metoda_2013
.pdfМЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
позволяющих пользователям получать доступ к информации в обход существующих механизмов защиты.
Соответствующие требования гарантированности оценки содержатся в следующих четырех семействах требований:
Covert Channel Analysis (анализе каналов утечки информации);
Misuse (ошибке в конфигурации, либо неправильном использовании системы, приводящем к переходу системы в небезопасное состояние);
Strength of TOE Security Functions (стойкость функций безопасности, обеспечиваемая их реализацией);
Vulnerability Analysis (анализ уязвимостей).
ISO 17799
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в еще одном международном стандарте ISO 17799, принятом в 2000 году. Данный стандарт, являющийся международной версией британского стандарта BS 7799, содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Практические правила разбиты на десять разделов:
1.Политика безопасности.
2.Организация защиты.
3.Классификация ресурсов и их контроль.
4.Безопасность персонала.
5.Физическая безопасность.
6.Администрирование компьютерных систем и сетей.
7.Управление доступом.
8.Разработка и сопровождение информационных систем.
9.Планирование бесперебойной работы организации.
10.Контроль выполнения требований политики безопасности.
Вэтих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.
Анализ конфигурации средств защиты внешнего периметра сети
При анализе конфигурации средств защиты внешнего периметра сети и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты:
настройку правил разграничения доступа (фильтрация
360
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
сетевых пакетов);
используемые схемы и настройку параметров аутентификации;
настройку параметров системы регистрации событий;
использование механизмов, обеспечивающих сокрытие топологии защищаемой сети (например, трансляция сетевых адресов);
настройку механизмов оповещения об атаках и реагирования;
наличие и работоспособность средств контроля целостности;
версии используемого программного обеспечения и установленные обновления.
Анализ конфигурации средств защиты внешнего периметра локальной сети предполагает проверку правильности установки сотен различных параметров конфигурации межсетевых экранов, маршрутизаторов, шлюзов виртуальных частных сетей, проксисерверов, серверов удаленного доступа и др. Для автоматизации этого процесса могут использоваться специализированные программные средства анализа защищенности, выбор которых в настоящее время достаточно широк.
Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем — использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности АС. Управление агентами осуществляет по сети программа-менеджер. Менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации
Symantec Enterprise Security Manager (ESM).
361
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
9. Теорема о неразрешимости множества доверенных субъектов в вычислительной системе Фон Нэймановской архитектуры. Связь с одним из базовых принципов Фон Нэймановской архитектуры. Понятие доверенной аппаратной компоненты.
Определение: Доверенный субъект – субъект с которым гарантированна целостность для всех ассоциированных с ним объектов.
Теорема о неразрешимости множества доверенных субъектов в вычислительной системе Фон Нэймановской архитектуры. Множество доверенных субъектов в вычислительной системе(ВС), имеющих только оперативное запоминающее устройство(ОЗУ), не разрешимо.
Можно сказать и по другому, что В вычислительной системе(ВС), имеющей только оперативное запоминающее устройство(ОЗУ) не может быть доверенных субъектов.
Определение: множество является не разрешимым, если не существует алгоритма, способного за конечное время проверить, принадлежит ли данный элемент данному множеству.
План доказательства:
Предположим, что мы хотим обеспечить доверенность субъекта Si, т.е проверить отсутствие последствий от каких-либо доступов типа write, к объекту Oi(j) ассоциированным с этим субъектом.
Для этого необходим субъект Sk, который осуществляет доступ read к объекту Oi(j) – проверяет его целостность.
362
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
Однако функции субъекта Sk могут быть нарушены в связи с доступом write, к ассоциированному к нему объекту Ok(j).
Таким образом целостность Ok(j) необходимо также контролировать при помощи субъекта Sl , для которого все предыдущие рассуждения могут быть повторены.
Т.е мы получим рекурсивную процедуру. Т.к. эта процедура бесконечна, то из этого следует, что подобный субъект создать нельзя.
В теории изолированных программных сред(ИСП) доказывается, что для обеспечения существования доверенных субъектов в ВС необходим некий аппаратный компонент, целостность которого не требует доказательства.
Определение: Доверенная аппаратная компонента – это компонента, целостность которой не требует доказательства Это понятие тесно связанно с базовым принципом Фон-
Неймановской архитектуры, по которому область программ и данных совмещена, и существует вероятность фальсификации любого субъекта. Поэтому нам нужна доверенная аппаратная компонента, в роли которой может выступать ROM.
10. Примеры аппаратных решений для создания изолированных программных сред.
Определение: Изолированная(замкнутая) программная среда – среда, поведение которой может быть строго спрогнозировано формальными методами.
В изолированных программных средах не возможно существование разрушающих программных воздействий(Логических закладок, Троянских программ, Червей и Вирусов).
Но как же добиться создания изолированной программной среды. Задача обеспечения безопасного документооборота условно может быть поделена на две подзадачи:
1.создание безопасной среды для работы с документами.
2.защита документов на всех стадиях их жизненного цикла.
363
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
При этом в рамках решения первой подзадачи должны быть обеспечены:
идентификация и аутентификация (ИА);
контроль целостности состава компьютеров и ЛВС;
контроль целостности ОС;
контроль целостности прикладного ПО и данных;
Все это обеспечивается специализированными средствами защиты информации (СЗИ), относимыми к классу систем защиты от (несанкционированный доступ к информации)НСД.
Впринципе, существует два вида подобного рода систем:
1.Программные
2.Аппаратные.
Можно строго доказать, что при использовании только программных средств защиты приемлемый уровень защищенности принципиально не может быть достигнут, а попытки применять программные средства для контроля программных же средств, по сути, аналогичны попытке барона Мюнхгаузена вытащить себя из болота за волосы.
А потому основной принцип построения защищенных систем - последовательный отказ от программных средств контроля как очевидно ненадежных и перенос наиболее критичных контрольных процедур на аппаратный уровень.
Пример, как должна создаваться изолированная программная среда (ИПС - среда, свободная от программных "закладок", позволяющих злоумышленникам преодолевать как парольную защиту, так и ЭЦП пакетов обмена) с использованием аппаратных СЗИ:
Процедура ИА должна выполняться до этапа загрузки ОС (идентификация должна осуществляться с применением отчуждаемого идентификатора, в качестве которого используются такие носители информации, как дискеты, "таблетки" Touch Memory и т. п.). При этом доступ средствами компьютера к БД ИА, хранимой в энергонезависимой памяти СЗИ, должен быть невозможен. Целостность ПО СЗИ (т.е. его защита от несанкционированных модификаций) должна обеспечиваться технологией изготовления СЗИ.
Контроль целостности аппаратной части компьютеров должен выполняться СЗИ до загрузки ОС (при этом должны контролироваться процессор, системный и дополнительный BIOS, вектора прерываний INT 13 и 40, КМОП-память).
Контроль целостности ЛВС должен обеспечиваться процедурой аутентификации сети с использованием рекомендованного варианта аппаратного датчика случайных
364
МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
чисел, контролируемого системой рекомендованных (сертифицированных) тестов. Аутентификация должна выполняться на этапе подключения проверенного компьютера к сети и далее через заранее определенные администратором безопасности интервалы времени.
Контроль целостности системных областей и файлов ОС должен выполняться СЗИ до загрузки ОС, что обеспечивает чтение реальных данных. При этом должен выполняться разбор таких файловых систем, как FAT 12, FAT 16, FAT 32 (для DOS, Windows 3x, Windows 95/98), NTFS (для Windows NT), HPFS (для OS/2) и FreeBSD (для UNIX). Для контроля целостности должна применяться опубликованная хэшфункция, эталонное значение которой должно храниться в энергонезависимой памяти СЗИ, аппаратно защищенной от доступа из компьютера.
Для контроля целостности прикладного ПО и данных, которые при этом должны храниться в разных областях памяти, необходимо применять опубликованную хэш-функцию, эталонное значение которой должно аутентифицироваться с помощью отчуждаемого технического носителя информации. Только для данного вида контроля наряду с аппаратными средствами могут использоваться программные СЗИ, но при этом их целостность должна быть зафиксирована аппаратно на предыдущем этапе.
После того как создана ИПС, необходимо поддерживать ее изолированность, следя за тем, чтобы кроме проверенных программ в ней не запускалось никаких иных, и можно начинать работу с документами. При этом должны выполняться:
аутентификация документа при его создании;
защита документа при его передаче;
аутентификация документа при обработке, хранении и исполнении;
защита документа при доступе к нему из внешней среды. Понятно, что проще и дешевле сразу создавать защищенный документооборот, правильно организуя сам процесс порождения документов с точки зрения безопасности информации, чем потом пытаться создавать разнообразные надстройки или менять
технологию в уже работающих системах. Меры, способные обеспечить защищенность документа на всех этапах его жизненного цикла:
Для аутентификации документа при его создании должен аппаратно вырабатываться код аутентификации (КА) до того, как осуществляется запись копии документа на внешние
365
носители. При этом КА должен вырабатываться с привязкой либо к оператору, либо к соответствующей программной компоненте информационной системы в зависимости от того, кем из них он порождается.
Защита документов при их передаче по открытым каналам связи должна выполняться на основе применения сертифицированных криптографических средств.
При обработке, хранении и исполнении документа его защита должна осуществляться с применением двух КА - входного и выходного для каждого этапа (это означает, что в любой момент времени документ оказывается защищен двумя КА), причем КА должны вырабатываться аппаратно с привязкой к процедуре обработки документа. При этом должна реализовываться следующая последовательность действий: для поступившего на данную стадию обработки документа (снабженного КА и ЭЦП) вырабатывается КА2 и только после этого снимается ЭЦП. Далее на каждом следующем n-ом этапе вырабатывается КАn+1 и снимается КАn-1.
Поскольку принятие решения о доступе субъекта к документу связано с его правами доступа и очень слабо зависит от того, откуда субъект запрашивает сведения об объекте и с помощью каких средств он это делает, достижение необходимого уровня безопасности возможно только при реализации концепции функционально-распределенного межсетевого экрана с поддержкой семантического анализа данных на основе мандатного механизма.
IX. ОПЕРАЦИОHHЫЕ СИСТЕМЫ
1. Классификация ОС
Операционные системы могут различаться особенностями реализации внутренних алгоритмов управления основными ресурсами компьютера (процессорами, памятью, устройствами), особенностями использованных методов проектирования, типами аппаратных платформ, областями использования и многими другими свойствами.
Ниже приведена классификация ОС по нескольким наиболее основным признакам.
Особенности алгоритмов управления ресурсами
От эффективности алгоритмов управления локальными ресурсами компьютера во многом зависит эффективность всей сетевой ОС в целом. Поэтому, характеризуя сетевую ОС, часто приводят важнейшие особенности реализации функций ОС по управлению процессорами, памятью, внешними устройствами
366
ОПЕРАЦИОHHЫЕ СИСТЕМЫ
автономного компьютера. Так, например, в зависимости от особенностей использованного алгоритма управления процессором, операционные системы делят на многозадачные и однозадачные, многопользовательские и однопользовательские, на системы, поддерживающие многонитевую обработку и не поддерживающие ее, на многопроцессорные и однопроцессорные системы.
Поддержка многозадачности. По числу одновременно выполняемых задач операционные системы могут быть разделены на два класса:
однозадачные (например, MS-DOS, MSX) и
многозадачные (OC EC, OS/2, UNIX, Windows 95).
Однозадачные ОС в основном выполняют функцию предоставления пользователю виртуальной машины, делая более простым и удобным процесс взаимодействия пользователя
скомпьютером. Однозадачные ОС включают средства управления периферийными устройствами, средства управления файлами, средства общения с пользователем.
Многозадачные ОС, кроме вышеперечисленных функций, управляют разделением совместно используемых ресурсов, таких как процессор, оперативная память, файлы и внешние устройства.
Поддержка многопользовательского режима. По числу одновременно работающих пользователей ОС делятся на:
однопользовательские (MS-DOS, Windows 3.x, ранние версии OS/2);
многопользовательские (UNIX, Windows NT).
Главным отличием многопользовательских систем от однопользовательских является наличие средств защиты информации каждого пользователя от несанкционированного доступа других пользователей. Следует заметить, что не всякая многозадачная система является многопользовательской, и не всякая однопользовательская ОС является однозадачной.
Вытесняющая и невытесняющая многозадачность.
Важнейшим разделяемым ресурсом является процессорное время. Способ распределения процессорного времени между несколькими одновременно существующими в системе процессами (или нитями) во многом определяет специфику ОС. Среди множества существующих вариантов реализации многозадачности можно выделить две группы алгоритмов:
невытесняющая многозадачность (NetWare, Windows 3.x);
вытесняющая многозадачность (Windows NT, OS/2, UNIX).
367
ОПЕРАЦИОHHЫЕ СИСТЕМЫ
Основным различием между вытесняющим и невытесняющим вариантами многозадачности является степень централизации механизма планирования процессов. В первом случае механизм планирования процессов целиком сосредоточен в операционной системе, а во втором - распределен между системой и прикладными программами. При невытесняющей многозадачности активный процесс выполняется до тех пор, пока он сам, по собственной инициативе, не отдаст управление операционной системе для того, чтобы та выбрала из очереди другой готовый к выполнению процесс. При вытесняющей многозадачности решение о переключении процессора с одного процесса на другой принимается операционной системой, а не самим активным процессом.
Поддержка многонитевости. Важным свойством операционных систем является возможность распараллеливания вычислений в рамках одной задачи. Многонитевая ОС разделяет процессорное время не между задачами, а между их отдельными ветвями (нитями).
Многопроцессорная обработка. Другим важным свойством ОС является отсутствие или наличие в ней средств поддержки многопроцессорной обработки - мультипроцессирование. Мультипроцессирование приводит к усложнению всех алгоритмов управления ресурсами.
Многопроцессорные ОС могут классифицироваться по способу организации вычислительного процесса в системе с многопроцессорной архитектурой: асимметричные ОС и симметричные ОС. Асимметричная ОС целиком выполняется только на одном из процессоров системы, распределяя прикладные задачи по остальным процессорам. Симметричная ОС полностью децентрализована и использует весь пул процессоров, разделяя их между системными и прикладными задачами.
Особенности аппаратных платформ
На свойства операционной системы непосредственное влияние оказывают аппаратные средства, на которые она ориентирована. По типу аппаратуры различают операционные системы персональных компьютеров, мини-компьютеров, мейнфреймов, кластеров и сетей ЭВМ. Среди перечисленных типов компьютеров могут встречаться как однопроцессорные варианты, так и многопроцессорные. В любом случае специфика аппаратных средств, как правило, отражается на специфике операционных систем.
Наряду с ОС, ориентированными на совершенно определенный тип аппаратной платформы, существуют операционные системы,
368
ОПЕРАЦИОHHЫЕ СИСТЕМЫ
специально разработанные таким образом, чтобы они могли быть легко перенесены с компьютера одного типа на компьютер другого типа, так называемые мобильные ОС. Наиболее ярким примером такой ОС является популярная система UNIX. В этих системах аппаратно-зависимые места тщательно локализованы, так что при переносе системы на новую платформу переписываются только они. Средством, облегчающем перенос остальной части ОС, является написание ее на машиннонезависимом языке, например, на С, который и был разработан для программирования операционных систем.
Особенности областей использования
Многозадачные ОС подразделяются на три типа в соответствии с использованными при их разработке критериями эффективности:
системы пакетной обработки (например, OC EC),
системы разделения времени (UNIX, VMS),
системы реального времени (QNX, RT/11).
Системы пакетной обработки предназначались для решения задач в основном вычислительного характера, не требующих быстрого получения результатов. Главной целью и критерием эффективности систем пакетной обработки является максимальная пропускная способность, то есть решение максимального числа задач в единицу времени. Для достижения этой цели в системах пакетной обработки используются следующая схема функционирования: в начале работы формируется пакет заданий, каждое задание содержит требование к системным ресурсам; из этого пакета заданий формируется мультипрограммная смесь, то есть множество одновременно выполняемых задач. Для одновременного выполнения выбираются задачи, предъявляющие отличающиеся требования к ресурсам, так, чтобы обеспечивалась сбалансированная загрузка всех устройств вычислительной машины; так, например, в мультипрограммной смеси желательно одновременное присутствие вычислительных задач и задач с интенсивным вводом-выводом. Таким образом, выбор нового задания из пакета заданий зависит от внутренней ситуации, складывающейся в системе, то есть выбирается "выгодное" задание. Следовательно, в таких ОС невозможно гарантировать выполнение того или иного задания в течение определенного периода времени. В системах пакетной обработки переключение процессора с выполнения одной задачи на выполнение другой происходит только в случае, если активная задача сама отказывается от процессора, например, из-за необходимости выполнить операцию ввода-вывода. Поэтому одна задача может надолго занять процессор, что делает невозможным выполнение
369