3)Требования к показателям защиты 4-го класса:

В дискр-м принципе должен содержаться механизм контроля как явных, так и скрытых действий пользователя. В мандат-м принципе контроля доступа должны сопоставляться имена объектов и субъектов системы защиты с классификацией соответствующих методов. В соответствии с этим должны быть определены уровни уязвимости и категории секретности, влияющие на массификацию. При вводе новых объектов должны запрашиваться их метки классификаций. Субъект имеет право на чтение объекта при его классификации  классификации объекта. То же самое для записи. В разделе проектная документация должны быть:

-общие описания СВТ;

-общие описания комплекса средств защиты;

-описание модели защиты;

-описание диспетчера доступа;

-описание механизма контроля целостности;

-описание механизма очистки памяти;

-описание механизма изоляции программ;

-описание средств регистрации;

-описание средств защиты операции I/O;

-описание средств идентификации и аутентификации.

К показателю тестирования добавляется тестирование механизма контроля целостности, тестирование защиты операций I/O на отчуждаемых носителях, тестирование маркировки документов, тестирование невозможности субъектов в присвоении или изменении соответствующих прав.

4)Требования к 3-му классу:

Гарантии проектир.: модель защиты СВТ должна содержать:

-Непротиворечивые правила изменения прав разграничения доступа

-Правило работы с устройствами I/O

-Формир-я модель механизма управления доступом

Взаимодействия пользователя с комплексом средств защиты: комплекс средств защиты должен быть спроектирован в соответствии с требованиями безопасности; его структура должна быть модульной, так же четко должен быть определен интерфейс доступа пользователя к комплексу средств защиты с обеспечением необходимого уровня надежности. В руководстве по комплексу средств защиты должны быть описаны контролируемые функции, а так же должно быть описание проверки работы со средствами регистрации. Проектируемая документация: должна быть определена высокоуровневая спецификация средств защиты и его интерфейс, а так же проведена проверка в соответствии спецификации и модели защиты.

5)Требования ко 2-му классу:

Дискреционный контроль доступа: должно бать реализовано требование эквивалентности дискреционных и мандатных правил доступа. Показатели изоляции модулей: должны существовать программно-технические механизмы изоляции модулей одних процессов от модулей других. К гарантиям при проектир.: должны быть отражены не только высокоуровневые спецификации комплекса средств защиты, но и спецификации более низких уровней вплоть до исходного кода. Контроль модификаций: должно быть предусмотрено управление конфигураций СВТ; должны контролироваться изменения в модели, документации и исходных кодов программных модулей, а так же обеспечено соответствие между текстом программы и документацией. Проектная документация: дополнительно должны быть описаны гарантии дискрец-х и мандатных правил разделения доступа. Показатель тестирования: дополнительно должны быть описаны результаты всех выполняемых тестов.

6)Требования к 1-му классу:

Гарантии при проектировании: дополнительно требуется проверка соответствия объектного кода комплекса средств защиты к тексту на ЯВУ. Проектная документация: дополнительно разрабатывается описание гарантий процессов проектирования.

Лекция 6.

Способы несанкционированного доступа к информации и защиты от него.

Существуют следующие основные способы несанкционированного доступа:

• непосредственное обращение к объекту с конфиденциальной информацией (к примеру с помощью управляемой пользователем программы)

• создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например оставленных разработчиком люков)

• модификация средств защиты

• внедрение в систему технических или компьютерных средств, нарушающих их работоспособность (например, загрузка на компьютере иной, незащищенной ОС)

Модель нарушителя определяется исходя из следующих предположений:

• нарушитель имеет доступ к работе со штатными средствами КС

• нарушитель является специалистом высшей квалификации

Можно выделить следующие уровни возможностей нарушителя, использующего штатные средства системы:

1. запуск программ из фиксированного набора (получение почты и подготовка документов)

2. создание и запуск собственных программ

3. управление функционированием системы, изменение ПО и конфигурации системы

4. весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт системы.

С учетом данных возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа:

* ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря

* подключение к системе с незаблокированного терминала легального пользователя

* подключение к линиям связи и перехват доступа к системе после отправки пакета завершения сеанса легального пользователя

* «маскарад» - выдача себя за легального пользователя с применением похищенной идентифицирующей информации

* «мистификация» - создание условий для связи по сети легального пользователя с терминалом нарушителя, выдающего себя за легальный объект системы (например за сервер)

* создание условий для возникновения сбоев в работе системы

* изучение системы защиты с целью выявления люков.

Лекция 7.

Аутентификация пользователей по их биометрическим данным.

К основным биометрическим характеристикам пользователей системы, которые могут применяться при их аутентификации, относятся:

1) отпечатки пальцев

2) геометрическая форма руки

3) узор радужной оболочки глаза

4) рисунок сетчатки глаза

5) геометрическая форма и размеры лица, уха и т.д.

6) тембр голоса

Наиболее распространенными являются программно-аппаратные средства аутентификации пользователей по их отпечаткам пальцев. Причиной этого является наличие больших банков данных с отпечатками пальцев граждан. Наиболее достоверными (и наиболее дорогостоящими) являются средства аутентификации, основанные на характеристиках глаз (узоре радужной оболочки или рисунке сетчатки). Вероятность повторения этих признаков оценивается примерно в 10­^-78­.

Наиболее дешевыми (и наименее достоверными) являются средства аутентификации, основанные на геометрической форме лица и тембре голоса. Однако применение в качестве признака достоверности голос пользователя можно организовать удаленный доступ к системе.

Основные достоинства аутентификации пользователей по биометрическим характеристикам:

- трудность фальсификации

- высокая достоверность

- неотделимость биометрических признаков от личности человека (?)

Для сравнения качества аутентификации по биометрическим характеристикам применяют такие понятия как вероятность ошибки первого рода и вероятность ошибки второго рода. Ошибка первого рода – отказ в доступе к системе легальному пользователю. Её вероятность оценивается как 10^-6…10^-3. Ошибка второго рода - допуск в систему незарегистрированного пользователя. Вероятность ошибки второго рода составляет 10^-5…10^-2 (т.е. в 10 раз больше !). Общим недостатком средств аутентификации по биометрическим данным является их высокая стоимость из-за применения дополнительных программно-аппаратных средств.

Способы аутентификации по клавиатурному почерку и росписи мышью.

Данные способы не требуют применения дополнительных средств, что резко снижает их себестоимость, по сравнению со способами аутентификации по биометрическим данным. Одним из первых идею применения особенностей работы пользователя с клавиатурой и мышью для аутентификации предложил С.П. Расторгуев.

Рассмотрим вариант аутентификации пользователя по набору ключевой фразы (одной и тойже врежиме регистрации и входа в систему). Процедура настройки на характеристики регистрируемого пользователя:

1. выбор пользователем ключевой фразы

2. набор ключевой фразы несколько раз (не менее 3), исключая грубые ошибки набора

3. расчет и сохранение оценок математических ожиданий, дисперсий и числа наблюдений для временных интервалов между наборами каждой пары соседних символов ключевой фразы (эталонные данные)

Процедура аутентификации пользователя может проводиться в двух вариантах. Первый вариант:

1. набор ключевой фразы пользователем несколько раз

2. исключение грубых ошибок по специальному алгоритму

3. расчет и сохранение оценок математических ожиданий , дисперсий и числа наблюдений для временных интервалов между наборами каждой пары соседних символов ключевой фразы

4. проверка равенства рассчитанных значений с имеющимися в базе.

5. вычисление вероятности подлинности пользователя как отношение числа сочетаний соседних клавиш, для которых подтверждено равенство, к общему числу сочетаний соседних символов в ключевой фразе.

6. сравнение полученного значения вероятности с выбранным пороговым значением для принятия решения о допуске пользователя.

Второй вариант процедуры аутентификации:

1. набор ключевой фразы один раз

2. вычисление дисперсий временных интервалов между нажатиями соседних клавиш фразы

3. проверка равенства рассчитанных значений с имеющимися в базе, если дисперсии равны, то исключение временных интервалов, которые существенно отличаются от эталонных.

4. вычисление вероятности подлинности пользователя как отношение числа оставшихся интервалов к общему числу интервалов в ключевой фразе.

5. сравнение полученного значения вероятности с выбранным пороговым значением для принятия решения о допуске пользователя.

Достоверность аутентификации на основе клавиатурного почерка пользователя ниже, чем при применении биометрических характеристик, однако этот способ аутентификации имеет свои преимущества:

1. возможность скрытия факта применения дополнительной аутентификации, если в качестве ключевой фразы используется пароль. Т.е. применение дополнительно с парольной аутентификацией.

2. Возможность реализации данного способа только при помощи программных средств, что значительно снижает стоимость.

Рассмотрим аутентификацию на основе росписи мышью.

Процедура регистрации пользователя состоит из следующих этапов:

1. ввод эталонной росписи несколько раз

2. для каждой росписи вычисление числа точек и длинны линии, определение числа и местоположения разрывов.

3. выполнение сглаживания линии по специальному алгоритму

4. получение числа и местоположения замкнутых контуров

5. расчет вероятностных характеристик росписи (среднего значения и допустимых отклонений)

Процедура аутентификации состоит из следующих этапов:

1. ввод росписи

2. расчет числа точек и длины линии росписи

3. получение числа и местоположения разрывав линии

4. сглаживание линии росписи

5. получение числа и местоположения замкнутых контуров

6. сравнение полученных характеристик с эталонными

7. принятие решения о допуске пользователя в систему.

К преимуществам данного способа можно отнести возможность реализации только при помощи программных средств.

Общей особенностью методов аутентификации на основе клавиатурного почерка и росписи мышью является нестабильность их характеристик у одного и того же человека, которая может быть вызвана:

1. естественными изменениями, связанными с улучшением (или ухудшением) навыков работы пользователя с клавиатурой и мышью

2. изменениями, связанными с ненормальным физическим или психоэмоциональным состоянием.

Изменения первого рода не являются скачкообразными, поэтому могут быть устранены изменением эталонных данных при каждой успешной аутентификации. Изменения характеристик пользователя второго рода могут быть скачкообразными, однако такая особенность данных методов аутентификации может быть очень полезна, если ненормальное состояние пользователя может привести нежелательным и даже трагическим последствиям.

Перспективным направлением в развитии способов аутентификации может стать подтверждение их подлинности на основе его знаний и навыков, характеризующих уровень образования и культуры.

Лекция 8.

Программно-аппаратная защита от локального несанкционированного доступа

Недостатки парольной аутентификации можно устранить применением двухфакторной аутентификации, при которой пользователь для входа в систему должен не только ввести пароль, но и предъявить некоторый объект, содержащий подтверждающую подлинность информацию.

Такими объектами могут быть:

• магнитные диски, не требующие никаких дополнительных аппаратных средств, но и наиболее уязвимые с точки зрения копирования ключевой информации с них.

• Элементы Touch Memory (iButton), состоящие из энергонезависимой памяти (ПЗУ). Для чтения ключевой информации с таких «таблеток» достаточно касания с устройством чтения

• Пластиковые карты с магнитной полосой

• Карты со штрихкодом, покрытым непрозрачным составом. Чтение штрихкода происходит в инфракрасных лучах.

• Смарт-карты, носителем информации в которых является бескорпусная микросхема, которая может быть простым ПЗУ или микропроцессором (интеллектуальные смарт-карты).

• Маркеры eToken (USB-брелки) – подключаемое к USB устройство аналогичное смарт-карте.

С помощью только программных средств принципиально нельзя реализовать надежную защиту информации.

Рассмотрим порядок работы программ после включения питания компьютера и до загрузки ОС:

1. программа самопроверки устройств компьютера POST (Power On-Self Test)

2. программа BIOS Setup (может быть вызвана пользователем во время выполнения POST)

3. программы BIOS

4. программы расширения BIOS Ext

5. программа начальной загрузки, которая размещается в первом секторе нулевой головки нулевого цилиндра (MBR Master Boot Record) и в функции которой входит вызов загрузчика ОС

6. программа загрузки ОС (загрузчик)

7. оболочка ОС

Очевидно, что если загрузчик содержит вредоносный код, то и загруженная после этого ОС является открытой для нарушителя. Поэтому необходимо применять комплекс мер защиты.

Пусть модель нарушитель обладает следующими свойствами:

1. установка системы защиты производится без него

2. нарушитель не может вскрыть системный блок компьютера

3. нарушитель не может перезаписать информацию в ПЗУ BIOS при работающем компьютере

4. нарушитель не имеет паролей пользователей КС

Выполнение 1 и 2 условий возможно только организационными методами защиты информации.

Для предотвращения изменения информации в BIOS, необходимо защищать его паролем.

Аутентификация пользователей при удаленном доступе. Защита информации в сетях.

Простейшим протоколом, который может быть использован для удаленного доступа пользователей в систему, является протокол PAP (Password Authentication Protocol). Его суть в передаче пароля (в любом виде) системе, т.е. обычная парольная аутентификация. Данный пароль не защищен от перехвата пароля, поэтому он может применяться только с протоколом S/Key. Идея данного протокола заключается в использовании одноразовых паролей. Т.е. генерация пароля происходит при каждой аутентификации, на основе некоторого алгоритма.

Протокол CHAP основан на модели «рукопожатий».

Если в распределенной КС имеется несколько серверов, то для надежной аутентификации применяют протокол Kerberos. Этот протокол предполагает применение центрального сервера аутентификации СА (функцией которого является идентификация серверов и клиентов) и сервера выдачи мандатов (билетов) СВМ.

Среди программно-аппаратных и программных средств обеспечения инф безопасности в распределенных системах следует выделит межсетевые экраны (МСЭ).

Межсетевые экраны (брэндмауэры, firewall) - это локальное, т.е. однокомпонентное или функционально распределенное средство, реализующее контроль за информацией, поступающей или исходящей из АС и обеспечивающей защиту посредством ее фильтрации на основе анализа совокупности утвержденных критериев. МСЭ реализуют правила прохождения пакетов из одной части распределенной системы в другую. Как правило МСЭ устанавливают между локальной сетью (корпоративной) и сетью Интернет.

Показатели защищенности применяются к МЭ для определения уровня защищенности, который они обеспечивают.

Конкретный перечень показателей определяет классы защищенности МЭ.

Устанавливаются пять классов защищенности, каждый из которых характеризуется минимальной совокупностью требований. Самый низкий класс защищенности – 5 применяется для безопасного взаимодействия АС класса 1Д. 4-й для 1Г; 3-й для 1В; 2-й для 1Б; 1-й для 1А.

Требования к МЭ не исключают требований по защите соответствующих классов. При включении МЭ в защищенную АС класс ее защищенности не должен быть понижен.

Для АС классов 3Б и 2Б должен применяться МЭ не ниже пятого класса.

Для АС класса 3А и 2А должны применяться следующие классы МЭ:

1.При обработке информации с грифом секретно не ниже 3 класса

2.При обработке информации с грифом совершенно секретно не ниже 2–го класса

3.При обработке информации особая важность не ниже первого класса.

Требования к МЭ:

Показатели защищенности	Классы защищенности
	5	4	3	2	1
1.Управление доступом: в него входит фильтрация данных и трансляция адресов	+	+	+	+	=
2.авторизация и аутентификация	-	-	+	=	+
3.регистрация	-	+	+	+	=
4.идентификация и аутентификация в администрир. МЭ	+	=	+	+	+
5.регистрация в администрировании	+	+	+	=	=
6.простота использования и администрирование	-	-	+	=	+
7.целостность	+	=	+	+	+
8.Восстановление	+	=	=	+	+
9.тестирование	+	+	+	+	+
10.руководство администратора защиты	+	=	=	+	+
11.тестовая документация	+	=	=	+	+
12.проектная документация	+	=	=	+	+

Требования к 5-му классу защищенности

1.МЭ должен осуществлять фильтрацию на сетевом уровне, фильтрация должна проводиться для каждого отдельного пакета (в рамках управления доступом (1))

2. Идентификация и аутентификация в администрир. МЭ: МЭ должен осуществлять идентификацию администратора при его локальных запросах как по идентификационному коду так и по паролю условно постоянного действия.

3. Регистрация в администрировании: МЭ должен обеспечивать регистрацию входа администратора либо регистрацию загрузки и инициализацию системы. В параметрах должно быть указанно дата, время и код события, результат попытки и идентификатор администратора.

4. Целостность: МЭ должен следить за целостностью своей программной и информационной частей.

5. Восстановление: МЭ должен предусматривать процедуру восстановления после сбоев.

6. Тестирование: МЭ должен обеспечить регламентирование следующих параметров:

6.1.реализация правил фильтрации

6.2.процесса идентификации администратора

6.3.процесса регистрации действий админа

6.4.процесса контроля целостности

6.5.процедуры восстановления

7. Руководство администратора защиты: документ должен содержать описание функций МЭ, руководство по настройке, описание процедуры загрузки и описание процедуры восстановления.

8. Тестовая документация: документация должна содержать описание тестов и результаты тестирования.

9. Проектная документация: документация должна содержать схему МЭ, описание принципов его работы, описание правил фильтрации, описание средств идентификации, регистрации, контроля целостности и описание процедуры восстановления.

Требования к 4-му классу защищенности

1. Управление доступом (дополнительно): МЭ должен осуществлять фильтрацию пакетов, служебных протоколов, использующийся для диагностики и управления сетевыми устройствами, а так же фильтрацию с учетом входного и выходного интерфейсов.

2. Регистрация: МЭ должен иметь возможность регистрации учета фильтруемых пакетов по следующим параметрам: адрес, время и результат фильтрации.

3. Регистрация в администрировании (дополнительно): МЭ должен обеспечивать регистрацию запуска программ и процессов.

4. Тестирование (дополнительно): должны тестироваться процессы регистрации, идентификации администратора, регистраций действий администратора, процедуры контроля целостности и восстановления.

5. Тестовая документация (дополнительно): должна содержаться документация по тестированию процесса регистрации.

Лекция 9.

Классификация удаленных атак на распределенные вычислительные системы Удаленные атаки можно классифицировать по следующим признакам:

1. По характеру воздействия пассивное (класс 1.1) и активное (класс 1.2) . Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети. Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).