Петров А.А. Комп без-ть
.pdfОбщие сведения |
171 |
устройств типа электронный замок, средств абонентского шифрова ния, штатных средств разграничения доступа, входящих в состав про граммного обеспечения, установленного на рабочей станции. При этом вполне могут использоваться и дополнительные средства разграниче ния доступа;
•защиту в локальных сетях передачи данных;
•защиту межсетевого взаимодействия. Этот пункт, в свою очередь, мо жет быть разбит на несколько частей:
-создание защищенных виртуальных сетей (У Р Ы ) на базе общедос тупных сетей передачи данных. В ходе решения подобной пробле мы необходимо, кроме установления защищенного канала передачи данных между территориально разнесенными локальными сетями, обеспечить также защиту от несанкционированного доступа к ин формационным ресурсам, предоставляемым в данных сетях;
-обеспечение защиты технологии клиент/сервер. В зависимости от практических потребностей методы создания защиты в таких тех нологиях могут подразделяться на два типа: а) обеспечение защи щенного взаимодействия между клиентом и сервером; б) обеспече ние авторизованного доступа клиента к ресурсам, предоставляемым целевым сервером. В качестве примера, описанного в этой главе, выбраны технологии защиты при доступе к \УеЪ-серверам;
-обеспечение защиты информационных ресурсов корпоративной сети, имеющей выход в общедоступные сети передачи данных, от атак извне;
-средства защиты пользовательского взаимодействия. В качестве примера рассматриваются средства, обеспечивающие шифрование данных при обмене информацией типа «точка-точка»;
•защиту электронной почты и документооборота;
•защиту электронных платежных систем (в том числе и систем, осуще ствляющих платежные операции через 1п1:егпе1;).
В зависимости от практических потребностей решения проблем по обес печению информационной безопасности, включенных в приведенную классификацию, могут осуществляться по отдельности, а также совмест но с вопросами, изложенными в других пунктах. Их реальное воплощение в рамках выбранной в организации политики безопасности может выра жаться как в виде отдельных программно-аппаратных решений, так и в объ единении организационно-административных мер и программно-техничес ких средств. Состав средств и методов защиты информации для конкретной информационно-телекоммуникационной системы определяется в соответ ствии с заданной политикой безопасности.
172 Компьютерная безопасность и практическое применение криптографии
Необходимость обеспечения надежности и оперативности функциони рования средств защиты, использующих криптографические алгоритмы, выдвигает особые требования и к выбору ключевых систем, которые долж ны удовлетворять следующим требованиям:
•устойчивость ключевой системы к компрометации ключей. Это выра жается в том, что компрометация ключа у одного пользователя не долж на сказаться на работе всей системы в целом;
•у пользователей должно находиться минимальное число ключей, и за щищать их необходимо с помощью особых организационных мер, предпочтение при этом отдается техническим мерам защиты ключей;
•предусматривать защиту от копирования;
•иметь механизмы плановой смены ключей и сертификатов открытых ключей.
Здесь следует добавить, что для современных информационно-теле коммуникационных систем, использующих межсетевое взаимодействие, на практике необходимо обеспечивать не только конфиденциальность, целост ность и достоверность информации, но и ее доступность, а также доступ ность информационных ресурсов. Другими словами, необходимо предус мотреть защиту от атак типа отказ в обслуживании.
Эффективность применения систем защиты информации зависит от того, учитываются ли при их построении следующие требования:
•масштабируемость. Другими словами, при построении системы защи ты должна быть обеспечена возможность ее дальнейшего расширения
сучетом роста защищаемой инфраструктуры;
•интегрируемость. Средства защиты информации должны оптималь ным образом встраиваться в существующую инфраструктуру;
•контролируемость. События, связанные с функционированием систе мы защиты информации, должны отражаться системами мониторинга и аудита;
•структурированность. В рамках построения системы защиты в ней дол жны быть выделены функциональные подсистемы, выполняющие от дельные задачи по обеспечению информационной безопасности, на пример подсистема разграничения доступа или подсистема аудита;
•сертифицируемость. Применяемые при построении системы защиты средства защиты информации должны удовлетворять национальным стандартам и требованиям;
•эшелонированность. Надежная система защиты должна состоят из не скольких рубежей, на каждый из которых возлагаются определенные за дачи и выдвигаются определенные требования. Суть эшелонированной
Общие сведения |
173 |
защиты состоит в том, что нарушение штатного функционирования одного из рубежей не должно повлечь катастрофических последствий для всей системы безопасности в целом.
Особо следует отметить требования, выдвигаемые к быстродействию средств защиты, которые должны быть обеспечены современными высо коскоростными методами передачи и обработки информации:
•механизмы обеспечения безопасности должны эффективно обрабаты вать мультиплексированные данные на уровне пакетов;
•средства безопасности не должны вносить существенные задержки
впроцесс обработки и передачи информации:
•ключевая инфраструктура в силу высоких скоростей обмена инфор мацией и, следовательно, большого объема передаваемой информации
вединицу времени должна содержать эффективные средства обнов ления ключей (либо стоит позаботиться об увеличении срока действия ключей);
•криптографические алгоритмы должны обрабатывать большие объе мы информации в единицу времени. Например, для некоторых систем скорость обработки информации должна составлять несколько гига битов в секунду;
•реализация криптографических алгоритмов должна позволять работу
всистемах с различной пропускной способностью.
На практике уровень безопасности и надежности системы защиты ин формации зависит не только от стойкости выбранных средств или поли тики безопасности, но и от эффективности интеграции средств защиты информации в целевую систему. Очевидно, что схемы интеграции будут значительно отличаться в зависимости от реализации средств защиты, которые обычно подразделяются иа программные, аппаратные и аппарат но-программные.
Интеграция аппаратных средств заключается в разработке и реализации физических процедур сопряжения подобных средств защиты информации в целевую систему. На практике обычно используются стандартные про цедуры и интерфейсы подключения устройств к рабочей станции, напри мер К.5-232, РС1-слот и т.д. Применение аппаратных устройств с точки зрения эффективности реализации оказывается предпочтительней, по скольку минимизируется негативное влияние среды, в которую интегри руется данное устройство. (Целевая система может носить недоверенный характер, то есть допускать наличие недокументированных возможнос тей, оказывающих негативное влияние иа работу средств защиты инфор мации.)
174Компьютерная безопасность и практическое применение криптографии
Вслучае применения программных средств критичным становится воп рос о проверке среды (обычно под средой подразумевается операционная система) на наличие недокументированных возможностей системы и ва риантах построения доверенной программной среды (отдельные аспекты этой проблемы будут рассмотрены далее). Программные средства защиты информации могут быть реализованы или в виде законченного программ ного продукта, интеграция которого заключается в обычной его инсталля ции, или в виде дополнительных процедур модулей, встраивающихся в про граммное обеспечение целевой системы.
Второй случай наиболее распространен, в частности, если необходимо обеспечить гибкость работы системы или прозрачное выполнение функ ций защиты информации при работе с каким-либо программным продук том. В качестве примера можно привести случай, когда при передаче дан ных по электронной почте необходимо обеспечить их шифрование иа прикладном уровне. При этом можно, конечно, применить предваритель ное зашифрование подклеиваемого к письму файла, но тогда тело письма останется в открытом виде; можно также воспользоваться услугами защи щенной почтовой системы с уже реализованными функциями шифрова ния данных.
Встраивание программных средств защиты информации может осуще ствляться одним из следующих способов:
•с использованием программных интерфейсов;
•с использованием криптосервера.
Существуют также некоторые специфические способы интеграции про граммных средств защиты информации в целевые системы, например ин теграция в операционную систему (О С ) АУтс1о\уз Э Т криптопротокола КегЪегоз через архитектуру БСЕ.
Очевидно, что основная проблема встраивания заключается в коррек тном использовании вызываемых функций. Субъекты, связанные с вы полнением подобных операций, могут использовать некоторое общее подмножество криптографических функций логического преобразова ния объектов (в частности, алгоритмы контроля целостности объектов). При проектировании конечной системы защиты исторически сложив шийся подход к использованию общего ресурса связан с применением разделяемых субъектов, выполняющих общие для других субъектов фун кции.
Программным интерфейсом (далее - АР1) называется детальное описание функций и используемых ими параметров. Формат обращения к функциям, описанный в программном интерфейсе, поддерживает прикладное ПО.
Общие сведения |
175 |
Для того чтобы интегрировать защитный механизм в данное ПО, необхо димо согласовать форматы функций (вызываемых и реализованных). О д нако при таком подходе возникает следующая трудность: не всегда АР1 предоставляет все необходимые форматы обращения для обеспечения на дежной безопасности. Например, АР1 может предоставлять возможность обращения к функциям работы с шифрованием и ЭЦП, но при этом воз можность обращения к функциям распределения сеансовых ключей пре доставлена не будет.
Наиболее известными на сегодняшний день АР1 являются Сгур1юАР1, 053 АР1 и 53Р1. В О С \ У ш с 1о \ у 5 И Т 4.0 используется программный ин терфейс Сгур1ю АР1, дающий возможность шифрования (КС2, К.С4, БЕЗ, КЗА), выработки и проверки электронной подписи, однако в этой системе нет действующих программных средств с механизмами криптографичес кой защиты. Но необходимо отметить, что алгоритмы шифрования, при меняемые в Сгур1ю АР1, используют укороченные ключи.
В рамках данного подхода необходимо реализовывать процедуры про верки прикладным ПО программных модулей (например, библиотек (111), в которых реализован механизм защиты, на предмет того, что это именно те программные модули, которые предполагалось использовать. Реализовать этот процесс можно, используя механизм запросов и отве тов между прикладным ПО и программными модулями, выполняющими защитные функции, или проводя контроль целостности П О средствами за щиты перед тем, как начать с ним работать. Необходимость выполнения этого требования основывается на следующем: злоумыш ленник может подменить программные модули средства защиты и пользователь не сможет обнаружить, что его открытая информация, которая должна была быть за шифрована, уйдет в канал связи незашифрованной.
Следующий подход с использованием криптографического сервера за ключается в локализации средства защиты информации, работающего
скритической к компрометации информацией (секретные ключи, пароли
ит.д.) на особо выделенной рабочей станции. В прикладное ПО, работаю щее на другой (находящейся на связи) рабочей станции, встраиваются только вызовы функций, реализованных в П О криптосервера. И спользо вание криптосервера позволяет выполняться средству защиты информа ции в доверенной программной среде.
Данный подход используется в случае, когда сложно гарантировать от сутствие негативного влияния прикладного П О на функционирование средства защиты. Например, такой подход применяется к мейнфреймам.
Взаимодействие же криптосервера с целевой станцией осущ ествляется
176Компьютерная безопасность и практическое применение криптографии
сиспользованием выделенного сегмента локальной сети; несанкциониро ванный доступ к этому сегменту предотвращается организационными ме рами.
Вбольшинстве случаев непосредственное встраивание осуществляет ся при работе с исходными текстами прикладного ПО и программного обеспечения средств защиты и последующем совместном компилирова нии и линковании.
Использование аппаратно-программных средств защиты информации позволяет вынести некоторые, особенно критичные к негативному воздей ствию процедуры, осуществляемые в данном средстве защиты, для реа лизации в аппаратной части, что заметно повышает уровень защиты ин формации. Например, функции подсчета контрольных сумм защищаемых файлов реализуются в аппаратной части, где и хранятся выработанные значения этих сумм.
Средства защиты информации подразделяются в зависимости от уров ня взаимодействия открытых систем (в качестве телекоммуникационной основы рассмотрим стек протоколов ТСР/1Р). Причем для каждого уров ня существует свой набор механизмов и служб обеспечения безопасности и соответственно свои наборы угроз. При этом каждый уровень с точки зрения реализации средств безопасности имеет свои преимущества и не достатки.
Каждая подобная конфигурация также может быть охарактеризова на набором специфических действий, которые способна предпринять атакующая систему сторона. Если рассматривать проблему в теорети ческом плане, такие атаки проводятся с целью компрометации, измене ния или уничтожения критичных ресурсов данного уровня. В соответ ствии с возможными угрозами каждый уровень должен быть защищен специальными средствами защиты, которые взаимно дополняют друг друга и в совокупности обеспечивают информационную безопасность системы в целом.
3.1.1.Физический и канальный уровни
На этих уровнях в качестве механизмов безопасности обычно осуществля ется шифрование соединения или трафика (зашифровываться может как весь трафик, так и его выборочная часть), то есть обеспечивается конфиден циальность передаваемой информации. В качестве вероятных угроз здесь можно выделить следующие: а) несанкционированное подключение, б) оши бочная коммутация, в) прослушивание, г) перехват, д) фальсификация
Общие сведения |
177 |
информации, е) имитоатаки, ж ) физическое уничтожение канала связи. Для защиты информации на данном уровне обычно применяют скремблирование, шифрующие модемы, специализированные канальные адапте ры. Из достоинств реализации средств защиты на уровнях этого типа сле дует отметить:
•простоту применения;
•аппаратную реализацию;
•полную защиту трафика;
•прозрачность выполнения средствами защиты информации своих функций.
К недостаткам применения средств защиты на канальном или физичес
ком уровне следует отнести:
•негибкость решения (фиксированный тип канала, сложность адапта ции к сетевой топологии, фиксированная производительность);
•низкая совместимость,
•высокая стоимость.
3.1.2. Сетевой уровень
При защите информации на сетевом уровне необходимо решить следую
щие задачи:
•защита информации непосредственно в пакетах, передаваемых по сети;
•защита трафика сети, то есть шифрование всей информации в канале;
•контроль доступа к ресурсам сети, то есть защита от нелегальных пользователей и от доступа легальных пользователей к информации, им не предназначенной.
Реализация средств защиты на сетевом уровне представляет гораздо больше возможностей для обеспечения безопасности передаваемых дан ных. Так, например, на данном уровне может быть реализована аутенти фикация рабочей станции, являющейся источником сообщений. Из угроз, специфичных для сетевого уровня, следует выделить:
•анализ служебной информации сетевого уровня, то есть адресной ин формации и топологии сети;
•атаки на систему маршрутизации. Другими словами, возможна моди фикация маршрутизационных таблиц через протоколы динамической маршрутизации и 1СМР;
•фальсификацию 1Р-адрес.ов; атаки на систему управления;
178 Компьютерная безопасность и практическое применение криптографии
• прослушивание, перехват и фальсификацию информации;
• имитоатаки.
В качестве традиционно применяемых решений, способных устранить подобные угрозы, следует отметить:
•пакетную фильтрацию;
•административную защиту на маршрутизаторах (в том числе шифру ющих);
•протоколы защиты информации сетевого уровня (защита и аутенти фикация трафика);
•туннелирование;
•векторизацию;
•динамическое распределение сетевых адресов;
•защиту топологии.
Здесь следует также перечислить достоинства средств защиты на сете
вом уровне. К ним относятся:
•полнота контроля трафика;
•универсальность;
•прозрачность;
•совместимость;
•адаптивность к сетевой топологии.
Кнедостаткам средств защиты на сетевом уровне можно отнести только неполноту контролируемых событий (неподконтрольность транспортных
иприкладных протоколов). Защита информации на этом уровне имеет ряд преимуществ с архитектурной точки зрения. Сетевой уровень - это та сту пень организации, на которой сеть становится полносвязггой системой. На более низких уровнях защита может быть реализована только как набор двухточечных защищенных звеньев.
Только на сетевом уровне появляется возможность установления защи щенного соединения между двумя компьютерами, расположенными в про извольных точках сети; на этой ступени появляется и понятие топологии, можно различить внешние и внутренние каналы. При сетевом взаимодей ствии реализуются такие возможности защиты информации, как фильтрация трафика между внутренней (корпоративной) сетыо и внешней коммуни кационной средой, защита от несанкционированного доступа из внешней сети во внутреннюю, маскировка топологий внутренних сетей. С другой стороны, сетевой уровень все-таки является достаточно низким в архитек туре взаимодействия открытых систем, вот почему не оказывает суще ственного влияния на прикладные системы.
Общие сведения |
179 |
3.1.3. Транспортный уровень
Самыми опасными угрозами на этом уровне следует считать:
•несанкционированные соединения, разведку приложений;
•атаки на систему управления;
•прослушивание, перехват и фальсификацию информации;
•имитоатаки.
Традиционными решениями подобных проблем являются:
•защита в составе межсетевых экранов (контроль доступа к приложе ниям, управление доступом к серверам);
•ргоху-системы;
•протоколы защиты транспортного уровня (защита и аутентификация данных).
Среди достоинств средств защиты на транспортном уровне можно вы делить следующие:
•развитая функциональность;
•высокая гибкость защиты.
Недостатками средств защиты на транспортном уровне являются:
•неполнота защиты
•неподконтрольиость событий в рамках прикладных и сетевых прото колов.
3.1.4. Прикладной уровень
Часто при создании и пересылке сложного электронного документа, состо ящего из нескольких полей, необходимо обеспечить защиту какого-то отдельно взятого поля данных. Решение этой задачи может заключаться в применении средств криптографической защиты на прикладном уровне. Информация, зашифрованная на прикладном уровне, затем разбивается иа пакеты и сетевые кадры, надежность доставки которых обеспечива ется транспортной средой, следовательно, криптографическая защита объекта прикладного уровня должна быть действительной и для всех ни жестоящих уровней.
Необходимо отметить, что при защите информации на прикладном уровне процедуры передачи, разборки на пакеты, маршрутизации и обрат ной сборки не могут нанести ущерба конфиденциальности информации. Кроме механизмов обеспечения целостности и конфиденциальности иа данном уровне, существует возможность обеспечения аутентификации
180 Компьютерная безопасность и практическое применение криптографии
пользователя, породившего информацию, - таким образом осуществляет ся жесткая связь информации с породившим ее пользователем.
Из основных угроз, возникающих на прикладном уровне, следует отметить:
•Н СД к данным;
•разведку имен и паролей пользователей;
•атаки на систему разграничения прав доступа пользователей;
•маскировку под легитимного пользователя;
•атаки на систему управления, атаки через стандартные прикладные протоколы;
•фальсификацию информации;
•имитоатаки.
Традиционно применяемыми решениями по защите информации и ин формационных ресурсов прикладного уровня являются встроенная защи та приложений, межсетевые экраны с фильтрацией прикладных протоко лов, ргоху-системы и т.д. Достоинством размещения средств защиты на прикладном уровне является полнота и высокая функциональность в рам ках конкретного приложения и контроль на уровне действий конкретного пользователя (процесса). Недостатками размещения средств защиты на прикладном уровне считаются: отсутствие универсальности, ограничен ность рамками заданного набора приложений, неподкоитрольность собы тий в нижележащих уровнях управления.
Криптографическая защита информации на прикладном уровне являет ся наиболее предпочтительным вариантом защиты информации с точки зрения ее гибкости, однако эти меры могут оказаться наиболее сложными в части программно-технической реализации.
Особое место в современных информационно-телекоммуникационных системах занимают вопросы стандартизации методов и средств защиты информации и информационных ресурсов.
На сегодняшний день существует большое количество международных и зарубежных стандартов и рекомендаций, которые, кроме конкретных программно-технических решений, представляют общие подходы к обес печению информационной безопасности.
3.1.5. Обзор стандартов в области защиты информации
Международные стандарты
Эти документы представлены серией 130 и 150/1ЕС и выпущены в свет Международной организацией по стандартизации (1 3 0 ) и Международ ной электротехнической комиссией (1ЕС).