Лагоша О.Н. - Сертификация информационных систем (2021). Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование
 Скачать 5.4 Mb.
|
|
3. Классы защиты автоматизированных систем (АС) Нормативной базой является документ «Автоматизированные системы. Защита от несанкционированного доступа к информации (НСД). Классифика- ция автоматизированных систем и требования по защите информации». Дифференция подхода к определению средств иметодов защиты основывается на обрабатываемой информации, составе АС, структуре АС, качественном и количественном составе пользователей и обслуживающего персонала. Главны- ми этапами классификации АС являются: 1) создание и анализ исходных данных; 2) поиск основных признаков АС, нужных для классификации; 3) анализ выявленных признаков; 4) присвоение АС определенного класса защиты; 10 / 10 11 К основным параметрам определения класса защищенности АС относятся: – уровень конфиденциальности информации в АС; – уровень полномочий субъектов доступа АС к конфиденциальной ин- формации; – режим обработки информации в АС (коллективный или индивидуаль- ный). Выделяют девять классов защищенности АС от НСД к информации (рис. 1). Каждый класс имеет минимальный набор требований по защите. Классы можно кластеризовать на три группы. Каждая группа имеет свою иерархию классов. Третья группа — определяет работу одного пользователя, допущенного ко всем даннымАС, размещенной на носителях одного уровня конфиденциаль- ности. Группа имеет два класса — 3Б и 3А; Вторая группа — определяет работу пользователей,которые имеют одинаковые правадоступа ко всем данным АС, хранимой и (или) обрабатывае- мой на носителях разного уровня конфиденциальности. Группа имеет два клас- са — 2Б и 2А; Первая группа — определяет многопользовательские АС,где одновре- менно хранятся и(или) обрабатываются данные разных уровней конфиденци- альности, и не все пользователи имеют доступ к ней. Группа имеет пять клас- сов — 1Д, 1Г, 1В, 1Б, 1А. Рис. 1 Классификация АС по защищенности информации В общем случае комплекс программно-технических средств и организа- ционных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: – управления доступом; – криптографической; – регистрации и учета; – обеспечения целостности. 1 / 11 12 В зависимости от класса АС в рамках этих подсистем должны быть реа- лизованы требования в соответствии с таблицей 1. Таблица 1 Требования к АС Группа 3 Группа 2 Группа 1 Подсистемы и требования 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А 1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему + + + + + + + + + к терминалам, ЭВМ, узлам сети ЭВМ, кана- лам связи, внешним устройствам ЭВМ – – + – + + + + к программам – – – + – + + + + к томам, каталогам, файлам, записям, полям записей – – – + – + + + + Управление потоками информации – + – – + + + 2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) сис- тему(ы) (узел сети) + + + + + + + + + выдачи печатных (графических) выходных документов – + – + – + + + + запуска (завершения) программ и процессов (заданий, задач) – – – + – + + + + доступа программ субъектов доступа к за- щищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи – – – + – + + + + доступа программ субъектов доступа к тер- миналам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, програм- мам, томам, каталогам, файлам, записям, по- лям записей – – – + – + + + + изменения полномочий субъектов доступа – – – – – – + + + создаваемых защищаемых объектов доступа – – – + – – + + + 2.2. Учет носителей информации + + + + + + + + + 2.3. Очистка (обнуление, обезличивание) ос- вобождаемых областей оперативной памяти ЭВМ и внешних накопителей – + – + – + + + + 2.4. Сигнализация попыток нарушения защиты – – – – – – + + + 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной инфор- мации – – – + – – – + + 3.2. Шифрование информации, принадлежа- щей различным субъектам доступа (группам субъектов) на разных ключах – – – – – – – – + 3.3. Использование аттестованных (сертифи- цированных) криптографических средств – – – + – – – + + 2 / 11 13 Продолжение табл. 1 Группа 3 Группа 2 Группа 1 Подсистемы и требования 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А 4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации + + + + + + + + + 4.2. Физическая охрана средств вычислитель- ной техники и носителей информации + + + + + + + + + 4.3. Наличие администратора (службы) защи- ты информации в АС – – – + – – + + + 4.4. Периодическое тестирование СЗИ НСД + + + + + + + + + 4.5. Наличие средств восстановления СЗИ НСД + + + + + + + + + 4.6. Использование сертифицированных средств защиты – + – + – – + + + Обозначения к таблице: «–» — нет требования к текущему классу; «+» — есть требования к текущему классу. 3 / 11 14 ЛЕКЦИЯ 2 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАЗ ДАННЫХ 1. Информационная безопасность Информационная безопасность — защищенность информации и под- держивающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприем- лемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. ГОСТ «Защита информации. Основные термины и определения» вводит понятие информационной безопасности как состояния защищенности инфор- мации, при котором обеспечены ее конфиденциальность, доступность и цело- стность (рис. 2). Рис. 2 Составляющие информационной безопасности Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право. Целостность — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъекта- ми, имеющими на него право. Доступность — состояние информации, при котором субъекты, имею- щие право доступа, могут реализовывать его беспрепятственно. Угрозы информационной безопасности — совокупность условий и фак- торов, создающих потенциальную или реально существующую опасность на- рушения безопасности информации. Атакойназывается попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники назы- ваются источниками угрозы. Угрозы можно классифицировать по нескольким критериям (рис. 3): – по свойствам информации (доступность, целостность, конфиденциаль- ность), против которых угрозы направлены в первую очередь; – по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); – по способу осуществления (случайные/преднамеренные, действия при- родного/техногенного характера); – по расположению источника угроз (внутри/вне рассматриваемой ИС). 4 / 11 15 Рис. 3 Классификация угроз информационной безопасности Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Причинами возникновения уязвимостей в общем случае являются: 1) ошибки при разработке программного обеспечения; 2) преднамеренные изменения программного обеспечения с целью внесе- ния уязвимостей; 3) неправильные настройки программного обеспечения; 4) несанкционированное внедрение вредоносных программ; 5) неумышленные действия пользователей; 6) сбои в работе программного и аппаратного обеспечения. Уязвимости можно классифицировать по различным признакам: – по типу ПО — системное или прикладное; – по этапу жизненного цикла ПО, на котором возникла уязвимость, — проектирование, эксплуатация и пр.; – по причине возникновения уязвимости, например недостатки механиз- мов аутентификации сетевых протоколов; – по характеру последствий от реализации атак — изменение прав дос- тупа, подбор пароля, вывод из строя системы в целом и пр. Прежде чем приступать к построению системы защиты информации, не- обходимо провести анализ уязвимостей ИС и попытаться сократить их количе- ство, т. е. использовать метод превентивности. 2. Важнейшие угрозы безопасности баз данных 1. Чрезмерные и неиспользуемые пользовательские привилегии Когда кто-либо получает привилегии, объемы которых превышают необ- ходимые для выполнения должностных обязанностей, возникает вероятность злоупотребления этими привилегиями. Более того, когда какого-либо работни- 5 / 11 16 ка переводят на другую должность или он увольняется, уровень его доступа к конфиденциальной информации часто остается неизменным. 2. Злоупотребление привилегиями Существует вероятность использования пользователями своих легитим- ных прав доступа в противоправных целях. 3. Input-инъекции (инъекции в поле ввода) Существуют два основных способа взлома баз данных при помощи инъ- екций кода: – SQL-инъекции, применяемые для взлома традиционных СУБД. SQL- инъекции обычно представляют собой внедрение (инъекцию) неразрешенного или вредоносного кода в поля ввода веб-приложений; – NoSQL-инъекции, которые используются для взлома платформ Big Data. Инъекции типа NoSQL подразумевают внедрение вредоносного кода в компоненты Big Data (например, в Hive или MapReduce). 4. Хакерские программы Киберпреступники, профессиональные хакеры применяют передовые ме- тоды атаки, сочетающие в себе различные тактические приемы, такие как фи- шинговые электронные письма и хакерские программы, с целью проникнове- ния в сеть организаций и получения конфиденциальных данных. Легитимные пользователи, не зная об инфицировании своих компьютеров хакерским ПО, могут стать невольными посредниками, при помощи которых хакеры получают доступ к сетям и важным данным. 5. Недостаточные меры по аудиту данных Корпоративная информационная система должна включать в себя средст- ва для автоматической регистрации транзакций базы данных, в том числе про- токолирования операций с конфиденциальной информацией. Отказ от сбора детальных данных аудита ведет к возникновению серьезных угроз на множест- ве уровней. Многие организации используют встроенные в СУБД средства аудита, полагаются на узкоспециализированные решения или проводят аудит в ручном режиме. Однако возможности таких инструментов ограничены — они не по- зволяют проводить полноценный аудит, выявлять попытки взлома и проводить расследования. Более того, встроенные в СУБД средства часто оказывают из- лишнюю нагрузку на процессор и жесткий диск сервера, поэтому во многих случаях функция аудита просто отключается. Наконец, большинство встроен- ных решений работают лишь на одной, предназначенной для них, платформе. Так, логи Oracle отличаются от логов MS-SQL, а логи MS-SQL — от логов DB2. Это значительно осложняет внедрение однородного, масштабируемого механизма аудита в организациях, оперирующих СУБД различного типа. Большинство встроенных инструментов аудита не способны определить конечного пользователя, поскольку ассоциируют активность БД с учетными записями клиентских приложений. Отсутствие связи с пользователем, совер- шившим ту или иную операцию, препятствует ведению отчетности, возможно- 6 / 11 17 сти наблюдения и проведению расследований. К тому же пользователи, обла- дающие правами администратора БД (легитимными или полученными в ре- зультате взлома), могут отключить встроенный аудит, чтобы скрыть свою вре- доносную активность. Именно поэтому необходимо разграничивать функции управления аудитом и администрирование БД и серверной платформы, чтобы добиться четкого разделения зон ответственности. 6. Незащищенность носителей информации Носители информации, предназначенные для хранения резервных копий, часто остаются без какой-либо защиты. Результатом этого становится похище- ние дисков и пленок, содержащих резервные копии баз данных. 7. Эксплуатация уязвимых, неверно сконфигурированных баз данных На практике часто встречаются устаревшие версии баз данных и БД с на- стройками по умолчанию. К сожалению, обновление баз данных часто игнори- руется даже в тех случаях, когда выпускаются патчи и обновления. 8. Неуправляемая конфиденциальная информация Неучтенные БД могут содержать важную информацию, могут появляться новые базы данных (например, в процессе тестирования системы) — и все это проходит незамеченным службой безопасности компании. Если вовремя не внедрить систему разграничения прав доступа, конфиденциальные данные, со- держащиеся в этих базах данных, могут стать уязвимыми к взлому и утечкам. 9. Отказ в обслуживании (DoS) DoS — это способ атаки информационной системы, в результате которой легитимные пользователи теряют доступ к сетевым приложениям или информа- ции. Существуют различные способы создания DoS-условий. Наиболее попу- лярным способом проведения DoS-атаки на базу данных является провокация перегрузки аппаратных ресурсов сервера, таких как память и процессор, путем его бомбардировки чрезмерно большим количеством запросов или меньшим по количеству запросов, но на обработку которых требуется непропорционально много системных ресурсов. В обоих случаях DoS-атака приводит к одному ре- зультату: сервер, столкнувшись с недостатком системных ресурсов, отказывает своим пользователям в обслуживании и в некоторых случаях даже «падает». 10. Недостаток знаний и опыта в сфере информационной безопасности Развитие средств внутренней безопасности не успевает за ростом объемов данных, при этом многие организации слишком плохо оснащены и подготовле- ны для противодействия угрозам. Причиной этого часто является недостаток опыта и квалификации сотрудников в применении решений, улучшении поли- тик или реагировании на инциденты в сфере безопасности. В связи с повсеместным развитием Интернета наиболее часто атаки про- изводятся с использованием уязвимостей протоколов сетевого взаимодействия. Наиболее распространенные атаки: 1. Анализ сетевого трафика. Данный вид атаки (рис. 4) направлен в первую очередь на получение па- роля и идентификатора пользователя путем «прослушивания сети». Реализует- 7 / 11 18 ся это с помощью sniffer — специальная программа-анализатор, которая пере- хватывает все пакеты, идущие по сети. И если протокол, например FTP или TELNET, передает аутентификационную информацию в открытом виде, то злоумышленник легко получает доступ к учетной записи пользователя. Рис. 4 Схема реализации угрозы «Анализ сетевого трафика» 2. Сканирование сети. Суть данной атаки состоит в сборе информации о топологии сети, об от- крытых портах, используемых протоколах и т. п. Как правило, реализация дан- ной угрозы предшествует дальнейшим действиям злоумышленника с использо- ванием полученных в результате сканирования данных. 3. Угроза выявления пароля. Целью атаки является преодоление парольной защиты и получение НСД к чужой информации. Методов для кражи пароля очень много: простой перебор всех возможных значений пароля, перебор с помощью специальных программ (атака словаря), перехват пароля с помощью программы-анализатора сетевого трафика. 4. Подмена доверенного объекта сети и передача по каналам связи сооб- щений от его имени с присвоением его прав доступа. Доверенный объект — это элемент сети, легально подключенный к сер- веру. Такая угроза эффективно реализуется в системах, где применяются не- стойкие алгоритмы идентификации и аутентификации хостов, пользователей и т. д. Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения. Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет наруши- телю вести сеанс работы с объектом сети от имени доверенного субъекта. Реа- лизация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста). 8 / 11 19 Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. В результате реализации угрозы нарушитель получает права доступа, ус- тановленные его пользователем для доверенного абонента, к техническому средству ИС — цели угроз. 5. Навязывание ложного маршрута сети. Данная атака стала возможной из-за недостатков протоколов маршрути- зации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP), таких как слабая аутентификация маршрутизаторов. Суть атаки состоит в том, что злоумышлен- ник, используя уязвимости протоколов, вносит несанкционированные измене- ния в маршрутно-адресные таблицы. 6. Внедрение ложного объекта сети. Когда изначально объекты сети не знают информацию друг о друге, то для построения адресных таблиц и последующего взаимодействия использует- ся механизм запрос (как правило, широковещательный) — ответ с искомой ин- формацией. При этом если нарушитель перехватил такой запрос, то он может выдать ложный ответ, изменить таблицу маршрутизации всей сети и выдать се- бя за легального субъекта сети. В дальнейшем все пакеты, направленные к ле- гальному субъекту, будут проходить через злоумышленника. 7. Отказ в обслуживании. Этот тип атак является одним из самых распространенных в настоящее время. Целью такой атаки является отказ в обслуживании, т. е. нарушение дос- тупности информации для законных субъектов информационного обмена. Могут быть выделены несколько разновидностей таких угроз: – скрытый отказ в обслуживании, вызванный привлечением части ресур- сов ИС на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых уст- ройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо- запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу; – явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслужива- ние), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду пе- реполнения очередей запросов, дискового пространства памяти и т. д. Приме- рами угроз данного типа могут служить шторм широковещательных ICMP-эхо- запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений поч- товому серверу (Spam); 9 / 11 20 – явный отказ в обслуживании, вызванный нарушением логической связ- ности между техническими средствами ИС при передаче нарушителем управ- ляющих сообщений от имени сетевых устройств, приводящий к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации; – явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop», «Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую макси- мально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии на- личия ошибок в программах, реализующих протоколы сетевого обмена. 10 / 11 |