения информационных угроз
Информация это сведения о фактах, событиях, процессах и явлениях, воспринимаемых непосредственно человеком или специальным техническим устройством, и используемые для решения конкретных прикладных задач, в соответствующей предметной области.
Информация в общем случае существует в различных формах в виде, например, некоторых знаков, сингалов, символов на носителях различных типов. Можно отметить, что в настоящее время значительные объём ценной информации хранятся и обрабатываются в автоматизирован- ных системах, использующих современные средства вычислительной техники и коммуникации. Под автоматизированной системы обработки информации (далее системой) понимает-
ся организационно-техническая система, включающая совокупность четырёх взаимосвязанных компонентов:
Технические средства обработки информации (hardware)
Методы и алгоритмы обработки информации, представленные с помощью соответствую- щего ПО (software)
Информация на различных носителях (входная, выходная, промежуточная)
Персонал и пользователи системы
Информационная безопасность системы это состояние системы, при котором она с од- ной стороны способна противодействовать деструктивному фактору со стороны внешних и внутренних информационных угроз, а с другой функционирование самой системы не создаёт информационных угроз для себя и для внешней среды.
Угрозой информационной безопасности называется возможность реализации воздей-
ствия на информацию, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а так же возможность воздействия на компоненты системы, приводя- щего к нарушению её функционирования.
В настоящее время можно указать достаточно широкий перечень информационных угроз, насчитывающий сотни пунктов. Укажем наиболее значимые направления реализации таких угроз:
Несанкционированное копирование ценной информацииНеосторожные действия приводящие к разглашению ценной информации
Игнорирование организационных ограничений и установленных правил пользователями и персоналом при работе с системой
Знание информационных угроз необходимо для выработки прежде всего политики на кон- кретном объекте защиты.
Классификация информационных угроз может быть выполнена по ряду базовых признаков:
По природе возникновения
Естественные угрозы, вызванные воздействием на систему и её компоненты объек- тивных физических процессов или стихийных являений не зависящих от человека
Искуственные угрозы, вызванные деятельностью человека
По степени преднамеренности проявления
Угрозы случайного действия (например, сбои программно-аппаратных средств, неком- петентное использование персоналом оборудования, и т.д.)
Угрозы преднамеренного действия (например, угроза действий злоумышленника для хищения информации)
По непосредственному источнику угроз
Угрозы, источником которых является природная среда (стихийные бедствия, маг- нитные бури, и.т.д)
Угрозы, источником которых является природная человек (вербовка персонала)
Угрозы, источником которых являются санкционированные программно-аппаратные средства
Угрозы, источником которых являются несанкционированные программно-аппаратные средства
По положению источника угроз
Угрозы, источник которых расположен вне контролируемой зоны расположения си- стемы
Угрозы, источник которых расположен в пределах контролируемой зоны расположе- ния системы
Угрозы, источник которых имеет доступ к периферийным устройствам системы
Угрозы, источник которых расположен непосредственно в системе (например, угроза связанная с использованием некорректного программно-аппаратного обеспечения)
По степени зависимости от активности системы
Угрозы, которые могут проявляться вне зависимости от активности системы
Угрозы, которые могут проявляться только в режиме активности системы
По степени воздействия на систему
Пассивные угрозы, при реализации которых не изменяется структура и содержание системы (например, угроза копирования ценной информации)
Активные угрозы, при реализации которых могут вноситься изменения как в струк- туру, так и в содержание системы (например, внедрение программно-аппаратных закладок)
По этапам доступа пользователей или программ к ресурсам системы
Угрозы, которые могут проявляться только на этапе доступа к ресурсам системы (угрозы несанкционированного доступа к системе)
Угрозы, которые могут проявляться после разрешения доступа к ресурсам системы (угроза несанкционированного или некорректного использования ресурсов системы)
По способу доступа к ресурсам системы
Угрозы, направленные на использование стандартного доступа к ресурсам (угрозы незаконного получения пароля с последующей маскировкой под санкционированного пользователя)
Угрозы, направленные на использование скрытого доступа к ресурсам (вход в си- стему, минуя средства защиты,п использование недокументированных возможностей ОС)
По текущему месту расположения (ценной) информации в системе
Угрозы доступа к информации на внешних носителях (несанкционированное копи- рование информации с жёсткого диска)
Угрозы доступа к информации в оперативной памяти (чтение остаточной информации из ОЗУ)
Угрозы доступа к информации циркулирующей в линиях связи (незаконное подклю- чение к линиям связи)
Угрозы доступа к информации отображаемой на терминалах ввода/вывода (считыва- ние с дисплея)
Для обеспечения работоспособности системы в условиях информационных угроз информа- ция и система её обработки должны обладать следующими свойствами:
Конфиденциальность информации субъективно определяемое свойство информации, ука- зывающее на необходимость введения ограничений на круг субъектов, имеющих к ней доступ
Целостность информации свойство информации, определяющее её существование в некотором оригинальном виде
Доступность информации1 свойство системы, в которой циркулирует информации, опре- деляющее своевременный доступ санкционированных субъектов к интересующей их ин- формации
Принято считать, что информационная безопасность в системе обеспечена если для любых информационных ресурсов в системе поддерживается необходимый уровень конфиденциально- сти, целостности и доступности. В этой связи можно рассмотреть три базовых вида угроз:
Угроза нарушения конфиденциальности (при её реализации информация становится из- вестной субъекту, не имеющему права доступа к ней)
Угроза нарушения целостности (при реализации этой угрозы происходит несанкциониро- ванное изменение содержания информации)
Угроза отказа служб (возникает всякий раз, когда в результате преднамеренных или слу- чайных событий блокируется доступ к информационным ресурсам. Такое блокирование может быть как постоянным, когда запрашиваемый ресурс никогда не будет получен, так и временным).
Указанные виды угроз принято считать первичными, поскольку их реализация приводит к непосредственному деструктивному воздействию на информацию. В то же время непосред- ственное воздействие на информацию возможно для атакующей стороны, если в системе отсут- ствует механизм защиты. В современных системах обработки информации как правило всегда присутствуют механизмы защиты информации, не позволяющие атакующей стороне непосред- ственно воздействовать на информацию.
Необходимо учитывать, что не существует абсолютно стойкой системы защиты. Вопрос лишь во времени и средствах на преодоление защиты. Поскольку преодоление зашиты так же предоставляет собой угрозу, для защищённых систем можно рассмотреть четвёртый вид угроз:
1. Угроза разведки параметров механизма защиты
Данную угрозу можно рассматривать как опосредованную, поскольку её реализация на первой стадии не причиняет непосредственный ущерб защищаемой информации, но создаёт возмож- ность для реализации выше рассмотренных непосредственных угроз. Учёт данного вида угроз позволяет вводить различия между защищёнными и незащищёнными информационными систе- мами. Для незащищённых угрозы разведки параметров системы считается реализованной.
Структуризация методов обеспечения информационной без- опасности
При рассмотрении вопросов, связанных с информационной безопасностью автоматизирован- ных систем обработки информации, используется структура, состоящая из следующих четырёх уровней доступа:
Уровень носителей информации
Уровень средств взаимодействия с носителем информации
Уровень представления информации
Уровень содержания информации
Данные уровни введены в рассмотрение исходя из следующих соображений:
Информация всегда фиксируется на некотором материальном носителе
Всегда возникает необходимость взаимодействия с носителем со стороны пользователя или некоторого технического устройства
Любая информация, в том числе и ценная, всегда характеризуется некоторым способом представления
Человеку должна быть доступна семантика (т.е. смысл) представленной информации Защита информации на уровне носителей в первую очередь подразумевает защиту машин-
ных носителей, в то же время необходимо учитывать, что на этом уровне также предполагается защиты информации, находящейся в каналах связи, представленной в виде документов, и т.п.
Защита средств взаимодействия с носителем в первую очередь рассматривается как защита от несанкционированного доступа и обеспечивается разграничением прав доступа пользовате- лей к ресурсам системы.
Защита представления информации в основном обеспечивается средствами криптографиче- ской защиты.
Защита содержания информации обеспечивается т.н. семантической защитой данных.
Основные направления и методы реализации угроз ин- формационной безопасности
К основным направлениям реализации информационных угроз относятся следующие:
Непосредственное обращение к объектам доступа
Создание программно-аппаратных средств, выполняющих обращение к объектам доступа в обход средств защиты
Несанкционированная модификация существующих средств защиты, позволяющая реа- лизовать информационные угрозы
Внедрение программно-аппаратных средств в систему с целью нарушения ее функциони- рования
К числу основных методов реализации угроз можно отнести прежде всего следующие:
Определение злоумышленником типа и параметров носителя информации
Получение злоумышленником информации о программно-аппаратной среде, типе и пара- метрах используемой вычислительной техники
Получение злоумышленником данных об используемых механизмах защиты
Хищение машинных носителей информации
Использование специальных программно-аппаратных средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН)
Уничтожение средств вычислительной техники и носителей информации
Несанкционированный доступ к информационным ресурсам системы с использованием специальных средств, приемов и методов
Несанкционированное превышение персоналом и пользователями системы своих полно- мочий
Внесение персоналом и пользователями несанкционированных изменений в программно- аппаратную среду системы
Выведение из строя машинных носителей информации без уничтожения самой информа- ции (например, выведение из строя электронных блоков накопителей на жестких дисках)
Основные положения и принципы обеспечения информа- ционной безопасности в системах
Основные положения сводятся к следующим:
Информационная безопасность системы всегда должна основываться на требованиях су- ществующих законов, стандартов и нормативом методических документов в области ин- формационной безопасности.
Информационная безопасность системы обеспечивается комплексом современных программно- аппаратных средств информационной защиты и организационных мер.
Информационная безопасность должна поддерживаться на всех технологических этапах обработки информации и во всех режимах, в том числе при проведении регламентных и ремонтных работ.
Программно-аппаратные средства защиты не должны существенно ухудшать основные функциональные характеристики системы (надежность, быстродействие, возможность ре- конфигурации и т.д.).
Рассмотренные положения могут быть реализованы при обеспечении следующих основных принципов:
Системности предполагает учет всех взаимосвязанных и изменяющихся во времени компонентов системы, влияющих на ее информационную безопасность.
Комплексности – предусматривает комплексное использование и согласование на функ- циональном уровне всех разнородных средств информационной защиты при построении целостной информационной защиты системы.
Непрерывности защиты предполагает не только обеспечение информационной защиты в течение жизненного цикла системы, но и предполагает проектирование системы защи- ты параллельно с разработкой архитектуры самой защищаемой системы. Этим самым обеспечивается учет требований безопасности системы на этапе ее проектирования.
Разумной достаточности создать абсолютно защищенную систему принципиально не возможно, поэтому всегда необходимо вести речь о некотором приемлемом уровне без- опасности. То есть речь идет об уровне, при котором затраты, риск и размер возможного ущерба были бы соизмеримы (приемлемы).
Гибкости управления механизмом защиты предполагает возможность перенастрой- ки уровня защиты в существующем механизме защиты в связи с изменением спектра информационных угроз (без замены самого механизма)
Принцип открытости алгоритмов и механизмов защиты этот принцип заключается в том, что защита не должна обеспечиваться только за счет секретности ее структурной организации или алгоритмов функционирования механизмов защиты. Более того, знание этих алгоритмов не должно давать возможности ее преодоления даже автору. Однако это не означает, что информация о конкретной системе защиты должна быть общедоступна. То есть необходимо обеспечить защиту от угрозы разведки параметров системы.
8Принцип простоты применения механизма защиты применение средств защиты не должно быть связано с выполнением пользователями и персоналом специальных знаний с выполнением действий требующих дополнительных трудозатрат, то есть не должны утомлять пользователей и персонал системы.
Утечка информации. Каналы утечки информации и их виды
Утечка информации это процесс получения ценной информации субъектами, не имею- щими прав доступа к ней. Можно рассмотреть прежде всего следующие три вида утечки информации:
Разглашение понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих право доступа к ней. С формальной точки зрения, разглашение имеет место всякий раз, когда происходит несанкционированная передача информации от субъектов с более высокими полномочиями по доступу, к субъектам с более низкими полномочиями по доступу к информации.
Несанкционированный доступ к информации понимается получение ценной информа- ции заинтересованным субъектом с нарушением прав доступа к этой информации. За- интересованным субъектом может быть, как физическое, так и юридическое лицо, в том числе государство.
Получение защищаемой информации разведками может осуществляться с помощью технически средств (техническая разведка) или агентурными методами (агентурная раз- ведка).
Канал утечки информации это система, состоящая из источника информации, материально- го носителя и средства выделения информации из носителя. Важным свойством канала утечки является расположение средства выделения информации из носителя, которое может распола- гаться как в пределах контролируемой зоны, так и вне этой зоны. Применительно к системам обработки информации можно выделить прежде всего следующие технические каналы утечки:
Электромагнитный канал. Причина возникновения этого канала является электромагнит- ное поле, вызванное прохождение электрического тока в аппаратных компонентах систе- мы. Этот канал подразделяется на:
радио канал (высокочастотное излучение);
низкочастотный канал;
сетевой канал (предполагает наводки на сеть электропитания);
канал заземления (связан с наводками на линии заземления);
линейный канал (рассматривает наводки на линии связи между компьютерными си- стемами).
Акустический и виброакустический каналы эти каналы связаны с возможностью рас- пространения акустических волн в воздухе или упругих колебаний в водных и твердых средах, возникающих при функционировании информационных систем и человека.
Визуальный канал этот канал связан с возможностью визуального наблюдения за за- щищаемой информацией.
Информационный канал этот канал предполагает возможность доступа к элементам системы обработки информации, а также к носителям информации. Данный канал может быть подразделен на следующие виды.
канал коммутированных линий связи (переключаемых);
канал выделенных линий связи;
машинных носителей информации;
канал локальной сети;
канал терминальных устройств.
Основные механизмы защиты компьютерных систем
Для реализации функций защиты компьютерных систем обычно используются следующие
универсальные механизмы защиты информации:
Идентификация, аутентификация и авторизация субъекта;
Контроль доступа к ресурсам системы;
Регистрация и анализ событий, происходящих в системе;
Контроль целостности ресурсов системы.
Идентификация это процесс распознавания элементов системы с помощью определённо- го идентификатора (признака).
Аутентификация проверка подлинности идентификации субъекта.
Авторизация процесс предоставления субъекту прав доступа на объект.
Под контролем доступа понимается ограничение возможности использования ресурсов си- стемы субъектами в соответствии с правилами разграничения доступа. Механизм регистрации и анализа событий необходим для оперативного получения и анализа информации о состоянии системы и её ресурсов с помощью специальных средств контроля. Этот механизм позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему, что в итоге способствует установлению уровня опасности нарушения и определения технологии его восстановления.
Механизм контроля целостности ресурсов системы предназначен для оперативного обна- ружения модификации ресурсов с целью восстановления их целостности. Указанные универ- сальные механизмы могут применяться совместно в различных вариациях для достижения наибольшего эффекта.
Очевидно, для сравнения вводимой и эталонной информации при аутентификации эталон- ные учётные данные пользователей должны храниться в системе. При этом хранение эта- лонных данных может быть как непосредственно на защищаемом объекте, так и на сервере. Необходимо отметить, что пароль в явном виде не должен храниться на защищаемом объ- екте. Это условие не позволяет внутреннему нарушителю считать чужой пароль и присвоить полномочия другого пользователя.
Для того чтобы системы защиты могла идентифицировать санкционированных пользова- телей в памяти системы хранятся пароли не в явном виде, а виде образов. Образы паролей вычисляются по специальному криптографическому алгоритму, например, алгоритму реализу- ющему односторонюю функцию Y = F (X). Основными требованиями к этой функции являют- ся относительная простота её вычисления по известному аргументу X, и чрезвычайно высокая вычислительная сложность определения аргумента по известному значению Y .
Процедуры идентификации пользователя и аутентификации пользователя на рабочей стан- ции могут быть представлены следующими шагами:
Запрос на ввод идентификатора со стороны системы защиты
Ввод пользователем своего идентификатора Name
Запрос на ввод пароля со стороны системы защиты
Ввод пользователем своего пароля P
Вычисление системой защиты значения односторонней функции Y = F (P )
Сравнение системой зашиты полученного на предыдущем шаге значения Y со значением образа пароля, соответствующего идентификатору SName
Если сравнение положительное, то система защиты предоставляет пользователю соот- ветствующие права доступа. Если условие не выполняется, то механизмом контроля и регистрации событий фиксируется событие попытки несанкционированного доступа

Таким образом, применение односторонней функции фактически блокирует попытку опре- деление пароля к системе. Рассмотренные выше процедуры могут использоваться для защиты локальных станций. В то же время взаимная идентификация удалённых рабочих станций в об- щем случае предполагает возможность прослушивания нарушителями канала связи. Очевидно, что рассмотренные выше процедуры не приемлемы, поскольку возможно считывание пароля по незащищённому каналу связи. В этом случае идентификация рабочих станций некоторого ал- горитма шифрования с секретным ключом (EK ). Секретный ключ должен быть известен всем санкционированным удалённым рабочим станциям.
Рассмотрим процедуры идентификации удалённых рабочих станций A и B, связанных неза- щищённым каналом.
Станция A посылает запрос на соединения со станцией B
Станция B посылает станции A некоторое случайное число R
Станция A зашифровывает R по известному ей алгоритму и ключу K, т.е. получает шифротекст C = EK (R), и результат направляет станции B.
Станция B вычисляет значение C
· = EK (R) и сравнивает C = C
·. Если сравнение выпол- няет, то станцией B принимает решение о том, что запрос об установлении сеанса связи отправлен санкционированной станцией A. В противном случае регистрирует попытка несанкционированного доступа и связь прерывается.
В общем случае может быть проведена взаимная идентификация рабочих станций, кото- рая основывается на последовательном применении вышеприведённой процедуры для обеих станций A и B.
Модели управления доступом
В сложных системах управление доступом субъектов к объектам возникает задача фор- мального описания процедур доступа. Основную роль в таком формальном описания играют так называемые модели управления доступом. Целью моделей управления доступом являются формальные выражения сути требований по безопасности к данной системе.
Естественно, что модель всегда должна быть адекватной моделируемой системе. Модель позволяет выполнить анализ свойств системы доступа, не накладывая ограничений на реа- лизацию конкретных механизмов защиты. Модели управления доступом являются основными компонентами любой политики информационной безопасности.
Политика безопасности набор норм, правил, и практических приёмов, реализующих за- щиту и распределение ценной информации. Другими словами, политика безопасности набор правил управления доступом субъектов к объектам доступа При разработке политики безопас- ности рассматриваются следующие 2 основных шага: 1) в информацию вводится структура
ценностей и производится анализ риска; 2) определяется правила доступа субъектов к ин- формационным объектам. При выполнении второго шага возникает необходимость в создании адекватной модели доступа. В настоящее время получили распространение моделей дискреци- онного и мандатного управления доступа к ресурсам.

Основные механизмы реализации моделей доступа
Дискреционный механизм управления доступом это способ обработки запросов диспет- чером доступа, основанный на задании правил разграничения доступа в диспетчере только непосредственно матрицей доступа D. Дискреционный механизм предполагает задание в каче- стве учётной информации для субъектов и объектов их идентификаторов (Ci, Oj ), а в качестве правил разграничения доступа матрицу доступа D.
При запросе доступа, поступающего в диспетчер от субъекта, диспетчер вначале из запро- са выделяет идентификаторы субъекта и объекта (Ci, Oj ), затем диспетчер находит элемент матрицы доступа на основе этих учётных данных и затем осуществляет управление запросом доступа на основании выбранного элемента матрицы доступа.
С учётом того, что при управлении доступом диспетчером анализируется полностью матри- ца доступа дискреционный механизм можно считать универсальным, поскольку на его основе может быть реализована любая из рассмотренных моделей, в том числе и модель полномочного управления.
Мандатный механизм управления доступом (в отличие от дискреционного) позволяет реа-
лизовать только полномочные модели управления доступом. В основе функционирования ман- датного механизм используется т.н. метки безопасности. Метки безопасности позволяют от- ражать полномочия субъектов и объектов в системе. При этом разграничение прав доступа в диспетчере может задаваться не матрицей доступа, а правилами обработки меток, на основании которых диспетчер принимает решение о предоставлении запрашиваемого доступа к ресурсу. При этом в качестве учётной информации субъектов и объектов доступа (кроме идентифи- каторов) в диспетчере доступа каждому субъекту и объекту ставятся в соответствие метки
безопасности из некоторого множества M = {M1, M2, . . . , Mk}.
Метки безопасности являются элементами линейно упорядоченного множества M и на-
значаются соответствующим субъектам и объектам доступа. Метки безопасности служат для формального представления их уровня полномочий, именно чем выше полномочие субъекта и объекта, тем меньшее значение метки безопасности Mi им присваивается. Т.е. для элементов множества M справедливо отношение: M1 < M2 < . . . < Mk .
Разграничение доступа диспетчером в этом случае реализуется на основе правил, опре- деляющих отношения линейного порядка на множестве M , где для любой пары элементов множества задаётся один из типов отношений (>, <, =). На практике в качестве множества M обычно рассматривается множество натуральных чисел. Это позволяет достаточно просто выполнять сравнение меток безопасности.
Введём в рассмотрение метки безопасности MCi, MOm. Рассмотренные ранее полномочным модели можно представить с помощью соответствующих правил разграничения, использующих метки MCi, MOm.
Таким образом, при мандатном механизме управлении доступом реализующем полномоч- ные модели, осуществляется обработка запросов диспетчером доступа, который использует формальное сравнение меток безопасности субъектов и объектов доступа в соответствии с за- данными правилами. Мандатный механизм управления доступом позволяет корректно реали- зовать полномочные модели управления доступом при условии что всем субъектам и объектам доступа сопоставлены метки безопасности.
При использовании данного механизма необходимо учитывать следующие особенности:
Eсли существует объект, не включенный в схему мандатного управления доступом, то этот объект может являться средством несанкционированного взаимодействия субъектов имеющих различные метки безопасности. Таким образом. для исключения этой ситуации метки безопасности должны устанавливаться на все объекты;
Мандатный механизм управления доступом позволяет корректно реализовать полномоч- ные модели при условии что системой защиты реализуется требование к изоляции про- граммных модулей различных пользователей в данном случае можно рассмотреть поня- тие скрытого канала взаимодействия под скрытым каналом понимаются любые непреду- смотренные (нештатные) возможности взаимодействия субъектов доступа с различными полномочиями. Например, передача информации между такими субъектами может осу- ществляться через некоторый буфер обмена.
Если существует возможность передачи информации между процессами запускаемыми с правами пользователей, которым назначены различные метки безопасности, то может реа- лизоваться возможность переноса информации из объекта например более высокого уровня конфиденциальности в объект с более низким уровнем конфиденциальности.
Преимуществом мандатного механизма является относительная простота настройки дис- петчера доступа при реализации полномочных моделей доступа т.е. достаточно в этом случае задать правило доступа соответствующие реализуемой модели и метки безопасности.
Необходимо помнить, что все функции управления доступом могут быть реализованы дис- креционным механизмом. Мандатный механизм можно считать частным случаем дискрецион- ного, предполагающим ранжирование субъектов и объектов по полномочиям.
Способы заданий меток безопасности
Наиболее распространенным способом задания меток безопасности является их определе- ние на основе уровни конфиденциальности и уровня прав доступа. При этом метки безопасно- сти принято называть метками конфиденциальности в основе иерархической классификации уровней доступа к ценной информации.
Используется формализованное категорирование информации по соответствующему уровню конфиденциальности на основании нормативных документов и распоряжений. В рамках этих документов определены такие категории как открытая служебная, конфиденциальная служба и т.д. Соответственно и пользователи (субъекты), использующие данную информацию, долж- ны обладать адекватной формой доступа к такой информации. Формализованное категориро- вание информации и категорирование формы доступа пользователя к информации позволяет задать метки конфиденциальности, что существенно упрощает построение канонической мат- рицы управления доступом.
В общем случае категорирование прав доступа может осуществляться и по другим прин- ципам. Например по принципу «начальник-подчиненный» для такого категорирования целе- сообразно запретить доступ подчиненного к файловым объектам начальника, а начальнику разрешить доступ к файловым объектам подчиненного с правом чтения.
Такой подход реализуется путем использования полномочной модели управления доступом с принудительным управлением виртуальными каналами субъектов взаимодействия доступом. Принцип заключается в следующем: 1) обрабатываемая информация разделяется, например,
по функциональному назначению. По числу обрабатываемых типов (категорий) информации вводятся метки MOm 2) однотипные метки присваиваются как выделенным видам информации, так и группам пользователей имеющим право обработки или доступа данной информации. Т.е. назначение однотипной метки предполагает полный доступ пользователя к информации, несовпадение меток запрет доступа.
Таким образом, правило управления доступом при задании разграничения не иерархическим объектам может быть представлено следующим образом:
Ci
· (З/Ч)
· Om, MCi = MOm
Основы криптографической защиты информации
Криптографическая защита информации основывается на прямом и обратном преобразова- ниях данных с использованием некоторой секретной (ключевой) информации. Системы, реали- зующие такие преобразования, принято называть криптосистемами. В общем случае можно указать (отметить) два вида таких криптосистем: симметричные и асимметричные. Симмет- ричные криптосистемы используют для прямого и обратного преобразований одну и ту же ключевую информацию (ключ). В асимметричных криптосистемах для шифрования и расшиф- рования применяются различные ключи, имеющие функциональную взаимосвязь. В то же вре- мя определение одного ключа по знанию другого является трудно разрешимой вычислительной задачей.
Симметричные криптосистемы при выполнении ими криптографических преобразований используют следующий протокол: A
· CHО
· B
A
· CHЗ
· B
, где CHО открытый канал, CHЗ закры-
тый канал.
Абонент A выполняет шифрование исходного текста T и получает шифротекст C =
EK (T ).
Абонент A отправляет по открытому каналу CHO шифротекст C.
Абонент A по закрытому каналу отправляет ключ абоненту B.
Абонент B расшифровывает исходный текст.
Из рассмотренной схемы и протокола ясно, что в этом случае необходимы два канала (от- крытый и закрытый). Данная схема наряду с недостатком (а именно необходимость закрытого канала), обладает, как правило, достаточно высоким быстродействием.
Асимметричная криптосистема может быть представлена следующим протоколом: A
·CHО
·B
Абонент B, используя соответствующий алгоритм, генерирует пару ключей (KО, KЗ).
Абонент B по открытому каналу отправляет абоненту A ключ KО. .KA = CH0(KO ).
Абонент A, используя полученный ключ выполняет шифрование исходного текста T и получает C. [C = EKA (T )]
Абонент A направляет по открытому каналу абоненту B шифротекст C. [CB = CHО(C)]
Абонент B расшифровывает исходный текст. [TB = DKЗ (CB )]
Преимуществом данной схемы является отсутствие закрытого канала, недостатком является
относительно низкое быстродействие, не позволяющее использовать данную схему в режиме онлайн.
Правила назначения меток безопасности иерархическим объектам доступа
Известно, что ряд объектов (например, файловые) характеризуются иерархической струк- турой, при этом объект доступа (например, файл) может находиться в подкаталоге, который в свою очередь располагается в каталоге логического диска. В этой связи возникает задача назначения меток безопасности иерархическому объекту.
С учетом того, что не только включаемый элемент является объектом доступа, но и каждый включающий элемент иерархии, в соответствии с требованиями к корректности реализации мандатного механизма метки безопасности должны устанавливаться всем объектам доступа, как включаемым так и включающим.
В основе назначения меток безопасности иерархическим объектам доступа используется следующий подход:
Пусть некоторому включаемому объекту (например, файлу) необходимо назначить метку безопасности. Это означает, что пользователю с соответствующей меткой будет дано право на чтение данного объекта и на запись в него. Соответственно, включающим элементом долж- на присваиваться метка, не позволяющая рассматриваемому пользователю осуществить в них запись, но позволяющая осуществить чтение (например, чтобы просмотреть структуру вклю- чающего элемента). Реализация данного подхода позволяет сформулировать следующее общее правило назначения меток безопасности иерархическим объектам доступа:
Метки безопасности из некоторого множества MO = (MO1 . . . MOk ) назначаются всем объектам доступа (без учета их иерархии), которым необходимо разграничить доступ. Т.е. процедура назначения меток безопасности начинается с разметки данных объектов.
Метки безопасности должны присваиваться всем включающим элементам иерархии для разметки старшего включающего элемента, не являющегося непосредственно объектом доступа, но которому необходимо разграничить доступ вводится метка MOk + 1, разре- шающая доступ с правом чтения для этой метки должно выполнятся условие MOk + 1 > MOk.
Eсли включаемому элементу не присваивается метка безопасности, тогда включаемый элемент наследует метку безопасности включающего его элемента.
КАНОНИЧЕСКАЯ МОДЕЛЬ
14. При разработке сложных механизмов информационной защиты возникает необходимость в использовании соответствующих моделей управления доступом. Модели управления доступом – основа любой политики безопасности. Политика безопасности – некоторый набор правил управления доступом субъектов к соответствующим информационным ресурсам (объектам). При выработке политики безопасности можно указать следующие два основных этапа: 1) В защищаемую информацию вводится структура ценностей и проводится анализ риска. 2) Определяется правило доступа любого субъекта информационного процесса к запрашиваемому ресурсу. На втором этапе возникает необходимость в создании адекватной модели управления доступом. В настоящее время разработан ряд моделей управления доступом, среди которых, прежде всего, следует отметить модели дискреционного и мандатного управления доступа к ресурсам. Каноническая модель управления доступом. C=(C1,,Ck); O=(O1,,Ok) – множества линейно упорядоченных субъектов и объектов доступа. В качестве Ci рассматривается как отдельный субъект, так и группа субъектов обладающих одинаковыми правами доступа. А в качестве Oi рассматривается как отдельный объект, так и группа объектов имеющих одинаковые права доступа к ним. Определим множества прав доступа с помощью S=(0,1), где 0 – запрет доступа субъекта к объекту, а 1 – разрешение полного доступа.

Если присутствуют «единицы» вне главной диагонали, то в системе присутствует, по крайней мере, один объект, доступ к которому невозможно реализовать корректно, поскольку этот объект должен включаться одновременно в несколько групп объектов, характеризуемых различными правами доступа к ним. Т.о. механизм управления доступом реализуется корректно, если модель доступа может быть приведена к каноническому виду. Особенностью данной модели является полное разграничение доступа субъектов к объектам, однако при этом отсутствуют каналы взаимодействия. В реальной ситуации между субъектами информационных отношений всегда должны присутствовать в той или иной форме каналы информационного взаимодействия.
КАНАЛЫ ВЗАИМОДЕЙСТВИЯ
15. В реальной ситуации между субъектами информационных отношений всегда должны присутствовать в той или иной форме каналы информационного взаимодействия. Канал взаимодействия – некоторая форма обмена информацией между субъектами доступа в рамках соответствующей модели управления доступом. Можно выделить следующие основные виды таких каналов: 1) Симплексный. Обеспечивает односторонний обмен информацией между субъектами доступа. (Ci -> Cj). 2) Дуплексный. Двусторонний обмен информацией. (Ci <-> Cj) Такой канал может быть реализован на основе двух встречно направленных симплексных каналов. В зависимости от активности отправителя и получателя, можно выделить активный или пассивный симплексный канал. Если активным является отправитель информации то симплексный канал называется активным, а в случае активности получателя – пассивным. Симплексный активный канал может быть реализован с применением операции («Зп» и «Д»). Пассивный с использованием операции «Чт». 3) Виртуальный.Предусматривает организацию взаимодействия субъектов доступа только на основе пассивных и активных симплексных каналов без применения дополнительных объектов.
М. УПР-Я ДОСТУПОМ С ВЗАИМОД-М СУБ-В Д-ПА ПОСРЕДСТВОМ ВЫДЕЛЕННОГО КАНАЛА
16. Рассматриваемая модель предполагает включение дополнительного объекта Ok+1 реализующего специальный выделенный канал. Выделенный канал реализуется на основе K дуплексных каналов взаимодействия субъектов доступа, каждый из которых может быть представлен парой взаимонаправленных активного и пассивного симплексных каналов с операциями Чт, Зп.

Основным недостатком модели является отсутствие разграничения информации в выделенном канале для всех субъектов доступа.
М. УПР-Я ДОСТУПОМ С ВИРТ. КАН-МИ ВЗАИМОД-Я НА ОСНОВЕ СИМПЛ. ПАССИВ-Х КАН-В

В данной модели обеспечивается взаимодействие субъектов доступа, однако отсутствует разграничение по операции чтения, т.е. любой субъект имеет возможность просматривать информацию принадлежащую другим субъектам.
М. УПР-Я ДОСТУПОМ С ВИРТ. КАН-МИ ВЗАИМОД-Я НА ОСНОВЕ СИМПЛ. АКТИВ-Х КАН-В

Позволяет вносить доп. информацию без права просмотра и модификации инфы, сод-ся в объекте. В данной модели очевидно обеспечивается полное разграничение доступа субъектов к объектам с учётом возможности информационного взаимодействия субъектов доступа.
ПОЛНОМОЧ-Я М. С ПРОИЗВО-М УПР-М ВИРТ. КАНА-В
20. Особенностью полномочных моделей является ранжирование субъектов и объектов в множествах C = (C1...Ck) и O = (O1Ok) по полномочиям. Принято считать, что максимальными полномочиями по доступу обладает С1 а минимальными Ck.

В рамках данной модели обеспечивается разграничение доступа субъектов к объектам и поддерживается взаимодействие субъектов доступа на уровни передачи информации от субъектов с более низкими полномочиями к субъектам с более высокими полномочиями. Полномочия модели управления доступом можно задать с помощью соответствующих правил управления доступом.
CiД>Om: i>m
CiЧт/Зп>Om: i=m
С помощью меток безопасности:
CiД>Om: MCi > Mom
CiЗп/Чт>Om: MCi = Mom
ПОЛНОМОЧ-Я М. С ПРОИЗВО-М УПР-М ВИРТ. КАНА-В

Субъекты с более высокими полномочиями имеют возможность просматривать объекты принадлежащие субъектам с более низкими полномочиями, т.о. как и для предыдущей модели в данном случаем может осуществлять передача информации от субъектов с более низкими полномочиями к субъектам с более высокими полномочиями.
CiЧт>Om: i<=m
CiЗп>Om: i=m
С помощью меток безопасности:
CiЧт>Om: MCi <= Mom
CiЗп>Om: MCi = Mom
ПОЛНОМОЧ-Я М. С ПРОИЗВО-М УПР-М ВИРТ. КАНА-В

В рассматриваемой модели используется комбинированное управление виртуальными каналами взаимодействия, при которых субъекты с более низкими полномочиями могут произвольно добавлять информацию, а объекты принадлежащие субъектам с более высокими полномочиями и субъекты с более высокими полномочиями могут принудительно просматривать информацию в объектах принадлежащим субъектам с более низкими полномочиями.
CiД>Om: i>m
CiЗп>Om: i=m
CiЧт>Om: i=С помощью меток безопасности:
CiД>Om: MCi > Mom
CiЗп>Om: MCi = Mom
CiЧт>Om: MCi <= Mom












Рисунок 8Рисунок 10Рисунок 1115

Приложенные файлы

  • doc 4683298
    Размер файла: 174 kB Загрузок: 0

Добавить комментарий