2. Правила умолчания.
Большое внимание при назначении привилегий следует уделять правилам умолчания, принятым в данных средствах защиты; это необходимо для соблюдения политики безопасности. Во многих системах, например, субъект, создавший объект и являющийся его владельцем, по умолчанию получает все права на него. Кроме того, он может эти права передавать кому-либо. В различных средствах защиты используются свои правила умолчания, однако принципы назначения привилегий по умолчанию в большинстве систем одни и те же. Если в системе используется древовидная файловая структура, то необходимо принимать во внимание правила умолчания для каталогов. Корректное использование правил умолчания способствуют поддержанию целостности политики безопасности.
3. Минимум привилегий.
Это один из основополагающих принципов реализации любой политики безопасности, используемый повсеместно. Каждый пользователь и процесс должен иметь минимальное число привилегий, необходимых для работы. Определение числа привилегий для всех пользователей, с одной стороны, позволяющих осуществлять быстрый доступ ко всем необходимым для работы объектам, а, с другой, — запрещающих доступ к чужим объектам — проблема достаточно сложная. От ее решения во многом зависит корректность реализации политики безопасности.
4. Принцип «надо знать».
Этот принцип во многом схож с предыдущим. Согласно ему, полномочия пользователей назначаются согласно их обязанностям. Доступ разрешен только к той информации, которая необходима им для работы. Согласно принципу, пользователь должен знать обо всех доступных ему ресурсах. В том случае, если пользователь не знает о них, такие ресурсы должны быть отключены.
5. Объединение критичной информации.
Во многих системах сбор, хранение и обработка информации одного уровня производится в одном месте (узле сети, устройстве, каталоге). Это связано с тем, что проще защитить одним и тем же способом большой массив информации, чем организовать индивидуальную защиту для каждого набора данных. Для реализации этого принципа могут быть разработаны специальные программы, управляющие обработкой таких наборов данных. Это будет простейший способ построения защищенных областей.
6. Иерархия привилегий.
Контроль объектов системы может иметь иерархическую организацию. Такая организация принята в большинстве коммерческих систем.
При этом схема контроля имеет вид дерева, в котором узлы — субъекты системы, ребра — право контроля привилегий согласно иерархии, корень — администратор системы, имеющий право изменять привилегии любого пользователя.
Узлами нижележащих уровней являются администраторы подсистем, имеющие права изменять привилегии пользователей этих подсистем (в их роли могут выступать руководители организаций, отделов). Листьями дерева являются все пользователи системы. Вообще говоря, субъект, стоящий в корне любого поддерева, имеет право изменять защиту любого субъекта, принадлежащего этому поддереву.
Достоинство такой структуры — точное копирование схемы организации, которую обслуживает АСОИБ. Поэтому легко составить множество субъектов, имеющих право контролировать данный объект. Недостаток иерархии привилегий — сложность управления доступом при большом количестве субъектов и объектов, а также возможность получения доступа администратора системы (как высшего по иерархии) к любому набору данных.
7. Привилегии владельца.
При таком контроле каждому объекту соответствует единственный субъект с исключительным правом контроля объекта — владелец. Как правило, это его создатель. Владелец обладает всеми разрешенными для этого типа данных правами на объект, может разрешать доступ любому другому субъекту, но не имеет права никому передать привилегию на корректировку защиты. Однако такое ограничение не касается администраторов системы — они имеют право изменять защиту любых объектов.
Главным недостатком принципа привилегий владельца является то, что при обращении к объекту, пользователь должен предварительно получить разрешение у владельца (или администратора). Это может приводить к сложностям в работе (например; при отсутствии владельца или просто нежелании его разрешить доступ). Поэтому такой принцип обычно используется при защите личных объектов пользователей.
8. Свободная передача привилегий.
При такой схеме субъект, создавший объект, может передать любые права на него любому другому субъекту. Тот, в свою очередь, может передать все эти права другому субъекту.
Естественно, при этом возникают большие трудности в определении круга субъектов, имеющих в данный момент доступ к объекту (права на объект могут распространяться очень быстро и так же быстро исчезать), и поэтому такой объект легко подвергнуть несанкционированной обработке. В силу этих обстоятельств подобная схема применяется достаточно редко — в основном в исследовательских группах, работающих над одним проектом (когда все имеющие доступ к объекту заинтересованы в его содержимом).
В чистом виде рассмотренные принципы реализации политики безопасности применяются редко. Обычно используются их различные комбинации. Ограничение доступа к объектам в ОС включает в себя ограничение доступа к некоторым системным возможностям, например, ряду команд, программам и т.д., если при использовании их нарушается .политика безопасности. Вообще набор полномочий каждого пользователя должен быть тщательно продуман, исключены возможные противоречия и дублирования, поскольку большое количество нарушений происходит именно из-за этого. Может произойти утечка информации без нарушения защиты, если плохо была спроектирована или реализована политика безопасности.
Политика безопасности и механизмы поддержки ее реализации образуют единую защищенную среду обработки информации. Эта среда имеет иерархическую структуру, где верхние уровни представлены требованиями политики безопасности, далее следует интерфейс пользователя, затем идут несколько программных уровней защиты (включая уровни ОС) и. наконец, нижний уровень этой структуры представлен аппаратными средствами защиты. На всех уровнях, кроме верхнего, должны реализовываться требования политики безопасности, за что, собственно, и отвечают механизмы защиты.
В различных системах механизмы защиты могут быть реализованы по-разному; их конструкция определяется общей концепцией системы. Однако одно требование должно выполняться неукоснительно: эти механизмы должны адекватно реализовывать требования политики безопасности.
Имеется два подхода к обеспечению безопасности АСОИБ.
«Фрагментарный» подход ориентируется на противодействие строго определенным угрозам при определенных условиях. Примерами реализации такого подхода являются, например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т.д. Главная отличительная особенность «фрагментарного» подхода — отсутствие единой защищенной среды обработки информации.
Главным достоинством «фрагментарного» подхода является его высокая избирательность относительно конкретной угрозы, обуславливающая и основной его недостаток — локальность действия. Другими словами, фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов АСОИБ от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты; распространить действие таких мер на всю АСОИБ практически невозможно.
Особенностью комплексного подхода является создание защищенной среды обработки информации в АСОИБ, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Защищенная среда обработки информации строится на основе разработанных для конкретной АСОИБ правил обработки критической информации.
Организация защищенной среды обработки информации позволяет гарантировать (в рамках разработанной политики безопасности) уровень безопасности АСОИБ. Недостатками подхода являются высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления, ограничения на свободу действий пользователей АСОИБ.
Комплексный подход применяют для защиты крупных АСОИБ, или небольших АСОИБ, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи. При этом способ реализации комплексной защиты определяется спецификой АСОИБ, другими объективными и субъективными факторами.
Для всех крупных организаций характерно то, что нарушение безопасности информации в их АСОИБ может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиям безопасности, что ведет к необходимости реализации комплексной защиты.
Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений, он нашел свое отражение в различных стандартах и целенаправленно проводится в жизнь, например, Министерством обороны США в лице Национального Центра Компьютерной Безопасности (NCSC). [2, с.201]
Важным компонентом защиты является «горячий резерв».
«Горячий резерв» используется для возобновления процесса обработки после событий, вызвавших полный или частичный отказ основной системы — в результате отключения энергоснабжения, неисправности оборудовании или программного обеспечения, злого умысла («вирусная атака») и т.д.
«Горячий резерв» — это готовая к работе дублирующая система, в которой полностью сгенерирована операционная система, размещены прикладное программное обеспечение и наборы данных. Кроме того, резервная система должна иметь работоспособные периферийные устройства, подключенные каналы связи, источники энергоснабжения и даже персонал. Время на подготовку определяется временем загрузки резервных копий и системы.
Содержание «горячего резерва» обходится очень дорого. Однако в некоторых случаях — для обработки информации, требующей полного контроля со стороны ее владельца, «горячий резерв» необходим. Кроме того, можно содержать и использовать «горячий резерв» на кооперативных началах — вместе с другими организациями.
«Расщепленный резерв» представляет собой способ не столько восстановления, сколько организации АСОИБ. В этом смысле о нем можно говорить, как о способе организации системы с высокой степенью распределенности и взаимодублирующими составными частями. При таком подходе критичные элементы системы (аппаратура, программы, данные) разнесены по отдельным ее частям (узлам распределенной системы) и функционируют в какой-то мере независимо, обмениваясь между собой информацией по каналам связи.
В случае выхода из строя отдельных элементов системы другие могут взять на себя их функции. Времени на приведение дублирующих элементов в рабочее состояние очень мало, фактически оно определяется загрузкой из резервных копий (так как аппаратура расщепленного резерва всегда находится в рабочем состоянии).
Такой способ обеспечения непрерывной работы и восстановления очень эффективен, так как позволяет быстро осуществлять переход с основных элементов АСОИБ на дублирующие. Более того, этот переход может быть практически незаметен для пользователей за исключением возрастания нагрузки на отдельные элементы. Однако при использовании «расщепленного резерва» возникает множество проблем, основными из которых являются:
1. Определение критической нагрузки. Распределение аппаратуры, программ и данных по элементам всей АСОИБ таким, чтобы обеспечить оптимальное дублирование и восстановление данных и процесса их обработки в различных ситуациях. Существующие математические методы позволяют рассчитывать оптимальную критическую нагрузку для каждого конкретного случая.
2. Обеспечение безопасности. При распределении программ и данных по различным элементам системы неизбежно увеличивается вероятность различных нарушений. Эта вероятность повышается в критических случаях, когда информация может обрабатываться на других элементах системы, возможно, с нарушением безопасности. В этом случае необходимо разрабатывать политику безопасности и составлять планы с учетом возможных опасных ситуаций и реакции на них.
«Холодный резерв» используется для возобновления процесса обработки после серьезных, нанесший большой ущерб событий, которые привели к полному выходу системы из строя пожара, наводнения и т.д. Время на восстановление в этом случае может исчисляться неделями и месяцами. Естественно, это слишком большой срок, чтобы позволить себе обходиться без обработки информации.
«Холодный резерв» представляет собой резервную систему обработки данных, которая не участвует в повседневной деятельности организации. Резервная система поставляется определенными фирмами (по заранее согласованной договоренности) в течение короткого промежутка времени (24 часа). Так же оперативно выполняются пуско-наладочные работы, после чего резервная система готова принять на себя функции основной.
В результате подобных мероприятий перерыв в работе АСОИБ в результате полного и необратимого выхода ее из строя будет исчисляться днями, а не неделями и месяцами. В то же время, покупка и установка резервной системы — дело дорогое, к тому же она не сможет принять на себя все функции основной, а только некоторую их часть. Поэтому «холодный резерв» целесообразно использовать для возобновления выполнения наиболее важных операций.
В том случае, когда размер ущерба невелик, система серьезно не пострадала, то наилучшим способом может быть отсутствие экстренных действий и продолжение работы.
Важным понятием политики безопасности является избирательная политика безопасности
Основой избирательной политики безопасности является избирательное управление доступом (ИУД), которое подразумевает, что:
- все субъекты и объекты системы должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на основании некоторого внешнего (по отношению к системе) правила (свойство избирательности).
Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД, иногда ее называют матрицей контроля доступа). Такая модель получила название матричной.
Матрица доступа представляет собой матрицу, в которой объекту системы соответствует столбец, а субъекту — строка. На пересечении столбца и строки матрицы указывается тип (типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как «доступ на чтение», «доступ на запись», «доступ на исполнение» и др.
Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей ИУД. Например, доступ субъекта к конкретному объекту может быть разрешен только в определенные дни (дата-зависимое условие), часы (время-зависимое условие), в зависимости от других характеристик субъекта (контекстно-зависимое условие) или в зависимости от характера предыдущей работы. Такие условия на доступ к объектам обычно используются в СУБД. Кроме того, субъект с определенными полномочиями может передать их другому субъекту (если это не противоречит правилам политики безопасности).
Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанным в соответствующей ячейке матрицы доступа. Обычно, избирательное управление доступом реализует принцип «что не разрешено, то запрещено», предполагающий явное разрешение доступа субъекта к объекту.
Матрица доступа — наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных АСОИБ.
Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД (профили). Каждый из этих способов представления МД имеет свои достоинства и недостатки, обуславливающие область их применения. Поэтому в каждом конкретном случае надо знать, во-первых, какое именно представление использует средство защиты, и, во-вторых, какие особенности и свойства имеет это представление.
Основу полномочной политики безопасности составляет полномочное управление доступом, которое подразумевает, что:
- все субъекты и объекты системы должны быть однозначно идентифицированы;
- каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;
- каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.
В том случае, когда совокупность меток имеет одинаковые значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру и, таким образом, в системе можно реализовать иерархически ненисходящий (по ценности) поток информации (например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.
Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.
Для моделирования полномочного управления доступом используется модель Белла-Лападула [2, с.159], включающая в себя понятия безопасного (с точки зрения политики) состояния и перехода. Для принятия решения на разрешение доступа производится сравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасности субъекта. Результат сравнения определяется двумя правилами: «простым условием защиты» и «свойством». В упрощенном виде, они определяют, что информация может передаваться только «наверх», то есть субъект может читать содержимое объекта, если его текущий уровень безопасности не ниже метки критичности объекта, и записывать в него, - если не выше.
Простое условие защиты гласит, что любую операцию над объектом субъект может выполнять только в том случае, если его уровень прозрачности не ниже метки критичности объекта.
Основное назначение полномочной политики безопасности — регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновении с нижних уровней на верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).
Изначально полномочная политика безопасности была разработана в интересах минобороны США для обработки информации с различными грифами секретности. Ее применение в коммерческом секторе сдерживается следующими основными причинами :
- отсутствием в коммерческих организациях четкой классификации хранимой и 'обрабатываемой информации, аналогичной государственной классификации (грифы секретности сведений);
- высокой стоимостью реализации и большими накладными расходами.
Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект. Чтобы получить информацию о каком-либо объекте системы, вовсе не обязательно искать пути несанкционированного доступа к нему. Можно получать информацию, наблюдая за работой системы и, в частности, за обработкой требуемого объекта. Иными словами, при помощи каналов утечки информации. По этим каналам можно получать информацию не только о содержимом объекта, но и о его состоянии, атрибутах и др. в зависимости от особенностей системы и установленной защиты объектов. Эта особенность связана с тем, что при взаимодействии двух субъектов возникает некоторый поток информации от одного к другому.
Информационные потоки существуют в системе всегда. Поэтому возникает необходимость определить, какие информационные потоки в системе являются «легальными», то есть не ведут к утечке информации, а какие - ведут. Таким образом, возникает необходимость разработки правил, регулирующих управление информационными потоками в системе.
Для этого необходимо построить модель системы, которая может описывать такие потоки. Такая модель называется потоковой [2, с.176]. Модель описывает условия и свойства взаимного влияния (интерференции) субъектов, а также количество информации, полученной субъектом в результате интерференции.
Управление информационными потоками в системе не есть самостоятельная политика, так как оно не определяет правил обработки информации. Управление информационными потоками применяется обычно в рамках избирательной или полномочной политики, дополняя их и повышая надежность системы защиты.
Управление доступом (избирательное или полномочное) сравнительно легко реализуемо (аппаратно или программно), однако оно неадекватно реальным АСОИБ из-за существования в них скрытых каналов. Тем не менее управление доступом обеспечивает достаточно надежную защиту в простых системах, не обрабатывающих особо важную информацию. В противном случае средства защиты должны дополнительно реализовывать управление информационными потоками. Организация такого управления в полном объеме достаточна сложна, поэтому его обычно используют для усиления надежности полномочной политики: ненисходящие (относительно уровней безопасности) информационные потоки считаются разрешенными, все остальные — запрещенными.
Отметим, что кроме способа управления доступом политика безопасности включает еще и другие требования, такие как подотчетность, гарантии и т.д.
Избирательное и полномочное управление доступом, а также управление информационными потоками — своего рода три кита, на которых строится вся защита.
Глава 5. Безопасность компьютерных сетей в банке. Классификация сетей.Сети компьютеров имеют множество преимуществ перед совокупностью отдельных систем, в их числе следующие:
* Разделение ресурсов.
Пользователи сети могут иметь доступ к определенным ресурсам всех узлов сети. В их числе, например, наборы данных, свободная память на удаленных узлах, вычислительная мощность удаленных процессоров и т.д. Это позволяет экономить значительные средства за счет оптимизации использования ресурсов и их динамического перераспределения в процессе работы.
* Повышение надежности функционирования системы. Поскольку сеть состоит из совокупности отдельных узлов, то в случае сбоя на одном или нескольких узлах другие узлы смогут взять на себя их функции. При этом пользователи могут даже и не заметить этого- перераспределение задач возьмет на себя программное обеспечение сети.
* Распределение загрузки.
В сетях с переменным уровнем загруженности имеется возможность перераспределять задачи с одних узлов сети (с повышенной нагрузкой) на другие, где имеются свободные ресурсы. Такое перераспределение может производиться динамически в процессе работы, более того, пользователи могут даже и не знать об особенностях планирования задач в сети. Эти функции может брать на себя программное обеспечение сети.
* Расширяемость.
Сеть может быть легко расширена за счет добавления новых узлов. При этом архитектура практически всех сетей позволяет легко адаптировать сетевое программное обеспечение к изменениям конфигурации. Более того, это может производиться автоматически.
Однако с точки зрения безопасности эти достоинства превращаются в уязвимые места, порождая серьезные проблемы.
Особенности работы в сети определяются ее двойственным характером: с одной стороны, сеть следует рассматривать как единую систему, а с другой, - как совокупность независимых систем, каждая из которых выполняет свои функции; имеет своих пользователей. Эта же двойственность проявляется в логическом и физическом восприятии сети: на физическом уровне взаимодействие отдельных узлов осуществляется с помощью сообщений различного вида и формата, которые интерпретируются протоколами. На логическом уровне (т.е. сточки зрения протоколов верхних уровней) сеть представляется как совокупность функций, распределенных по различным узлам, но связанных в единый комплекс.
Сети подразделяются: [8, с.4-7]
... Для того чтобы защитить свои финансы и секретную информацию, а также снизить возможный ущерб от действий вирусов, необходимо, прежде всего, с должным вниманием относиться к информационной безопасности. Проблема не решится сама собой, каждый день появляется около 50 новых модификаций различных вирусов, тысячи антивирусных специалистов постоянно анализируют вредоносные коды и готовят соответствующие ...
... на повышение конкурентоспособности в долгосрочной перспективе, и составляет стратегию банка. Таким образом, в нашем исследовании мы выделяем объект - деятельность коммерческих банков на территории РФ. 1.2. Роль и место обеспечения безопасности в деятельности коммерческого банка Региональный банковский сектор является мезоэкономическим компонентом банковской системы, в связи с чем, на параметры ...
... учетом существующей отечественной и международной нормативно-правовой базы построить модель угроз, дать сравнительный анализ нормативных и правовых документов по организации защиты информации в Донецком отделении Юго-Западного банка Сбербанка России №7749 и разработать рабочую документацию по информационной безопасности банка. 3. Модель угроз на ******* отделении Юго-Западного банка Сбербанка ...
... АРМ, назначение ролей и распечатка предписаний: системному администратору сервера подсистемы, администратору транспортной станции УТП, администратору ключевой системы ЭЦП/КА, администратору информационной безопасности ТЦОИ - на регистрацию пользователя в подсистемах их сферы ответственности. После получения подтверждений о выполнении администраторами смежных подсистем предписанных действий, ...
0 комментариев