Раздел10_11
.pdf
10 МНОГОУРОВНЕВАЯ ЗАЩИТА КОРПОРАТИВНЫХ СЕТЕЙ
(Сост. Никонов А.В.)
Так как слово «корпорация» происходит от «corporatio» – объединение, то к
корпоративным сетям можно отнести те, которые используются как объединение отдельных локальных сетей, обычно в составе какой-
либо организации (ведомственные или офисные сети, интрасети).
Иногда их называют кампусными сетями (университетская сеть) – Campus Area Network (CAN), подразумевая объединённые локальные сети близко распо-
ложенных зданий.
КОРПОРАТИВНАЯ ИНФОРМАЦИОННАЯ СИСТЕМА – это информационная система, участниками которой может быть ограниченный круг лиц, определенный её владельцем или соглашением участников этой
информационной системы.
При наличии InterNet сливаются понятия компьютерной безопасности и безопасности сетей.
Внутренние сети организаций – сети ИНТРАНЕТ (intranet), или сети на уровне организаций, – называются корпоративными сетями и исполь-
зуют программные средства, основанные на семействе протоколов
TCP/IP, но предназначены только для внутреннего пользования.
Под ЭКСТРАНЕТ-СЕТЯМИ понимают интранет-сети, подключённые к InterNet, но санкционирующие доступ к ресурсам интранетсети только определённой категории пользователей, наделённой соот-
ветствующими полномочиями [17]. При рассмотрении средств защиты для этих сетей не важно, используются ли в них Web-технологии.
Семейство протоколов TCP/IP было разработано по инициативе Министерства обороны США и было продемонстрировано в действии в составе сети ArpaNet в 1972 г.
Уровневая структура семейства протоколов TCP/IP привела к по-
явлению в 1984 г. модели компьютерной сети под названием OSI (Open
Systems Interconnection) – модель ОТКРЫТЫХ СЕТЕВЫХ
|
|
|
|
|
, рисунок 10.1. |
|
|
|
|
|
|
|
||||
ПОДКЛЮЧЕНИЙ |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
Модель |
|
|
|
Модель |
|||||||
|
|
|
|
|
TCP/IP |
|
|
|
OSI |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
Прикладной |
|
|
|
|
|
|
|
|
Прикладной |
|
|
|
|
|
|
|
(Application) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Представительный |
|
|
|
|||||||||||
|
|
|
|
(Application) |
|
|
|
|
|
|
|
(Presentation) |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Сеансовый |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(Session) |
|
|
|
|
|
|
|
Транспортный |
|
|
|
|
|
|
|
|
|
|||
|
|
Транспортный |
|
|
|
|||||||||||
|
|
|
|
(Transport) |
|
|
|
|
|
(Transport) |
|
|||||
|
|
|
|
Сетевой |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Сетевой |
|
|
|||||||||||
|
|
|
(InterNetwork) |
|
|
|
|
|
(Network) |
|
||||||
|
Сетевой интерфейс |
|
|
|
|
|
|
|
|
|||||||
|
|
|
Канальный |
|
||||||||||||
|
|
|
|
(Data link) |
|
|
|
|
(Data link) |
|
||||||
|
|
|
|
Физический |
|
|
|
|
|
|
|
|
|
|||
|
|
|
Физический |
|
|
|||||||||||
|
|
|
|
(Physical) |
|
|
|
|
(Physical) |
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 10.1 – Уровневые структуры стеков протоколов TCP/IP и по мо-
дели OSI
Повсеместное распространение InterNet привело к тому, что сете-
вой стек протоколов TCP/IP стал практически основным при организа-
ции сетевого взаимодействия.
Технология этого стека оказалась настолько удобной, что она стала использоваться не только для работы в InterNet, но и при организации ра-
боты в корпоративных сетях.
Все корпоративные и ведомственные сети (а также предприятия) ис-
пользуют технологию INTRANET: технология создания корпоративной
локальной сети ПОВЫШЕННОЙ НАДЁЖНОСТИ с ограниченным доступом, использующей сетевые стандарты и сетевые программно-
аппаратные средства, аналогичные Internet.
Типичные виды угроз в корпоративных сетях – это:
а) ОЗНАКОМЛЕНИЕ с конфиденциальной информацией (хотя физически
информация остаётся на месте);
б) ПОДМЕНА ИНФОРМАЦИИ (что можно сделать на значительном удалении от места хранения документа);
в) РАЗРУШИТЕЛЬНЫЕ ДЕЙСТВИЯ (от форматирования HDD до отказа обслуживания, когда сеть отчуждается от внешнего мира).
Всё это ведёт к значительным финансовым потерям организации или раскрытию ведомственных секретов.
Современные распределённые компьютерные системы не могут
быть защищены только использованием организационных мер и средств физической защиты.
В современных корпоративных сетях используются средства защиты,
реализованные программными, аппаратными и программноаппаратными методами.
Для таких сетей на практике часто ЗАЩИТНЫЙ КОНТУР СОСТОИТ
из нескольких «соединённых» между собой преград с различной прочностью. Модель такой защиты из нескольких звеньев представлена на рисунке 10.2.
Примером такого вида защиты может служить помещение, в котором хранится аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна и замок на двери.
1– преграда 1; 2 – преграда 2; 3 – предмет защиты; 4 – прочность преграды; 5 –преграда 3.
Рисунок 10.2 – Модель многозвенной защиты
Для сети «СОЕДИНЕНИЕ» преград (ЗАМЫКАНИЕ контура защиты) имеет тот же смысл, но иную реализацию.
НАПРИМЕР, система контроля вскрытия аппаратуры и система опознания и разграничения доступа, контролирующие доступ к периметру вычислительной системы, на первый взгляд, образуют замкнутый защитный контур.
Но доступ к средствам отображения и документирования, побочному электромагнитному излучению и наводкам (ПЭМИН), носителям информации и другим возможным каналам НСД к информации не перекрывают и, следовательно, замкнутым защитным контуром не являются.
Таким образом, в контур защиты в качестве его звеньев ВОЙДУТ ЕЩЕ система контроля доступа в помещения, средства защиты от ПЭМИН, шифрование и т. д.
КОНТУР ЗАЩИТЫ НЕ БУДЕТ ЗАМКНУТЫМ до тех пор, пока
существует какая-либо возможность несанкционированного доступа к отдельному предмету защиты.
Прочность многозвенной защиты определяется НАЛИЧИЕМ НЕСКОЛЬКИХ ПУТЕЙ ОБХОДА одной преграды, не удовлетворяющих
заданным требованиям, что потребует их перекрытия соответствующими преградами.
Если нарушитель в единственном числе и ему известны прочность преграды и сложность пути её обхода, то так как одновременно по двум путям он идти не сможет, он выберет наиболее простой.
Тогда ВЫРАЖЕНИЕ ДЛЯ ПРОЧНОСТИ МНОГОЗВЕННОЙ
ЗАЩИТЫ при использовании неконтролируемых преград может быть
представлено с использованием операции «ИЛИ» в виде:
PСЗИ = PСЗИ1vPСЗИ2v…PСЗИjv(1 – РОБХ1)v(1 – РОБХ2)v… v(1 – РОБХk),
(10.1)
где PСЗИi прочность i-й преграды;
j – количество преград;
k – количество путей обхода преград.
Если ПРОЧНОСТЬ СЛАБЕЙШЕГО ЗВЕНА УДОВЛЕТВОРЯЕТ предъявленным требованиям контура защиты в целом, возникает вопрос
об избыточности прочности на остальных звеньях данного контура. Отсюда, экономически целесообразно применять в многозвенном
контуре защиты равнопрочные преграды.
При расчете прочности контура защиты со многими звеньями может слу-
читься, что ЗВЕНО С НАИМЕНЬШЕЙ ПРОЧНОСТЬЮ НЕ УДОВЛЕТВОРЯЕТ предъявленным требованиям.
Тогда преграду в этом звене ЗАМЕНЯЮТ НА БОЛЕЕ ПРОЧНУЮ,
или
ДАННАЯ ПРЕГРАДА ДУБЛИРУЕТСЯ еще одной преградой, а иногда дву-
мя и более преградами.
Но все ДОПОЛНИТЕЛЬНЫЕ ПРЕГРАДЫ ДОЛЖНЫ ПЕРЕКРЫВАТЬ то же количество или более возможных каналов НСД, что и первая.
Тогда СУММАРНАЯ ПРОЧНОСТЬ ДУБЛИРОВАННЫХ преград
будет определяться по формуле:
|
|
m |
|
|
P |
1 |
1 Pi |
, |
(10.2) |
|
|
i 1 |
где i = 1, ..., m – порядковый номер преграды; m – количество дублирующих преград; Pi – прочность i-й преграды.
Защитные преграды часто перекрывают друг друга и по причине, указанной выше, и когда
специфика возможного канала НСД требует применения этого средства защиты (например, системы контроля доступа в помещения, охранной сигнализации и контрольно-пропускного пункта на территории объекта защиты).
Это означает, что прочность отдельной преграды Рi попадающей под защиту второй, третьей и т. д. преграды, ДОЛЖНА ПЕРЕСЧИТЫВАТЬСЯ с учетом этих преград по формуле (10.2).
Иногда |
|
|
|
|
УЧАСТОК |
ЗАЩИТНОГО |
КОНТУРА |
С |
ПАРАЛЛЕЛЬНЫМИ (СДУБЛИРОВАННЫМИ) ПРЕГРАДАМИ
НАЗЫВАЮТ МНОГОУРОВНЕВОЙ ЗАЩИТОЙ.
Многоуровневая защита применяется в ответственных случаях при повышенных требованиях к защите, её модель которой представлена на ри-
сунке 10.2.
1 – 1-й контур защиты; 2 – 2-й контур защиты; 3 – 3-й контур защиты;
4 – предмет защиты
Рисунок 10.2 – Модель многоуровневой защиты
Соответственно может измениться и прочность слабейшей преграды, определяющей итоговую прочность защитного контура в целом.
При расчёте СУММАРНОЙ ПРОЧНОСТИ нескольких контуров
защиты в формулу (10.2) вместо Рi включается Рki – прочность каждого
контура, значение которой определяется по одной из формул (10.3) и
(10.4),
т. е. для НЕКОНТРОЛИРУЕМЫХ И КОНТРОЛИРУЕМЫХ преград расчёты должны быть раздельными и производиться для разных контуров.
Для НЕКОНТРОЛИРУЕМЫХ:
PНКОН = PСЗИ1 vPСЗИ2v… PСЗИjv(1 – РОБХ1)v(1 – РОБХ2)v…v(1 –
РОБХk) ,
(10.3)
где PСЗИi прочность i-й преграды;
j – количество преград;
k – количество путей обхода преград.
Выражение для прочности многозвенной защиты С
КОНТРОЛИРУЕМЫМИ преградами будет в следующем виде:
PКОН = PСЗИК1vPСЗИК2v…PСЗИКjv(1 – РОБХ1)v(1 – РОБХ2)v…
v(1 – РОБХk) ,
(10.4)
где PСЗИКi – прочность i-й преграды;
j – количество преград;
k – количество путей обхода преград.
При РКОНi = 0 данный контур в расчёт не принимается.
При РКОНi = 1 остальные контуры защиты являются избыточ-
ными.
Данная модель справедлива лишь для контуров защиты, перекрывающих одни и те же каналы несанкционированного доступа к одному и тому же предмету защиты.
Таким образом, под МНОГОУРОВНЕВОЙ ЗАЩИТОЙ информа-
ции понимают такую организацию системы защиты, при которой между злоумышленником и информационным ресурсом расположено не менее одного выделенного ТЕХНИЧЕСКОГО СРЕДСТВА, содержащего компо-
ненты защиты информации, и через которое осуществляется передача информации (в общем случае их может быть несколько) [10].
Каждое ПОДОБНОЕ ТЕХНИЧЕСКОЕ СРЕДСТВО (средства) ОБРАЗУЕТ УРОВЕНЬ ЗАЩИТЫ информации.
???????????????????????????????????????????????????????????
На механизм многоуровневой защиты ВЛИЯЕТ АРХИТЕКТУРА защищаемого объекта, (см. ниже). В общем случае, защищаемый объект содержит:
а) операционную систему (ОС); б) средства сетевого взаимодействия (ССВ);
в) функциональное программное обеспечение (ФПО) (сюда включают и
СУБД);
д) данные.
Для каждого из представленных элементов в общем случае может
применяться своё средство защиты информации.
Если на любом из этих уровней (в том числе и в СЗИ) существует ОШИБКА ЛИБО ЗАКЛАДКА, известные злоумышленнику, то злоумышленник может бес-
препятственно похитить данные, так как любое СЗИ построено В
ПРЕДПОЛОЖЕНИИ, что в системе ОТСУТСТВУЮТ ОШИБКИ И ЗАКЛАДКИ.
10.1 Реализации многоуровневой комплексной защиты
Идея МНОГОУРОВНЕВОЙ ЗАЩИТЫ В КОРПОРАТИВНОЙ СЕТИ состоит в том, что между злоумышленником и защищаемым объектом
УСТАНАВЛИВАЕТСЯ техническое СЗИ (в общем случае несколько), ИМЕЮЩЕЕ (по НАПРАВЛЕННОСТИ) ТАКУЮ ЖЕ АРХИТЕКТУРУ,
что и защищаемый информационный сервер.
При этом злоумышленник не может осуществить информационное
взаимодействие с информационным сервером, минуя соответствующие
уровни защиты.
ДЛЯ РЕАЛИЗАЦИИ МНОГОУРОВНЕВОЙ КОМПЛЕКСНОЙ
ЗАЩИТЫ информации необходимо следующее:
а) архитектура защищаемого объекта, заданная имеющейся на нём технологией – определены типы ОС, СУБД (ФПО), ССВ;
б) архитектура технического средства защиты определяется при построении системы.
10.1.1 Многоуровневая защита от ошибок
Предположим, что злоумышленнику известна ошибка на одном из
уровней защищаемого объекта.
В этом случае многоуровневая защита эффективна, ЕСЛИ В техническом СРЕДСТВЕ ЗАЩИТЫ ОТСУТСТВУЕТ АНАЛОГИЧНАЯ одноуровневая ошибка. Иначе, несмотря на число уровней защиты, злоумышленник
все их преодолеет, используя свои знания об ошибке.
ДЛЯ ПОСТРОЕНИЯ МНОГОУРОВНЕВОЙ ЗАЩИТЫ информации
от ошибок необходимо:
1)один и тот же уровень в защищаемом объекте и в техническом
средстве защиты должен иметь различную реализацию;
2)уровень ССВ у технического средства защиты и санкционированного пользователя должен отличаться от уровня ССВ, используемого злоумышленником – этот принцип обусловливает ЦЕЛЕСООБРАЗНОСТЬ ПРИМЕНЕНИЯ ЗАКРЫТЫХ ПРОТОКОЛОВ.