Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
Скачать 273.05 Kb.
|
Рис. 3. Інформаційно-аналітична модель багатоланкового захисту АС від загроз НСД; 1 - об`єкт захисту від загроз НСД; 2,3, - ланки перепони ТЗІ; 5 - стійкість перепони ТЗІ. Прикладом такого виду захисту може бути приміщення, в якому знаходиться апаратура АС. Перепонами з різною стійкістю тут можуть бути кодовий замок на вхідній двері, вікна, стіни, стеля, підлога і т. ін. Для АС "з`єднання" перешкод ТЗІ (замкнення контуру захисту) має той же зміст, але іншу реалізацію. Наприклад, система контролю розкриття апаратури і система розпізнання та розмежування доступу, що контролюють доступ до периметру ІС, на перший погляд, є замкненим захисним контуром, але доступ до засобів відбиття і документування, до носіїв інформації і інших можливих каналів НСД вони не перекривають. Тобто, в контур захисту, як його ланки, ввійдуть ще система контролю доступу до приміщення, засоби захисту від ПЕМВН, шифрування і т. д. Це не означає, що система контролю доступу в приміщення не може бути замкненим захисним контуром для іншого об`єкту захисту (наприклад, для тієї ж ІС). Тут є важливою точка відліку, в даному випадку, стосовно об`єкту захисту, тобто контур ТЗІ даного об’єкту захисту не буде замкненим до тих пір, поки існує можливість будь-якої загрози НСД до нього. Формальний опис стійкості багатоланкового захисту практично збігається з формулами (1.4) і (1.19), оскільки наявність декількох шляхів обходу однієї перешкоди ТЗІ, що не задовольняють заданим вимогам, потребує їх перекриття відповідними перешкодами. Тоді співвідношення для оцінки стійкості багатоланкового захисту при неконтрольованих перешкодах ТЗІ може бути представлене у вигляді: Рсзі=Рсзі1UPсзі2UРсзі3U...UРсзііU(1-Робх1)U(1-Робх2)U...U(1-Робхк), (1.20) де Рсзі-і - стійкість і-ї неконтрольованої перепони. 1.1. Поняття інформаційної безпеки. Основні складові. Важливість проблеми Поняття інформаційної безпеки Словосполучення "інформаційна безпека" у різних контекстах може мати різне значення. У даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою її закодовано, хто або що є її джерелом та який психологічний вплив вона має на людей. Тому термін "інформаційна безпека" використовується у вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі. Під інформаційною безпекою ми будемо розуміти захищеність інформації та інфраструктури, яка її підтримує, від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації та підтримуючої інфраструктури. Інфраструкту́ра (від лат. infra — «нижче», «під» та лат. structura — «будівля», «розташування») — сукупність споруд, будівель, систем і служб, необхідних для функціонування галузей матеріального виробництва та забезпечення умов життєдіяльності суспільства. Інформаційний простір — інформаційне середовище, в якому здійснюються інформаційні процеси та інформаційні відносини щодо створення, збирання, відображення, реєстрації, накопичення, збереження, захисту і поширення інформації, інформаційних продуктів та інформаційних ресурсів, на яке розповсюджується юрисдикціядержави. Інше визначення: Інформаційний простір – сукупність банків і баз даних, технологій їхнього супроводу й використання, інформаційно-телекомунікаційних систем, що функціонують на основі загальних принципів і що забезпечують задоволення їхніх інформаційних потреб та інформаційну взаємодію організацій і громадян. Інформаційне середовище – сфера діяльності суб’єктів, зв’язана з створенням, перетворенням та споживанням інформації. Кібернетична безпека (кібербезпека) - Стан захищеності життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі. Кібернетична війна (кібервійна) - дії збройних сил або інших військових формувань іноземної держави (групи держав) проти інтересів України у кіберпросторі. Кібернетична загроза (кіберзагроза) - наявні та потенційно можливі явища і чинники, що загрожують кібернетичній безпеці. Кібернетичний захист (кіберзахист) - сукупність заходів організаційного, нормативно-правового, військового, оперативного та технічного характеру, спрямованих на забезпечення кібербезпеки. Кібернетична злочинність (кіберзлочинність) - сукупність суспільно небезпечних діянь у кіберпросторі, відповідальність за які передбачена законодавством. Кібернетичний простір (кіберпростір) - середовище, яке виникає в результаті функціонування на основі єдиних принципів і за загальними правилами інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем. Згідно офіційних документів Євросоюзу: кіберпростір – це віртуальний простір, в якому циркулюють електронні дані світових персональних комп’ютерів. Кібернетичний тероризм (кібертероризм) - терористична діяльність, що здійснюється у кіберпросторі або з його використанням. Критична інформаційна інфраструктура держави - сукупність об'єктів критичної інформаційної інфраструктури. Національний сегмент кібернетичного простору (кіберпростір України) - кіберпростір, що належить до юрисдикції України. Об'єкт критичної інформаційної інфраструктури — інформаційна (автоматизована), телекомунікаційна, інформаційно-телекомунікаційна система органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил, інших військових формувань, правоохоронних та інших державних органів, а також підприємств, установ та організацій незалежно від форм власності на території України чи за її межами (у разі перебування під юрисдикцією України), порушення сталого функціонування якої матиме негативний вплив на стан національної безпеки і оборони України. Суб'єкти забезпечення кібербезпеки - органи державної влади, органи місцевого самоврядування, органи управління Збройних Сил, інші військові формування, правоохоронні та інші державні органи, а також підприємства, установи та організації незалежно від форм власності, які здійснюють проектування, впровадження та експлуатацію складових критичних об’єктів національної інфраструктури або забезпечують їх кіберзахист. Автоматизована система (АС) – це організаційно-технічна система, що реалізує інформаційну технологію і об’єднує обчислювальну систему, фізичне середовище, персонал та інформацію, яка обробляється. Обчислювальна система (ОС) – це сукупність програмно-апаратних засобів, призначених для обробки інформації. Захист інформації (ЗІ) – це діяльність, спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, що дає змогу запобігти або ускладнити можливість реалізації загроз, а також знизити потенційні збитки внаслідок реалізації загроз. Це передбачає реалізацію сукупності організаційно-технічних заходів і методів, спрямованих на захист інформації в процесі її формування, передавання, приймання, оброблення, накопичення і використання з метою забезпечення надійності. Надійність інформації характеризує її якість з таких позицій: З погляду 1. З погляду фізичної цілісності, тобто наявності або відсутності спотворення або знищення елементів цієї інформації. 2. З погляду безпеки інформації, тобто наявності або відсутності в ній підміни (несанкціонованої модифікації) її елементів при збереженні цілісноті. 3. З погляду довіри до інформації, тобто наявності або відсутності несанкціонованого одержання її особами, що не мають на це спеціальниї повноважень. Загроза – це будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС. Загроза інформації – це будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС. Політика безпеки інформації – це сукупність законів, правил, обмежень,рекомендацій, інструкцій, тощо, які регламентують порядок обробки інформації. Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин й інтересів цих суб'єктів, пов'язаних з використанням автоматизованих систем. Загрози інформаційної безпеки – це зворотний бік використання інформаційних технологій. Із цього положення можна вивести два важливі висновки: 1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно розрізнятися. Для ілюстрації досить порівняти режимні державні організації й навчальні заклади. У першому випадку "нехай краще все зламається, ніж ворог довідається хоч один секретний біт", у другому – "так немає в нас ніяких секретів, аби тільки все працювало". 2. Інформаційна безпека не зводиться винятково до захисту від несанкціоно-ваного доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків й/або одержати моральну шкоду) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю аж ніяк не на першому місці. Доступ до інформації – це вид взаємодії двох об’єктів АС, внаслідок якого створюється потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи. Несанкціонований доступ до інформації (НСД) – це доступ до інформації, здійснюваний з порушенням правил розмежування доступу. Правила розмежування доступу (ПРД) – частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів. Користувач – це фізична особа, яка може взаємодіяти з АС через наданий їй інтерфейс. Інтерфейс користувача – це сукупність засобів обробки та відображення Інтерфейс користувача — сукупність засобів для обробки та відображення інформації, максимально пристосованих для зручності сзасобів для обр інформації, максимально пристосованих для зручності користувача. Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) видається надто вузьким. Комп'ютери – тільки одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, що зберігається, обробляється й передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових й, у першу чергу, найслабшою ланкою, якою в переважній більшості випадків є людина, (яка написала, наприклад, свій пароль на "гірчичнику", наклеєному на монітор). Відповідно до визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але й від інфраструктури, яка її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавить лише те, як вона впливає на виконання автоматизованою системою заданих їй функцій. Звернемо увагу, що у визначенні ІБ перед іменником "збитки" стоїть прикметник "неприйнятні". Вочевидь, застрахуватися від усіх видів збитків неможливо, тим більше неможливо зробити це економічно доцільним чином, коли вартість захисних засобів і заходів не перевищує розміру очікуваних збитків. Виходить, із чимось доводиться миритися й захищатися потрібно тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимими збитками є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитків до припустимих значень. 1.2. Класифікація цілей захисту Загальна класифікація цілей захисту інформації передбачає такі 4 мети: 1. Запобігання знищенню або спотворенню інформації. 2. Запобігання несанкціонованій модифікації інформації. 3. Запобігання несанкціонованому отриманню інформації. 4. Запобігання несанкціонованому тиражуванню інформації. Захист інформації передбачає її захист: - по-перше, в усіх структурних елементах ЗІ передбачає її захист: - по-перше, в усіх структурних елементах; - по-друге, на всіх ділянках і технологічних маршрутах обробки інформації; - по-третє, на всіх етапах життєвого циклу інформації; - по-четверте, з урахуванням взаємодії з зовнішнім середовищем. Об’єктами захисту є: 1. Початкові дані, тобто дані, що надійшли від користувачів або абонентів. 2. Довільні дані, тобто дані, отримані в процесі обробки вихідних даних. 3. Нормативно-довідкові, службові і допоміжні дані, також дані системи захисту. 4. Постановка завдань та методів. Моделі, алгоритми і програми, які використовуються при обробці даних. 5. Технічна, технологічна, політична, військова й економічна документації. Захист інформації повинен здійснюватися в таких зонах: -зона ресурсів, тобто зона функціонуючих технічних засобів; -зона приміщень, тобто сукупність приміщень, у яких розташовані технічні засоби і розміщуються люди, що мають відношення до них; -зона території, що охороняється, тобто та частина території, на якій розташовані будинки з зоною помешкань і на якій може повністю регулюватися доступ людей, а також можуть регулюватися і контролюватися всі дії і заходи, здійснювані на ній; -зона, що не охороняється, але контрольована територія, тобто та частина зовнішньої території, в якій може здійснюватися регулярний контроль її стану і зроблених на ній дій; -зовнішня зона, тобто та частина території, на якій можуть здійснюватися дії і відбуватися події, що впливають на надійність інформації, тобто інформація, яка не може бути під постійним контролем. Об’єктивна необхідність ЗІ на сучасному етапі і при комплексно системній постановці обумовлена тими застосуваннями принципової значимості, що сталися в нижченаведених напрямках. 1. У концепціях застосування обчислювальної техніки в різноманітних сферах діяльності. 2. У розвитку самої обчислювальної техніки і її програмного забезпечення, також у концепціях організації і використання ресурсів обчислювальної техніки. 3. У розвитку радіоелектроніки і елементної бази, що дозволило створити високоефективні засоби радіоелектронної розвідки. Отже, для забезпечення необхідної якості інформації повинні застосовуватися спеціальні заходи. Тобто, захист інформації об’єктивно набуває характеру завдання підвищеної актуальності. Об’єктивні передумови вирішення проблеми ЗІ створюються нижчевказаними обставинами: - по-перше, до цього часу практично повсюдно усвідомлена необхідність захисту. - по-друге, зараз вже розроблено достатньо розвинений арсенал засобів захисту. - по-третє, вже зараз накопичено деякий досвід з організації захисту. На підставі глибокого аналізу всі потенційно можливі шляхи несанкціонованого одержання інформації можуть бути розділені на три класи: 1. Непрямі шляхи, куди віднесені такі шляхи, що дозволяють здійснювати несанкціоноване одержання інформації без фізичного доступу до неї. 2. Прямі шляхи, по яких несанкціоноване одержання інформації можливо тільки при фізичному доступі до неї, але при цьому не потрібно здійснювати будь-яку технічну дію. 3. Прямі шляхи, по яких несанкціоноване одержання інформації можливе тільки при фізичному доступі до неї, і при цьому необхідно здійснити технічні дії. 1.3.Основні складові інформаційної безпеки Інформаційна безпека є багатогранною областю діяльності, у якій успіх може принести лише систематичний, комплексний підхід. Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна розділити на наступні категорії: забезпечення доступності, цілісності й конфіденційності інформаційних ресурсів і підтримуючої інфраструктури. Іноді до сукупності основних складових ІБ включають захист від несанкціонованого копіювання інформації, але це є занадто специфічним аспектом із сумнівними шансами на успіх, тому ми не будемо його виділяти. Пояснимо поняття доступності, цілісності й конфіденційності. Доступність – властивість ресурсу системи, яка полягає в тому, що користувач і/або процес, який володіє відповідними повноваженнями, може використовувати ресурс відповідно до правил, встановлених політикою безпеки не очікуючи довше заданого (малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному користувачеві, в місці, необхідному користувачеві, і в той час, коли він йому потрібний. Під цілісністю інформації розуміють властивість інформації, яка полягає в тому, що вона не може бути модифікована неавторизованим користувачем і/або процесом. Нарешті, конфіденційність – це властивість інформації, яка полягає в тому,що вона не може бути отримана неавторизованим користувачем і/або процесом. Користувач – це фізична особа, яка може взаємодіяти з КС через наданий їй інтерфейс. Авторизований користувач – користувач, який має певні повноваження. Модифікація – це зміна користувачем і/або процесом інформації, що міститься в об’єкті. Автоматизовані системи створюються для надання певних інформаційних послуг. Якщо з тих або інших причин надання цих послуг користувачам стає неможливим, це завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність іншим аспектам, виділяємо її як найважливіший елемент інформаційної безпеки. Розділ 7. Основні програмно-технічні заходи 7.1. Основні поняття програмно-технічного рівня інформаційної безпеки Програмно-технічні заходи, тобто заходи, спрямовані на контроль комп'ютерних сутностей – устаткування, програм й/або даних, становлять останній і найважливіший рубіж інформаційної безпеки. Нагадаємо, що збитки наносять в основному дії легальних користувачів, стосовно яких процедурні регулятори є малоефективними. Головні вороги – некомпетентність і неакуратність при виконанні службових обов'язків, і тільки програмно-технічні заходи здатні їм протистояти. Комп'ютери допомогли автоматизувати багато галузей людської діяльності. Цілком природним є бажання покласти на них і забезпечення власної безпеки. Навіть фізичний захист все частіше доручають не охоронцям, а інтегрованим комп'ютерним системам, що дозволяє одночасно відслідковувати переміщення співробітників і в організації, і в інформаційному просторі. Це є другою причиною, що пояснює важливість програмно-технічних заходів. Треба, однак, враховувати, що швидкий розвиток інформаційних технологій не тільки надає оборонцям нові можливості, але й об'єктивно ускладнює забезпечення надійного захисту, якщо спиратися винятково на заходи програмно-технічного рівня. Причин тут декілька: • підвищення швидкодії мікросхем, розвиток архітектур з високим ступенем паралелізму дозволяють методом грубої сили долати бар'єри (насамперед криптографічні), які раніше здавалися неприступними; • розвиток мереж і мережних технологій, збільшення кількості зв'язків між інформаційними системами, ріст пропускної здатності каналів розширюють коло зловмисників, що мають технічну можливість організовувати атаки; • поява нових інформаційних сервісів призводить і до утворення нових уразливих місць як "усередині" сервісів, так і на їхніх з'єднаннях; • конкуренція серед виробників програмного забезпечення змушує скорочувати строки розробки, що приводить до зниження якості тестування й випуску продуктів з дефектами захисту; • нав'язувана споживачам парадигма постійного нарощування потужності апаратного й програмного забезпечення не дозволяє довго залишатися в межах надійних, апробованих конфігурацій й, крім того, вступає в конфлікт із бюджетними обмеженнями, через що знижується частка асигнувань на безпеку. Перераховані міркування підкреслюють важливість комплексного підходу до інформаційної безпеки, а також необхідність гнучкої позиції при виборі й супроводі програмно-технічних регуляторів. Центральним для програмно-технічного рівня є поняття сервісу безпеки. Cукупність надаваних інформаційних сервісів назвемо їх основними. Щоб вони могли функціонувати й мали необхідні властивості, необхідними є кілька рівнів додаткових (допоміжних) сервісів – від СУБД і моніторів транзакцій до ядра операційної системи й устаткування. До допоміжних відносяться сервіси безпеки. Серед них нас у першу чергу будуть цікавити універсальні, високорівневі, що допускають використання різними основними й допоміжними сервісами. Далі ми розглянемо наступні сервіси: • ідентифікація й аутентифікація; • керування доступом; • протоколювання й аудит: • шифрування; • контроль цілісності; • екранування; • аналіз захищеності; • забезпечення відмовостійкості; • забезпечення безпечного відновлення; • тунелювання; • керування. Будуть описані вимоги до сервісів безпеки, їхня функціональність, можливі методи реалізації й місце в загальній архітектурі. На наш погляд, сервіс безпеки, хоча б частково, повинен перебувати в розпорядженні того, кого він захищає. У випадку ж з приватністю це не так: критично важливі компоненти зосереджені не на клієнтській, а на серверній стороні, так що приватність власне кажучи виявляється властивістю пропонованої інформаційної послуги (у найпростішому випадку, приватність досягається шляхом збереження конфіденційності серверної реєстраційної інформації й захистом від перехоплення даних, для чого досить перерахованих сервісів безпеки). Сукупність перерахованих вище сервісів безпеки ми будемо називати повним набором. Уважається, що його, у принципі, досить для побудови надійного захисту на програмно-технічному рівні, щоправда, при дотриманні цілого ряду додаткових умов (відсутність уразливих місць, безпечне адміністрування й т.д.). Для проведення класифікації сервісів безпеки й визначення їхнього місця в загальній архітектурі, заходи безпеки можна розділити на наступні види: • превентивні, що перешкоджають порушенням ІБ; • заходи виявлення порушень; • локалізуючі, що звужують зону впливу порушень; • заходи з виявлення порушника; • заходи відновлення режиму безпеки. Більшість сервісів безпеки потрапляє в число превентивних, і це, безумовно, правильно. Аудит і контроль цілісності здатні допомогти у виявленні порушень; активний аудит, крім того, дозволяє запрограмувати реакцію на порушення з метою локалізації й/або простежування. Спрямованість сервісів відмовостійкості й безпечного відновлення очевидна. Нарешті, керування відіграє інфраструктурну роль, обслуговуючи всі аспекти ІС. 7.2. Особливості сучасних інформаційних систем, істотні з погляду безпеки Інформаційна система типової сучасної організації є досить складним утворенням, побудованим у багаторівневій архітектурі клієнт/сервер, що користується численними зовнішніми сервісами й, у свою чергу, надає власні сервіси зовні. Навіть порівняно невеликі магазини, що забезпечують розрахунок з покупцями за пластиковихми картами (і, звичайно, мають зовнішній Web-сервер), залежать від своїх інформаційних систем й, зокрема, від захищеності всіх компонентів систем і комунікацій між ними. З погляду безпеки найбільш істотними уявляються наступні аспекти сучасних ІС: • корпоративна мережа має декілька територіально рознесених частин (оскільки організація розташовується на декількох виробничих майданчиках), зв'язки між якими перебувають у компетенції зовнішнього постачальника мережних послуг, виходячи за межі зони, яка контролюється організацією; • корпоративна мережа має одне або кілька підключень до Internet; • на кожному з виробничих майданчиків можуть перебувати критично важливі сервери, у доступі до яких мають потребу співробітники, що працюють на інших майданчиках, мобільні користувачі й, можливо, співробітники інших організацій; • для доступу користувачів можуть застосовуватися не тільки комп'ютери, але й споживацькі пристрої, що використовують, зокрема, бездротовий зв'язок; • протягом одного сеансу роботи користувачу доводиться звертатися до декількох інформаційних сервісів, що спираються на різні апаратно-програмні платформи; • щодо доступності інформаційних сервісів висуваються жорсткі вимоги, які уособлюються в необхідності цілодобового функціонування з максимальним часом простою порядку кількох хвилин; • інформаційна система є мережею з активними агентами, тобто в процесі роботи програмні компоненти, передаються з однієї машини на іншу й виконуються в цільовому середовищі, підтримуючи зв'язок з вилученими компонентами; • не всі користувацькі системи контролюються мережними й/або системними адміністраторами організації; • програмне забезпечення, особливо отримане по мережі, не може вважатися надійним, у ньому можуть бути помилки, що створюють проблеми в захисті; • конфігурація інформаційної системи постійно змінюється на рівнях адміністративних даних, програм й апаратур (змінюється склад користувачів, їхні привілеї й версії програм, з'являються нові сервіси, нові апаратури й т.п.). Варто враховувати принаймні ще два моменти. По-перше, для кожного сервісу основні складові ІБ (доступність, цілісність, конфіденційність) трактуються по-своєму. Цілісність із погляду системи керування базами даних і з погляду поштового сервера – речі є принципово різними. Безглуздо говорити про безпеку локальної або іншої мережі взагалі, якщо мережа містить у собі різнорідні компоненти. Варто аналізувати захищеність сервісів, що функціо-нують у мережі. Для різних сервісів і захист будують по-різному. По-друге, основна загроза інформаційної безпеки організацій як і раніше виходить не від зовнішніх зловмисників, а від власних співробітників. У силу викладених причин розглядають розподілені, різнорідні, багато-сервісні еволюціонуючі системи. Відповідно, нас буде цікавити рішення, орієнтовані на подібні конфігурації. 7.3. Архітектурна безпека Сервіси безпеки, якими б потужними вони не були, самі по собі не можуть гарантувати надійність програмно-технічного рівня захисту. Тільки перевірена архітектура здатна зробити ефективним об'єднання сервісів, забезпечити керованість інформаційної системи, її здатність розвиватися й протистояти новим загрозам при збереженні таких властивостей як висока продуктивність, простота й зручність використання. Теоретичною основою рішення проблеми архітектурної безпеки служать такі три принципи: • необхідність розробки й впровадження в життя єдиної політики безпеки; • необхідність забезпечення конфіденційності й цілісності при мережних взаємодіях; • необхідність формування складених сервісів за змістовним принципом, щоб кожен отриманий у такий спосіб компонент мав повний набір захисних засобів і із зовнішньої точки зору був єдиним цілим (не повинно бути інформаційних потоків, що йдуть до незахищених сервісів). Якщо який-небудь складений сервіс не має повного набору захисних засобів (склад повного набору описано вище), необхідним є залучення додаткових сервісів, які будемо називати екрануючими. Екрануючіі сервіси встановлюються на шляхах доступу до недосить захищених елементів; причому один такий сервіс може екранувати (захищати) велику кількість елементів. Із практичної точки зору найважливішими є такі принципи архітектурної безпеки: • безперервність захисту в просторі й часі, неможливість оминути захисні засоби; • дотримання визнаних стандартів, використання апробованих рішень; • ієрархічна організація ІС із невеликою кількістю сутностей на кожному рівні; • посилення найслабшої ланки; • неможливість переходу в небезпечний стан; • мінімізація привілеїв; • поділ обов'язків; • системність оборони; • розмаїтість захисних засобів; • простота і керованість інформаційної системи. Пояснимо сенс перерахованих принципів. Якщо у зловмисника або незадоволеного користувача з’явиться можливість обминути засоби захисту, він, очевидно, так і зробить. Визначені вище екрануючі сервіси повинні виключити подібну можливість. Дотримання визнаних стандартів і використання апробованих рішень підвищує надійність ІС і зменшує ймовірність потрапляння в до глухого кута, коли забезпечення безпеки буде вимагати надмірно великих витрат і принципових модифікацій. Ієрархічна організація ІС із невеликою кількістю сутностей на кожному рівні є необхідною з технологічних міркувань. При порушенні даного принципу система стане некерованою й, отже, забезпечити її безпеку буде неможливо. Надійність будь-якої оборони визначається найслабшою ланкою. Зловмисник не буде боротися проти сили, він віддасть перевагу легкій перемозі над слабкістю. Зазвичай найслабшою ланкою виявляється не комп'ютер або програма, а людина, і тоді проблема забезпечення інформаційної безпеки набуває нетехнічного характеру. Принцип неможливості переходу в небезпечний стан означає, що за будь-яких обставин, у тому числі позаштатних, захисний засіб або повністю виконує свої функції, або повністю блокує доступ. Образно кажучи, якщо в фортеці механізм піднімання моста ламається, міст залишають піднятим, не дозволяючи проходу ворога. Стосовно програмно-технічного рівня принцип мінімізації привілеїв передбачає виділяти користувачам й адміністраторам тільки ті права доступу, які необхідні їм для виконання службових обов'язків. Цей принцип дозволяє зменшити збитки від випадкових або навмисних некоректних дій користувачів й адміністраторів. Принцип поділу обов'язків передбачає такий розподіл ролей і відповідальності, щоб одна людина не могла порушити критично важливий для організації процес або створити прогалину у захисті за замовленням зловмисників. Зокрема, дотримання даного принципу є особливо важливим, щоб запобігти зловмисним або некваліфікованим діям системного адміністратора. Принцип ешелонованості оборони передбачає не покладатися на один захисний рубіж, яким би надійним він не здавався. Після засобів фізичного захисту повинні йти програмно-технічні засоби, за ідентифікацією й аутентифікацією – керування доступом й, як останній рубіж, – протоколювання й аудит. Ешелонована оборона здатна, принаймні, затримати зловмисника, а завдяки наявності такого рубежу, як протоколювання й аудит, його дії не залишаться непоміченими. Принцип розмаїтості захисних засобів передбачає створення різних за своїм характером оборонних рубежів, щоб від потенційного зловмисника вимагалося оволодіння різноманітними й, по можливості, несумісними між собою навичками. Для забезпечення високої доступності (безперервності функціонування) необхідно дотримуватися наступних принципів архітектурної безпеки: • внесення до конфігурації тієї або іншої форми надлишковості (резервне устаткування, запасні канали зв'язку, тощо); • наявність засобів виявлення позаштатних ситуацій; • наявність засобів реконфігурування для відновлення, ізоляції й/або заміни компонентів, що відмовили або піддалися атаці на доступність; • роззосередженість мережного керування, відсутність єдиної точки відмови; • виділення підмереж та ізоляція груп користувачів один від одного. Даний захід, обмежує зону враження при можливих порушеннях інформаційної безпеки. Ще один важливий архітектурний принцип – мінімізація обсягу захисних засобів, що виносяться на клієнтські системи. Причин тому є декілька: • для доступу в корпоративну мережу можуть використовуватися споживацькі пристрої з обмеженою функціональністю; • конфігурацію клієнтських систем важко або неможливо контролювати. До необхідного мінімуму варто віднести реалізацію сервісів безпеки на мережному й транспортному рівнях і підтримку механізмів аутентифікації, стійких до мережних загроз. Розділ 9. Протоколювання й аудит, шифрування, контроль цілісності 9.1. Протоколювання й аудит. Основні поняття Під протоколюванням розуміють збір і нагромадження інформації про події, що відбуваються в інформаційній системі. У кожного сервісу свій набір можливих подій, їх можна поділити на зовнішні (викликані діями інших сервісів), внутрішні (викликані діями самого сервісу) і клієнтські (викликані діями користувачів й адміністраторів). Аудит – це аналіз накопиченої інформації, проведений оперативно, у реальному часі або періодично (наприклад, раз на день). Оперативний аудит з автоматичним реагуванням на виявлені позаштатні ситуації називається активним. Реалізація протоколювання й аудиту вирішує наступні завдання: • забезпечення підзвітності користувачів й адміністраторів; • забезпечення можливості реконструкції послідовності подій; • виявлення спроб порушень інформаційної безпеки; • надання інформації для виявлення й аналізу проблем. Протоколювання вимагає для своєї реалізації здорового глузду. Які події реєструвати? З яким ступенем деталізації? На подібні питання неможливо дати універсальні відповіді. Необхідно стежити за тим, щоб, з одного боку, досягалися перераховані вище завдання, а, з іншого, витрата ресурсів залишилася в межах припустимого. Занадто велике або докладне протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але й ускладнює аудит, тобто не збільшує, а зменшує інформаційну безпеку. Доцільний підхід до згаданих питань стосовно операційних систем пропонується в "Помаранчевій книзі", де виділено наступні події: • вхід у систему (успішний чи ні); • вихід із системи; • звертання до вилученої системи; • операції з файлами (відкрити, закрити, перейменувати, видалити); • зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня благонадійності користувача й т.п.). При протоколюванні події рекомендується записувати, принаймні, наступну інформацію: • дата й час події; • унікальний ідентифікатор користувача - ініціатора дії; • тип події; • результат дії (успіх або невдача); • джерело запиту (наприклад, ім'я термінала); • імена порушених об'єктів (наприклад, відкритих або видалених файлів); • опис змін, внесених у бази даних захисту (наприклад, нова мітка безпеки об'єкт. Ще одне важливе поняття, що фігурує в "Помаранчевій книзі", вибіркове протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій. Характерна риса протоколювання й аудиту – залежність від інших засобів безпеки. Ідентифікація й аутентифікація слугують відправною точкою підзвітності користувачів, логічне керування доступом захищає конфіденційність і цілісність реєстраційної інформації. Можливо, для захисту залучаються й криптографічні методи. Повертаючись до цілей протоколювання й аудиту, відзначимо, що забезпечення підзвітності є важливим в першу чергу як стримуючий засіб. Якщо користувачі й адміністратори знають, що всі їхні дії фіксуються, вони, можливо, утримаються від незаконних операцій. Очевидно, якщо є підстави підозрювати якого-небудь користувача в нечесності, можна реєструвати всі його дії, аж до кожного натискання клавіші. При цьому забезпечується не тільки можливість розслідування випадків порушення режиму безпеки, але й виявлення некоректних змін (якщо в протоколі наявні дані до й після модифікації). Тим самим захищається цілісність інформації. Реконструкція послідовності подій дозволяє виявити слабкість у захисті сервісів, знайти винуватця вторгнення, оцінити масштаби заподіяного збитку й повернутися до нормальної роботи. Виявлення спроб порушень інформаційної безпеки – функція активного аудиту. Звичайний аудит дозволяє виявити подібні спроби із запізненням, але й це виявляється корисним. У свій час виявлення німецьких хакерів, що діяли за замовленням ФСБ, почалася з виявлення підозрілої розбіжності в кілька центів у щоденному звіті великого обчислювального центру. Виявлення й аналіз проблем можуть допомогти поліпшити такий параметр безпеки, як доступність. Виявивши вузькі місця, можна спробувати переконфігуру-вати або переналаштувати систему, знову виміряти продуктивність, тощо. Непросто здійснити організацію погодженого протоколювання й аудиту в розподіленій різнорідній системі. По-перше, деякі компоненти, важливі для безпеки (наприклад, маршрутизатори), можуть не мати своїх ресурсів протоколювання; у такому випадку їх потрібно екранувати іншими сервісами, які візьмуть протоколю-вання на себе. По-друге, необхідно погоджувати між собою події в різних сервісах. 9.2. Активний аудит. Основні поняття Під підозрілою активністю розуміється поводження користувача або компонента інформаційної системи, що є злочинним (відповідно до політики безпеки) або нетиповим (відповідно до прийнятих критеріїв). Завдання активного аудиту - оперативно виявляти підозрілу активність і надавати засоби для автоматичного реагування на неї. Активність, що не відповідає політиці безпеки, доцільно розділити на атаки, спрямовані на незаконне одержання повноважень, і на дії, виконувані в межах наявних повноважень, але порушуючи політику безпеки. Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність атакуючого є руйнівною незалежно від політики. Отже, для опису й виявлення атак можна застосовувати універсальні методи, інваріантні шодо політики безпеки, такі як сигнатури і їхнє виявлення у вхідному потоці подій за допомогою апарата експертних систем. Сигнатура атаки - це сукупність умов, при виконанні яких атака вважається дієвою, яка викликає заздалегідь певну реакцію. Найпростіший приклад сигнатури - "зафіксовані три послідовні невдалі спроби входу в систему з одного термінала", приклад асоційованої реакції – блокування термінала до з'ясування ситуації. Дії, які виконуються в межах наявних повноважень, але порушують політику безпеки, ми будемо називати зловживанням повноваженнями. Зловживання повноваженнями можливі через неадекватність засобів розмежування доступу обраній політиці безпеки. Найпростішим прикладом зловживань є неетичне поводження суперкористувача, що переглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна виявити подібні події й повідомити про них адміністратору безпеки. Нетипова поведінка виявляється статистичними методами. У найпростішому випадку застосовують систему порогів, перевищення яких є підозрілим. (Втім, "граничний" метод можна трактувати і як виокремлений випадок сигнатури атаки, і як тривіальний спосіб вираження політики безпеки.) Стосовно засобів активного аудиту розрізняють помилки першого й другого роду: пропуск атак і фіктивні тривоги, відповідно. Небажаність помилок першого роду очевидна; помилки другого роду не менш неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак. Переваги сигнатурного методу– висока продуктивність, невелика кількість помилок другого роду, обгрунтованість рішень. Основний недолік – невміння виявляти невідомі атаки й варіації відомих атак. Основні переваги статистичного підходу – універсальність й обґрунтованість рішень, потенційна здатність виявляти невідомі атаки, тобто мінімізація кількості помилок першого роду. Мінуси полягають у відносно високій частці помилок другого роду, поганій роботі у випадку, коли неправомірне поводження є типовим, коли типова поведінка плавно змінюється від легального до неправомірного, а також у випадках, коли типового поводження немає (як показує статистика, таких користувачів приблизно 5-10%). Засоби активного аудиту можуть розташовуватися на всіх лініях оборони інформаційної системи. На межі контрольованої зони вони можуть виявляти підозрілу активність у точках підключення до зовнішніх мереж (не тільки спроби нелегального проникнення, але й дії по "промацуванню" сервісів безпеки). У корпоративній мережі, у межах інформаційних сервісів і сервісів безпеки, активний аудит у стані виявити й припинити підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані як порушеннями безпеки, так й апаратно-програмними помилками. Важливо відзначити, що активний аудит, у принципі, здатний забезпечити захист від атак на доступність. На жаль, формулювання "у принципі, здатний забезпечити захист" не випадкове. Активний аудит розвивається більше десяти років і перші результати здавалися досить багатообіцяючими. Досить швидко вдалося реалізувати розпізнавання простих типових атак, однак потім була виявлена безліч проблем, пов'язаних з виявленням заздалегідь невідомих атак, атак розподілених, розтягнутих у часі й т.п. Було б наївно очікувати повного рішення подібних проблем найближчим часом. (Оперативне поповнення бази сигнатур атак таким рішенням, звичайно, не є.) Проте, і на нинішній стадії розвитку активний аудит корисний як один з рубежів (точніше, як набір прошарків) ешелонованої оборони. 9.3. Функціональні компоненти й архітектура У складі засобів активного аудиту можна виділити такі функціональні компоненти: • компоненти генерації реєстраційної інформації. Вони перебувають на стику між засобами активного аудиту й контрольованих об'єктів; • компоненти зберігання згенерованої реєстраційної інформації; • компоненти витягу реєстраційної інформації (сенсори). Звичайно розрізняють мережні й хостові сенсори, маючи на увазі під першими виділені комп'ютери, мережеві карти яких установлені в режим прослуховування, а під другими - програми, що читають реєстраційні журнали операційної системи. • компоненти перегляду реєстраційної інформації можуть допомогти при ухваленні рішення про реагування на підозрілу активність; • компоненти аналізу інформації, що надійшла від сенсорів. Відповідно до наведеного визначення засобів активного аудиту, виділяють пороговий аналізатор, аналізатор порушень політики безпеки, експертну систему, яка виявляє сигнатури атак, а також статистичний аналізатор, що виявляє нетипове поводження; • компоненти зберігання інформації, які беруть участь в аналізі. Таке зберігання необхідно, наприклад, для виявлення атак, тривалих у часі; • компоненти прийняття рішень і реагування ("вирішувачі"). "Вирішувач" може одержувати інформацію не тільки від локальних, але й від зовнішніх аналізаторів, проводячи так званий кореляційний аналіз розподілених подій; • компоненти зберігання інформації про контрольовані об'єкти. Тут можуть зберігатися як пасивні дані, так і методи, необхідні, наприклад, для витягу з об'єкта реєстраційної інформації або для реагування; • компоненти, які відіграють роль організуючої оболонки для менеджерів активного аудиту, названі моніторами й об'єднуючими аналізаторами, "вирішувачі", сховище описів об'єктів й інтерфейсні компоненти. • компоненти інтерфейсу з адміністратором безпеки. Засоби активного аудиту будуються в архітектурі менеджер/агент. Основними агентськими компонентами є сенсори. Аналіз та прийняття рішень - функції менеджерів. Очевидно, між менеджерами й агентами повинні бути сформовані довірчі канали. Підкреслимо важливість інтерфейсних компонентів. Вони корисні як із внутрішньої для засобів активного аудиту точки зору (забезпечують розширюваність, підключення компонентів різних виробників), так і із зовнішньої точки зору. Між менеджерами (між компонентами аналізу й "вирішувачами") можуть існувати горизонтальні зв'язки, необхідні для аналізу розподіленої активності. Можливо також формування ієрархій засобів активного аудиту з винесенням на верхні рівні інформації про найбільш масштабну й небезпечну активність. Звернемо також увагу на архітектурну спорідненість засобів активного аудиту й керування, що є наслідком спільності виконуваних функцій. Продумані інтерфейсні компоненти можуть істотно полегшити спільну роботу цих засобів. 9.4. Шифрування Ми приступаємо до розгляду криптографічних сервісів безпеки, точніше, до викладу елементарних відомостей, що допомагають скласти загальне уявлення про комп'ютерну криптографію і її місце в загальній архітектурі інформаційних систем. Криптографія необхідна для реалізації, принаймні, трьох сервісів безпеки: • шифрування; • контроль цілісності; • аутентифікація (цей сервіс був розглянутий нами раніше). Шифрування - найбільш потужний засіб забезпечення конфіденційності. У багатьох відносинах воно займає центральне місце серед програмно-технічних регуляторів безпеки, будучи основою реалізації багатьох з них, і в той же час останнім (а часом і єдиним) захисним рубежем. Наприклад, для портативних комп'ютерів тільки шифрування дозволяє забезпечити конфіденційність даних навіть у випадку крадіжки. У більшості випадків і шифрування, і контроль цілісності відіграють глибоко інфраструктурну роль, залишаючись прозорими й для додатків, і для користувачів. Типове місце цих сервісів безпеки – на мережевому й транспортному рівнях реалізації стека мережевих протоколів. Розрізняють два основних методи шифрування: симетричний й асиметричний. У першому з них той самий ключ ( що зберігається в секреті) використовується як для шифрування, так і для розшифрування даних. Розроблені досить ефективні (швидкі й надійні) методи симетричного шифрування. Рис. 9.1 ілюструє використання симетричного шифрування. Для визначеності ми будемо вести мову про захист повідомлень, хоча події можуть розвиватися не тільки в просторі, але й у часі, коли зашифровуються й розшифровуються нікуди не переміщені файли. Рис. 9.1. Використання симетричного методу шифрування. Основним недоліком симетричного шифрування є те, що секретний ключ повинен бути відомий і відправнику, і одержувачу. З одного боку, це створює нову проблему поширення ключів. З іншого боку, одержувач на підставі наявності зашифрованого й розшифрованого повідомлення не може довести, що він одержав це повідомлення від конкретного відправника, оскільки таке ж повідомлення він міг згенерувати самостійно. В асиметричних методах використовуються два ключі. Один з них, несекретний (він може розміщуватися разом з іншими відкритими відомостями про користувача), застосовується для шифрування, інший (секретний відомий тільки одержувачу) - для розшифрування. Найпопулярнішим серед асиметричних є метод RSA (Райвест, Шамир, Алліман), заснований на операціях з більшими (скажемо, 100-значными) простими числами і їхніми добутками. Проілюструємо використання асиметричного шифрування (рис. 9.2). Істотним недоліком асиметричних методів шифрування є їхня низька швидкодія, тому дані методи доводиться сполучати із симетричними (асиметричні методи на 3-4 порядки повільніші). Так, для рішення завдання ефективного шифрування з передачею секретного ключа, використаного відправником, повідомлення спочатку симетрично зашифровують випадковим ключем, потім цей ключ зашифровують відкритим асиметричним ключем одержувача, після чого повідомлення й ключ відправляються по мережі Рис. 9.2. Використання асиметричного методу шифрування. Дещо розповсюдився різновид симетричного шифрування, заснований на використанні складених ключів. Ідея полягає в тому, що секретний ключ ділиться на дві частини, що зберігаються окремо. Кожна частина сама по собі не дозволяє виконати розшифрування. Якщо в правоохоронних органів з'являються підозри щодо особи, що використовує деякий ключ, вони можуть у встановленому порядку одержати половинки ключа й далі діяти звичайним для симетричного розшифрування чином. Порядок роботи зі складеними ключами - вдалий приклад проходження принципу поділу обов'язків. Він дозволяє сполучати права на різного роду таємниці (персональну, комерційну) з можливістю ефективно стежити за порушниками закону, хоча, звичайно, тут дуже багато тонкостей і технічного, і юридичного плану. Багато криптографічних алгоритмів у якості одного з параметрів вимагають псевдовипадкового значення, у випадку передбачення якого в алгоритмі з'являється уразливість (подібне уразливе місце було виявлено в деяких варіантах Web-навігаторів). Генерація псевдовипадкових послідовностей - важливий аспект криптографії, на якому ми, однак, зупинятися не будемо. |