Безопасность и управление доступом в информационных системах. Лекции 11, 12, 13. Тема 3 Управление доступом в аис план
 Скачать 28.19 Kb.
|
|
Тема 1. 3 Управление доступом в АИС План Разграничение доступа к информации в информационных системах Организация разноуровневого доступа в АИС Реализация политика безопасности в АИС 4. Учетные записи пользователей АИС 1. Разграничение доступа к информации в информационных системах Под безопасностью автоматизированных систем обработки информации (АСОИ) понимают их защищенность от случайного или преднамеренного вмешательства в нормальный процесс их функционирования, а также от попыток хищения, изменения или разрушения их компонентов . Одним из основополагающих понятий в ИБ является понятие доступа к информации. Под доступом к информации понимается ознакомление с ней, ее обработка, в частности копирование, модификация и уничтожение. Понятие доступа к информации неразрывно связано с понятиями субъекта и объекта доступа. Субъект доступа - это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы (пользователь, процесс, прикладная программа и т.п.). Объект доступа - это пассивный компонент системы, хранящий, принимающий или передающий информацию (файл, каталог и т.п.). Зачастую, один и тот же компонент системы может являться и субъектом и объектом различных доступов. Например, программа PROGRAM.COM, запускаемая пользователем системы является объектом доступа для данного пользователя. Если та же самая программа PROGRAM.COM читает с диска некоторый файл FILE.TXT, то при данном доступе она является уже субъектом. В информационной безопасности различают два типа доступа - санкционированный и несанкционированный. Санкционированный доступ к информации - это доступ, не нарушающий установленные правила разграничения доступа, служащие для регламентации прав доступа субъектов к объектам доступа. Несанкционированный доступ (НСД) к информации - доступ, нарушающий установленные правила разграничения доступа. Субъект, осуществляющий НСД, является нарушителем правил разграничения доступа. НСД является наиболее распространенным видом нарушений безопасности информации. В защите информации ПК от НСД можно выделить три основных направления: первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя; второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации; третье направление связано с использованием специальных средств защиты информации ПК от несанкционированного доступа. Специальное программное обеспечение по защите информации ПК Для защиты персональных компьютеров используются различные программные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации. Среди стандартных защитных средств персонального компьютера наибольшее распространение получили: Средства защиты вычислительных ресурсов, использующие парольную идентификацию и ограничивающие доступ несанкционированного пользователя; Применение различных методов шифрования, не зависящих от контекста информации; Средства защиты от копирования коммерческих программных продуктов; Защита от компьютерных вирусов и создание архивов; Средства, использующие парольную идентификацию 2. Организация разноуровневого доступа в АИС В простейшем случае вы можете воспользоваться аппаратными средствами установления пароля на запуск операционной системы ПК с помощью установок в CMOS Setup. При запуске ПК на экране монитора появляется сообщение (в зависимости от типа установленного у вас BIOS) вида: Press "DEL" if you want to run Setup или Press "Ctrl""Alt""Esc" if you want to run Setup (для некоторых видов BIOS). Нажмите клавишу "DEL" или ("Ctrl"+"Alt"+"Esc") и на экране появится меню CMOS Setup. Выберите опцию Password Checking Option, введите пароль, сохраните новые установки Setup ("F10", "Y") и перезапустите ПК. Теперь перед каждым запуском компьютера на экране монитора будет появляться сообщение с требованием ввести пароль. К сожалению, использование подобной парольной идентификации не является надежным. Достаточно ввести универсальный шрольп (AWARD_SW) или отключить аккумуляторную батарею, расположенную на материнской плате, и компьютер "забудет" все установки CMOS Setup. Защита встроенного накопителя на жестком магнитном диске составляет одну из главных задач защиты ПК от постороннего вторжения. Существует несколько типов программных средств, способных решить задачи защиты: защита от любого доступа к жесткому диску; защита диска от записи/чтения; контроль за обращением к диску; средства удаления остатков секретной информации. Защита встроенного жесткого диска обычно осуществляется путем применения специальных паролей для идентификации пользователя (так называемая парольная идентификация). В данном случае доступ к жесткому диску можно получить при правильном введении пароля при загрузке операционной системы. В противном случае загрузка системы не произойдет, а при попытке загрузки с гибкого диска, жесткий диск становится "невидимым" для пользователя. Эффект защиты жесткого диска в системе достигается видоизменением загрузочного сектора диска, из которого удаляется информация о структуре диска. Такая защита надежно защищает жесткий диск от рядового пользователя. Возможность использования персональных компьютеров в локальных сетях (при сопряжении их с другими ПК) или применение модемов для обмена информацией по телефонным проводам предъявляет более жесткие требования к программному обеспечению по защите информации ПК. Потребители ПК в различных организациях для обмена информацией все шире используют электронную почту, которая без дополнительных средств защиты может стать достоянием посторонних лиц. Самой надежной защитой от несанкционированного доступа к передаваемой информации и программным продуктам ПК является применение различных методов шифрования (криптографических методов защиты информации). Избирательное управление доступом (англ. Discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа. Также называется Дискреционное управление доступом, Контролируемое управление доступом и Разграничительное управление доступом. Субъект доступа «Пользователь № 1» имеет право доступа только к объекту доступа № 3, поэтому его запрос к объекту доступа № 2 отклоняется. Субъект "Пользователь «№ 2» имеет право доступа как к объекту доступа № 1, так и к объекту доступа № 2, поэтому его запросы к данным объектам не отклоняются.Для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны несколько подходов к построению дискреционного управления доступом: Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту. Система имеет одного выделенного субъекта —суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы. Субъект с определенным правом доступа может передать это право любому другому субъекту. Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT. Избирательное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации. Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) — развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Формирование ролей призвано определить четкие и понятные для пользователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа. Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей. Несмотря на то, что Роль является совокупностью прав доступа на объекты компьютерной системы, ролевое управление доступом отнюдь не является частным случаем избирательного управления доступом, так как его правила определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению. Так как привилегии не назначаются пользователям непосредственно, и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем. 3. Реализация политики безопасности в АИС Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы. Формальное выражение политики безопасности называют моделью политики безопасности. Основная цель создания политики безопасности информационной системы и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователи получат доступ к информации, и смогут осуществлять с ней только санкционированные действия. Кроме того, формальные модели безопасности позволяют решить еще целый ряд задач, возникающих в ходе проектирования, разработки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и другие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем (производители, потребители, эксперты-квалификаторы). Производители защищенных информационных систем используют модели безопасности в следующих случаях: при составлении формальной спецификации политики безопасности разрабатываемой системы; при выборе и обосновании базовых принципов архитектуры защищенной системы, определяющих механизмы реализации средств защиты; в процессе анализа безопасности системы в качестве эталонной модели; при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности. Потребители путем составления формальных моделей безопасности получают возможности довести до сведения производителей свои требования в четко определенной и непротиворечивой форме, а также оценить соответствие защищенных систем своим потребностям. Эксперты по квалификации в ходе анализа адекватности реализации политики безопасности в защищенных системах используют модели безопасности в качестве эталонов. В данной лекции изложены основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам, и моделирующих поведение системы с помощью пространства состояний, одни из которых являются безопасными, а другие — нет. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях: Система является совокупностью взаимодействующих сущностей — субъектов и объектов. Объекты можно интуитивно представлять в виде контейнеров, содержащих информацию, а субъектами считать вы - полняющиеся программы, которые воздействуют на объекты различными способами. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности. Необходимо отметить, что общим подходом для всех моделей является именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами определения понятий объект и субъект в разных моделях могут существенно различаться. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами. Все операции контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политика безопасности. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности. Основной элемент модели безопасности — это доказательство утверждения (теоремы) о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений. Можно сформулировать следующие аксиомы защищенных компьютерных систем (КС): Аксиома 1. В защищенной КС всегда присутствует активная компонента (субъект), выполняющая контроль операций субъектов над объектами. Данная компонента фактически отвечает за реализацию некоторой политики безопасности. Аксиома 2. Для выполнения в защищенной КС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами. В данном случае мы оперируем качественными понятиями «контроль», «разрешенная и запрещенная операция», данные понятия будут раскрыты и проиллюстрированы ниже. Аксиома 3. Все вопросы безопасности информации описываются доступами субъектов к объектам. Важно заметить, что политика безопасности описывает в общем случае нестационарное состояние защищенности. Защищаемая система может изменяться, дополняться новыми компонентами (субъектами, объектами, операциями субъектов над объектами). Очевидно, что политика безопасности должна быть поддержана во времени, следовательно, в процессе изучения свойств защищаемой системы должны быть добавлены процедуры управления безопасностью. Контрольные вопросы: Что понимают под безопасностью автоматизированных систем обработки информации? Дайте понятие субъекта доступа Дайте понятие объекта доступа Какие три основных направления можно выделить в защите информации ПК от НСД ? Что такое избирательное управление доступом Что понимается под политикой безопасности Основная цель создания политики безопасности информационной системы Сформулируйте аксиомы защищенных компьютерных систем |