курсовая работа. Учебное пособие по дисциплине технология разработки программного обеспечения специальность Программирование в компьютерных системах
 Скачать 7.57 Mb.
|
|
2. Организационно-правовое обеспечение защиты информации Организационные мероприятия и процедуры по обеспечению защиты информации Существенное значение при проектировании программных систем различного уровня и назначения придается предпроектному обследованию объекта автоматизации. На этой стадии специальной группой обследования устанавливается: наличие или отсутствие секретной информации, оценивается уровень конфиденциальности и объемы; определяются режимы обработки этой информации, состав комплекса основных технических средств вычислительной техники , общесистемные программные средства, предполагаемые к использованию в разрабатываемой ВС; оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации; определяется степень участия персонала предприятия в обработке информации, характер взаимодействия между собой и со службой безопасности; определяются мероприятия по обеспечению режима секретности на стадии разработки. Основным результатом этой части анализа является рекомендация о разработке системы защиты секретной (конфиденциальной) информации. В процессе эксплуатации защищенной вычислительной системы необходимо обеспечить комплекс организационных мер, которые предусматривают: учет, хранение и выдачу пользователям информационных носителей, паролей, ключей; ведение служебной информации (генерацию паролей, сопровождение правил разграничения доступа и др); приемку включаемых новых программных средств; контроль за ходом технологического процесса обработки информации путем регистрации и анализа действий пользователей, сигнализации опасных событий. Правовое регулирование и организация работ по защите информации Конфиденциальная информация в контексте норм правового регулирования может относиться к государственной тайне или коммерческой тайне. В первом случае система защиты конфиденциальных сведений может быть основана на законе РФ "О государственной тайне". Закон имеет ограничительный характер, и поэтому его действие распространяется лишь на тех граждан и должностных лиц, которые взяли на себя обязательства либо обязаны по своему статусу выполнять требования законодательства о государственной тайне. Объектами правоотношений являются сведения из военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной сфер государственной деятельности. В частности, в сферах экономики, науки и техники к государственной тайне относятся сведения: о научно-исследовательских, опытно-конструкторских и проектных работах, технологиях, имеющих важное оборонное или экономическое значение; о методах и средствах зашиты секретной информации; о государственных программах и мероприятиях в области зашиты государственной тайны. Процедура засекречивания сводится к оформлению реквизитов носителей информации, составляющей государственную тайну. Они состоят из данных: о степени секретности; органе, осуществившем засекречивание; регистрационном номере; дате или условии рассекречивания. Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение которых может нанести ущерб его интересам. Состав и объем сведений, составляющих коммерческую тайну, порядок их защиты определяются руководителем предприятия. Проблема защиты коммерческой тайны тесно связана с защитой интеллектуальной собственности. Правовое регулирование вопросов защиты коммерческой тайны и программного обеспечения как интеллектуальной собственности включает: патентную защиту; защиту авторских прав; защиту производственных секретов (лицензионные отношения); торговый знак. Правовой базой реализации патентной защиты является "Патентный закон РФ". Патенты позволяют их обладателю не допускать производство, использование или продажу своего изобретения другими людьми. Условия получения патента на программное обеспечение следующие: программа должна использоваться для преобразования или изменения объекта, машины или химического состава (программы лишь генерирующие численные значения непатентноспособны); "новизна программы". Получить патент на ПО, как правило, очень сложно. Авторское право распространяется на любые программы для ВС и базы данных. Охрана предоставляется всем видам программ, включая операционные системы и программные комплексы, которые выражены на любом языке и в любой форме. Авторское право на программу или базу данных возникает в силу его создания. В этом случае не нужны депонирование, регистрация или выполнение иных формальностей. Для оповещения о своих правах необходимо использовать следующие элементы: знак охраны авторского права; наименование (имя) правообладателя; год первого выпуска в свет; В случае возникновения конфликтных ситуаций возможен только судебный характер их разрешения. Лицензия - разрешение на производство или использование какого-либо объекта, полученное одним лицом от другого, имеющего право собственности на этот объект. Различают следующие основные виды лицензий: передача прав на лицензирование; простые лицензии; сдача программ в аренду. Защита торгового знака подразумевает присваивание названия программному обеспечению и регистрацию его как торгового знака. 3. Защита информации от несанкционированного доступа 3.1. Основные понятия защиты от НСД Требования по защите от НСД в различных приложениях должны быть направлены на достижение трех основных свойств защищаемой информации: конфиденциальность; целостность; готовность (информация и соответствующие автоматизированные службы должны быть доступны, готовы к обслуживанию всегда, когда в них возникает необходимость). Все типы систем защиты от НСД должны содержать такие элементы, как диспетчер доступа, модель защиты и блок аутентификации. Реализуемый в виде совокупности программно-аппаратных механизмов, диспетчер доступа обеспечивает необходимые правила разграничения доступа субъектов (активных элементов вычислительного процесса: пользователей, процессов, процедур и т.п.) к объектам (пассивным информационным элементам: файлам, томам данных, устройствам, программам и т.п.), описываемые посредством математически строгой модели защиты. На основании полномочий субъекта и свойств объекта данных, записанных в базе полномочий, и характеристик доступа, диспетчер принимает решение разрешить доступ, либо отказать в нем. Диспетчер доступа (ДД) должен отвечать следующим фундаментальным требованиям: формальная модель защиты - алгоритм принятия решения о доступе, закладываемый в основу СРД, должен базироваться на формальной модели защиты, обеспечивающей возможность математически строгого анализа характеристик безопасности защищаемой вычислительной системы; верифицируемость - программно-аппаратные механизмы СРД должны быть достаточно простыми, небольшими по объему и хорошо структурированными для того, чтобы была обеспечена возможность их верификации, то есть подтверждения корректности и соответствия логики их функционирования заданной модели защиты; защищенность механизмов - программно-аппаратные механизмы и информационные структуры СРД должны быть надежно защищены от случайной или преднамеренной модификации; полнота контроля - СРД должна контролировать все обращения к защищаемому объекту по всем возможным каналам доступа. Формальная модель защиты является математической абстракцией, отображающей взаимоотношения между пользователем и данными в вычислительной системе. Она необходима и как инструмент для исследования поведения вычислительной системы с точки зрения возможной утечки информации, так и в качестве алгоритмической базы для реализации программно-аппаратных механизмов диспетчера доступа. Одним из важных элементов СРД является блок аутентификации, ответственный за достоверное опознание (подтверждение подлинности) пользователя. В большинстве случаев применяется способ аутентификации, основанный на проверке предъявляемого пользователем секретного пароля. Достоверность процедуры автоматического опознания личности может быть усилена за счет применения дополнительных устройств - электронных и механических ключей различного вида. В ответственных случаях используют средства биометрической аутентификации, осуществляющих опознание человека по его психофизическим характеристикам, таким, как форма и динамика рукописной подписи, "почерк" работы на клавиатуре, рисунок капилляров сетчатки глаза, форма отпечатка пальца и т.п. 3.2. Формальные модели защиты На сегодняшний день наибольшее распространение на практике получила матричная модель защиты. В терминах матричной модели, состояние системы защиты описывается тройкой (3, О, М), где З - множество субъектов доступа, являющихся активными структурными элементами модели (в большинстве случаев субъекты в свою очередь могут рассматриваться как объекты доступа, т.е. 3 является подмножеством О); О - множество объектов доступа, являющихся пассивными защищаемыми элементами модели; каждый объект однозначно идентифицируется с помощью имени объекта; М - матрица доступа, в которой строки соответствуют субъектам, а столбцы объектам; значение элемента матрицы М[З,О] определяет права доступа субъекта 3 к объекту О. Права доступа регламентируют способы обращения субъекта З к различным типам объектов доступа. Так, например, права доступа к файлам или сегментам памяти стандартными являются: чтение (К), запись (\У) и выполнение (Е). Дополнительно может использоваться еще одно право доступа - дополнение (А), означающее право субъекта производить запись данных в свободные области объекта без перекрытия имеющихся данных. Матрицы доступа позволяет описать состояние любой, сколь угодно сложной системы защиты в произвольный момент ее существования. Вместе с тем, матричные модели имеют ряд недостатков. Выделим два основных: Низкий, детализированный уровень описания отношений субъектов и объектов приводит к возрастанию размеров матриц доступа в реальных системах ИС. Следовательно, время выполнения процедур по их обслуживанию и поддержанию оказывается больше чем, время выполнения самих функциональных операций. Концентрирование в одном объекте (матрице доступа) всей критичной для безопасности ВС информации, делает этот объект узким уязвимым местом в работе системы и требует дополнительных средств по его защите. Дня преодоления указанных недостатков матричных моделей разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла Падулы и решетчатая модель Деннинга. Они подразумевают применение следующих операций: Каждому охраняемому объекту доступа присваивается метка, отражающая уровень его конфиденциальности. Каждому субъекту доступа приписывается уровень доступа , определяющий возможность его доступа к объекту определенного уровня. Разграничение доступа к объектам ВС определяется следующими двумя: Субъекту разрешается доступ к документам только в том случае, если уровень допуска субъекта равен или выше уровня конфиденциальности объекта; Только специально определенные субъект и процесс могут снизить уровень конфиденциальности объекта. Более детальное разграничение доступа (при обязательном выполнении правил) достигается за счет явного указания взаимосвязи конкретных объектов с конкретными субъектами. Для этого в идентификатор объекта включается специальный список, определяющий полный перечень субъектов, которым разрешен доступ к объекту. Использование данных моделей позволяет: Децентрализовать критичную информацию о правилах доступа, рассеяв ее практически по всем элементам процесса доступа. Уменьшить количество процедур защиты, возложив ряд их функций непосредственно на функциональные процедуры. 3 3. Системы разграничения доступа На практике системы разграничения доступа, базирующиеся на моделях матричного типа, реализуются в виде специальных компонент, поставляющихся отдельно, либо входящих в состав операционных систем или СУБД. В таких ОС, как UNIX VAX Windows NТ функции разграничения доступа к объектам интегрированы непосредственно в управляющий модуль. Особенностью СРД этих ОС является децентрализованность механизмов диспетчера доступа, что приводит к невозможности строгого выполнения требований верифицируемости, защищенности и полноты контроля этих механизмов. Для реализации модели многоуровневой защиты необходимо наличие ядра безопасности. Под ядром безопасности понимают локализованную, минимизированную, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции диспетчера доступа. Это достигается путем создания специфической структуры ОС и самого ядра, применением специальных методов и технологии разработки, а также определенной архитектурной поддержкой, реализуемой в аппаратных средствах ЭВМ. Выполнению требования защищенности собственных механизмов СРД способствует использование специальной аппаратной поддержки и включение в состав контролируемых ядром объектов структур самой ОС. Последняя мера направлена на предотвращение возможности несанкционированного перехода пользовательских процессов в привилегированное состояние. К аппаратным средствам поддержки защиты и изоляции ядра безопасности относятся: многоуровневые, привилегированные режимы выполнения команд (с числом уровней больше двух); использование ключей зашиты и сегментирование памяти; реализация механизма виртуальной памяти с разделением адресных пространств; аппаратная реализация функций ОС; хранение и распространение программ в ПЗУ; использование новых архитектур ЭВМ (с отходом от фон-неймановской архитектуры в сторону повышения структурной сложности базовых машинных объектов). Реализация такого механизма приводит к ограничению функциональных возможностей ВС и значительно снижает ее программную совместимость. Поэтому распространенные ОС используют матричную модель защиты с децентрализацией механизмов доступа к объектам, а также с отсутствием эффективных средств изоляции программ и данных в пределах общего адресного пространства основной памяти. В этих условиях невозможно гарантировать отсутствие скрытых каналов доступа к информационным объектам со стороны программ, нарушающих системные соглашения и отсутствие путей для несанкционированного перехода пользовательских процессов в привилегированное состояние. Указанные трудности в обеспечении защиты вычислительных систем приводят к необходимости применения дополнительных мер программно-аппаратной и организационной защиты. В частности, использование криптографических методов защиты, позволяет закрыть каналы утечки информации, оставшиеся при использовании традиционных методов разграничения доступа, действующих на уровне контроля обращений к элементам структур данных. 4 Защита информации в каналах связи 4. 1. Основные понятия и определения Важность данной проблемы подчеркивается тем, что каналы связи являются одним из самых уязвимых составляющих вычислительной системы. Меры по защите обуславливаются способом вторжения злоумышленника: активное или пассивное. а) Активное вторжение При активном вторжении информация может быть модифицирована, уничтожена, задержана, скопирована, изменен порядок ее следования. Могут быть переданы ложные сообщения. Существуют следующие виды активных вторжений: воздействие на передаваемую информацию; воспрепятствование передаче информации; осуществление ложных соединений. Выбор методов защиты базируется на том, что процесс передачи информации по каналам связи может быть разделен на три основные стадии: установление связи; передача данных; завершение связи. На стадии установления связи возможны два типа вторжений: соединение с применением ложного идентификатора; повтор предыдущего соединения. В первом случае злоумышленник может воспользоваться известным адресом законного пользователя в ответ на запрос организовать соединение. Если остальные параметры запроса приемлемы, то подтверждение подлинности будет получено, как при обычном соединении; результатом этою может оказаться передача незаконною сообщения. Аналогично путем перехвата и модификации запроса можно осуществить подмену удаленного объекта сети, если только не предусмотрены специальные меры защиты. Для предотвращения такою вторжения необходимо реализовать идентификацию объекта с использованием идентификаторов или меток, а подтверждение подлинности должно быть секретно сообщено удаленному объекту прежде, чем соединение будет полностью установлено. Применение криптографических методов для сокрытия информации, передаваемой по каналам связи позволяет использовать методы подтверждения подлинности информации. Для выявления подмены используют так называемый протокол опознания в реальном времени, чтобы проверить непрерывность интервала соединения и передачи сообщения. Такой протокол включает генерацию уникальной битовой последовательности и ее шифрование для передачи по линии связи. На стороне получателя она модифицируется и вновь возвращается отправителю. Это позволяет обоим абонентам быть уверенными, что они взаимодействуют в реальном масштабе времени. Целостность данных при их передаче по каналам связи обеспечивается соответствующим способом шифрования. Основные криптоалгоритмы такие как DES , ГОСТ 28147-89, RSA, Эль - Гамапя, позволяют реализовать процедуры подтверждения целостности и подлинности передаваемой информации. Подтверждение подлинности информации означает, что источник информации можно надежно определить, то есть указать, что полученное сообщение передано данному объекту некоторым другим объектом в течение времени соединения. Целостность сообщения означает, что сообщение не модифицировалось в процессе передачи. Главной проблемой при реализации данных элементов защиты являются задержки в установлении связи, обусловленные характеристиками аппаратно-программных составляющих вычислительного комплекса. В течение данной задержки нарушитель может осуществить корректировку кодов адреса или других битов в инструкциях, ответственных за соединение, незаметно для пользователей. Для защиты в этом случае используют процедуру подтверждения подлинности на основе контроля временных интервалов, позволяющую зафиксировать превышение лимита времени и попытки повторной передачи сообщений. Одновременно с установкой временных интервалов используют протокол типа "запрос - ответ". Каждый участник соединения периодически передает нумерованный, свободный от ошибок шифрованный запрос и ожидает ответа от второго участника. Если в течение заданною интервала ответа не последует, сообщение считается потерянным. При выполнении операции завершения связи вторжение может быть направлено на удаление протокола завершения, продление соединения и добавление запрещенных данных к сообщению. Приемы защиты, направленные на обеспечение целостности данных, позволяют предотвратить такое вторжение и, в частности, использование предельных интервалов ожидания и протоколов типа "запрос - ответ". Б ) Пассивное вторжение При пассивном вторжении происходит только наблюдение за процессом передачи без его нарушения. На основе такого наблюдения (даже если неизвестна сама информация) можно сделать заключение о структуре системы связи, назначении и важности передаваемой информации и многое другое. Для предохранения от такого вида атаки защита осуществляется на двух уровнях: защита процесса передачи информации; шифрование информации; Такой двухуровневый механизм защиты называется чистым каналом. Чистый канал должен обеспечивать секретность следующих параметров: частоты передачи сообщений и длины сообщений - трафика (меры . объема данных или сообщений, проходящих между пунктами в сети); конфигурации сообщений; адресов. Для этого используют следующие методы защиты: дополнение сообщений; маскировка адресов назначения; защита идентификаторов; защитная стратегия маршрутизации. Дополнение (расширение) сообщений как механизм защиты ВС может быть реализован двумя способами: генерацией ложных (избыточных) сообщений и дополнением блоков данных в протоколе передачи до некоторой постоянной длины. В первом случае используют специальные процедуры, предназначенные для генерирования избыточных сообщений в случайном порядке (белый шум). Такие процедуры должны размещаться вне узлов размещения пользователей для сокрытия источника избыточных сообщений. Во втором случае содержимое блоков данных должно быть зашифровано , чтобы избыточные сообщения не могли быть определены и выделены из потока реальных сообщений. Многие криптоалгоритмы (например, алгоритм поблочного симметричного шифрования) также требует расширения сообщения, и это может одновременно служить механизмом за щиты от несанкционированною наблюдения. Однако методы формирования избыточности известны и поэтому для обеспечения надежной защиты необходимо использовать дополнительные процедуры. Маскировка адресов назначения состоит в шифровании всего сообщения включая адреса назначения с разными ключами для каждого сеанса передачи информации, распределяемыми между узлами. Для этого в вычислительной сети используется защищенный монитор, который определяет, что рабочая станция пытается установить связь с другой рабочей станцией и гарантирует , что такая связь согласуется с методами защиты сети, и поэтому может разрешить такое соединение. Для защиты идентификаторов сети получают разные идентификаторы для разных соединений. Защитная стратегия маршрутизации предполагает, что доставка данных пункт назначения осуществляется через последовательность обходных узлов. Кроме того, все способы добавления избыточных сообщений уменьшают ширину полосы пропускания канала передачи н повышают уровень скрытности при доставке сообщений. Управление маршрутизацией обеспечивает так же определенный уровень конфиденциальности, запрещая направлять сообщения по линиям связи или подсетям, которые не являются защищенными. Для реализации такой процедуры маршрутизации используют специальную станцию, которая собирает сообщения от отправителей, вносит изменения (например дополняет) и посылает далее по определенному маршруту в иной последовательности. В результате осуществляется маскировка соединения между отправителем и получателем от всех субъектов ВС, кроме станции управления и отправителя. При использовании более одной станции управления защиты соединение оказывается невидимым для перехватчика, поскольку тот не в состоянии контролировать все станции управления ВС, через которые проходят сообщения, не имея связи с отправителем. |