ГОСЫ / Informatsionnaya_bezopasnost
.pdf
1. Основные принципы информационной безопасности
Информацией являются любые данные, находящиеся в памяти вычислительной системы, любое сообщение, пересылаемое по сети, и любой файл, хранящийся на каком-либо носителе. Информацией является любой результат работы человеческого разума: идея, технология, программа, различные данные (медицинские, статистические, финансовые), независимо от формы их представления. Все, что не является физическим предметом и может быть использовано человеком, описывается одним словом — информация.
Информация:
1)Информация свободного доступа
2)Информация ограниченного доступа
a.Конфиденциальная информация
b.Секретная информация
Конфиденциальная (confidential, частный) – служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, промышленной тайне и других законодательных актов. Собственник информации может самостоятельно установить ее статус как конфиденциальной (например, личная тайна). Требует безусловной защиты.
Служебная тайна - сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:
•информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;
•данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);
•документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.
Информация секретная – информация, содержащая в соответствии с законом о Гос. Тайне сведения, составляющие таковую. Требует самой высокой степени защиты
Гос тайна – защищаемые государством сведения в области его военной, оборонной, внешнеполитической, экономической, разведывательной и т.п. деятельности, распространение которых может нанести ущерб безопасности государства. Распространение ГОС СЕКРЕТОВ регулируется государством и контролируется спецслужбами.
1
Виды информации ограниченного доступа
Информационная безопасность (ИБ) – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб владельцам, и пользователям информации.
ЗАЩИТА ИНФОРМАЦИИ – это комплекс мероприятий, направленный на предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на эту информацию.
НСД - НеСанкционированный Доступ - unauthorized access Одно из наиболее распространенных и
разнообразных по форме нарушений безопасности компьютерной системы. Заключается в получении нарушителем доступа к ресурсу (объекту) в нарушение установленных в соответствии с политикой безопасности правил разграничения доступа. Для НСД используется любая ошибка в системе безопасности, и он может быть осуществлен как с помощью штатного ПО и средств ВТ, так и специально разработанными аппаратными и/или программными средствами.
ИБ должна обеспечивать:
1.целостность данных – под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
2.конфиденциальность информации - это защита от несанкционированного доступа к информации ограниченного доступа, в том числе, защита от нелегального хищения, изменения или уничтожения. (ПРИМЕР с коммерческой и личной информацией, служебной, гос. тайной)
3.доступность для санкционированного доступа – это возможность за приемлемое время получить требуемую информацию.
Основные направления деятельности по защите информации
2
Принципы построения систем защиты информации (информационной безопасности)
Системность
Комплексность
Непрерывность защиты
Разумная достаточность
Гибкость управления и применения
Открытость алгоритмов и механизмов защиты
Простота применения защитных методов и средств
Кроме того, любые используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной информационной системой - резко снижать производительность, повышать сложность работы и т.п. СЗИ должна быть ориентирована на тактическое опережение возможных угроз, а также обладать механизмами восстановления нормальной работы КС в случае реализации угроз.
Принципы защиты информации от НСД
Закрытие каналов несанкционированного получения информации должно начинаться с контроля доступа пользователей к ресурсам ИС. Эта задача решается на основе ряда принципов:
1.Прицип обоснованности доступа заключается в обязательном выполнении следующего условия: пользователь должен иметь достаточную форму допуска для получения информации требуемого им уровня конфиденциальности с тем, чтобы выполнить заданные производственные функции. В качестве пользователей могут выступать активные программы и процессы, а также носители информации.
2.Принцип разграничения - для предупреждения нарушения безопасности информации, которое, например, может произойти при записи секретной информации на несекретные носители и в несекретные файлы, при передаче ее программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации и прав доступа к этой информации
3.Принцип чистоты ресурсов заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.
4.Принцип персональной ответственности - каждый пользователь ИС должен нести персональную ответственность за свою деятельность в системе, включая любые операции с секретной информацией и возможные нарушения ее защиты – случайные или умышленные действия, которые приводят или могут привести к НСД или, наоборот делают такую информацию недоступной для законных пользователей
5.Принцип целостности средств защиты подразумевает, что средства защиты информации в ИС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей. С целью своего сопровождения средства защиты должны включать специальный защищенный интерфейс для средств контроля, сигнализации и фиксирования.
3
2. Методы и средства защиты информации
Методы защиты информации
препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации
управление доступом – метод определения и распределения ресурсов системы санкционированным пользователям
шифрование - метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.
регламентация – метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
побуждение - метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)
Средства
1)технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические.
Под аппаратными принято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.
Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения.
Физические средства защиты:
обеспечивают безопасность помещений, где размещены серверы сети;
ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;
обеспечивают защиту от сбоев электросети.
2)программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Стандартные защищенные программные средства:
o Средства защиты, использующие парольную идентификацию и ограничивающие доступ пользователей согласно назначенным правам - управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
4
o Регистрация и анализ событий, происходящих в системе - обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;
o Контроль целостности ресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.
o Криптографическое закрытие информации
o Защита от внешних вторжений - брандмауэры
o Защита от компьютерных вирусов - антивирусные пакеты, антиспамовые фильтры o Средства резервного копирования и восстановления данных
3)аппаратно-программные средства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.
4)Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.
5)морально-этические средства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации.
6)законодательные – средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
По своему функциональному назначению методы и средства информационной безопасности можно разделить на следующие разновидности:
-методы и средства предупреждения - предназначены для создания таких условий, при которых возможность появления и реализации дестабилизирующих факторов (угроз) исключается или сводится к минимуму;
-методы и средства обнаружения - предназначены для обнаружения появившихся угроз или возможности их появления и сбора дополнительной информации;
-методы и средства нейтрализации - предназначены для устранения появившихся угроз;
-методы и средства восстановления - предназначены для восстановления нормальной работы защищаемой системы (иногда и самой системы защиты).
5
3.Потенциальные угрозы информационной безопасности
Классификация угроз безопасности
Под угрозой безопасности информации, понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угрозы можно классифицировать по нескольким критериям:
по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
по критерию информационной безопасности (доступность, целостность,
конфиденциальность), против которого угрозы направлены в первую очередь;
по компонентам КС, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
по расположению источника угроз (внутри/вне рассматриваемой КС).
По способу осуществления угрозы КС принято делить следующим образом:
1)Естественные - составляющие элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека (магнитная буря, приводящая к отказу электронных устройств, стихийные бедствия – пожар, наводнение, землетрясение, ураганы, удары молнии, обвалы и т.п.).
2)Искусственные - вызваны деятельностью человека.
a.Непреднамеренные (случайные) - ошибки в ПО, выход из строя аппаратных средств, неправильные действия пользователей (особенно администрации)
b.Преднамеренные - преследуют цель нанесения ущерба как пользователям КС, так и непосредственно инфраструктуре КС
1.Активные - имеют целью нарушение нормального процесса функционирования КС посредством целенаправленного воздействия на аппаратные, программные и информационные составляющие, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ЭВМ или ОС, искажение системной информации, данных БД. Источниками могут быть программные вирусы, непосредственные воздействия нарушителей (атаки) и т.п. Атака – это попытка реализовать угрозу.
2.Пассивные - несанкционированное использование информационных ресурсов без влияния на КС, например, прослушивание каналов передачи информации
Классификация угроз по критерию ИБ - доступность, целостность, конфиденциальность
Доступность
Самые частые и самые опасные (с точки зрения размера ущерба) угрозы доступности - непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Очевидно, что самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.
Другие угрозы доступности классифицируются по компонентам КС, на которые они нацелены:
отказ пользователей;
внутренний отказ информационной системы;
отказ поддерживающей инфраструктуры.
6
Одним из опаснейших способов проведения атак является внедрение в атакуемые системы
вредоносного программного обеспечения.
Программный вирус – это исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить, уничтожить или похитить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.
Выделим следующие характиристики вредоносного ПО:
вредоносная функция;
способ распространения;
внешнее представление.
По механизму распространения различают:
вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;
"черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение (для активизации вируса требуется запуск зараженной программы).
Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. "Черви", напротив, ориентированы в первую очередь на путешествия по сети.
Основные угрозы целостности
На втором месте по размерам ущерба (после непреднамеренных ошибок и упущений) стоят кражи и подлоги.
Угрозы ИБ
К наиболее распространенным угрозам относятся:
1.Ошибки пользователей. Самыми частыми и опасными являются непреднамеренные ошибки пользователей, операторов, системных администраторов и другого персонала, обслуживающего ИС. Считается, что 65% потерь – следствие таких ошибок. Способ борьбы с ними – это максимальная автоматизация работы персонала и строгий контроль за правильностью совершаемых действий
2.Кражи и подлоги. (~ 1 млрд $ ежегодно). В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, ознакомленные с защитными мерами. Мотивы – разные. Администрации необходимо следить за тем, чтобы при увольнении сотрудника его права доступа к информационным ресурсам аннулировались.
Т. о. любая внутренняя угроза является гораздо опасней внешней.
3.Угрозы, исходящие от окружающей среды. Аварии, сбои, стихийные бедствия, гражданские беспорядки. На долю этих угроз приходится 13% потерь, наносимых ИС.
4.Хакеры
5.Программные вирусы – там, где работают, а не играют, число зараженных компьютеров составляет менее 1%
7
4.Модели безопасности многопользовательских компьютерных систем. Матричная модель
Модель безопасности (Security Model). Формальное представление политики безопасности.
Дискреционное или произвольное, избирательное управление доступом (Discretionary Access Control). Управление доступом, основанное на заданном администратором множестве разрешенных отношений доступа (например, в виде троек <объект, субъект, тип доступа>).
Мандатноe или нормативное, управление доступом (Mandatory Access Control). Управление доступом, основанное на совокупности правил предоставления доступа. определенных на множестве атрибутов безопасности субъектов и объектов, например в зависимости от грифа секретности информации и уровня допуска пользователя.
Ядро безопасности {Trusted Computing Base. TCB). Совокупность аппаратных, программных и специальных компонент ВС. реализующих функции защиты и обеспечения безопасности.
Объект - пассивный компонент системы, единица ресурса системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Доступ к информации - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление).
Доступ к ресурсу - получение субъектом возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Разграничение доступа к ресурсам системы - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.
Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.
МОДЕЛИ БЕЗОПАСНОСТИ
Политика безопасности. Совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.
Основу политики безопасности системы составляет логический способ управления доступом,
определяющий порядок доступа субъектов системы к объектам системы. Логическое управление доступом – это механизм, призванный обеспечить конфиденциальность и целостность объектов, а также их доступность - путем запрещения обслуживания неавторизованных пользователей.
На сегодняшний день создан ряд типовых моделей управления доступом, которые можно использовать при разработке системы безопасности, из них лучше всего изучены:
избирательная/дискреционная/произвольная (Discretionary Access Control) или матричная модельполномочная/мандатная/принудительная (Mandatory Access Control) или модель уровней безопасности
смешанная модель – атрибутные схемы (Attribute-Based Access Control - ABAC)
8
1. Матричная модель - это метод разграничения доступа к объектам, основанный на учете идентификатора субъекта или группы, в которую входит субъект. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Поведение этой модели описывается простыми правилами:
1.пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей
2.пользователю разрешен доступ к консоли (терминал или ПК, выступающий в роли устройства ввода команд для ЭВМ, удаленной ЭВМ, локальной сети и т. п.), если он входит в подмножество пользователей, закрепленных за данной консолью
3.пользователю разрешен доступ к файлу, если:
пользователь входит в подмножество допущенных к файлу пользователей
режим доступа задания пользователя включает режим доступа к файлу
уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла
Отношение “субъекты-объекты” можно представить в виде матрицы доступа, в строках которой перечислены субъекты, а в ячейках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа и дополнительные условия (например, время и место действия).
Фрагмент матрицы, может выглядеть, например, так:
объекты |
Файл |
Программа |
Линия связи |
Реляционная |
субъекты |
|
|
|
таблица |
пользователь1 |
prw с системной |
x |
rw с 8:00 до |
|
|
консоли |
|
18:00 |
|
пользователь2 |
|
|
|
а |
p- (pass permission) разрешение на передачу прав другим пользователям r – (read) чтение
w- (write) запись
x – (eXecute) выполнение a – (add) добавление
Модель Лэмпсона (~1970), усовершенствованная позднее Грэхемом и Деннингом. Основу их модели составляет матрица (таблица) доступа A (m×n), в которой столбцы O1,O2,…On представляют объекты доступа, а строки S1,S2,…Sm – субъекты доступа. Элемент таблицы A[Si,Oj] содержит список видов доступа T1,T2,…Tk,..Tl, который определяет привилегии доступа субъекта Si по отношению к объекту Oj.
Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом. Таким образом, субъект Si получит соответствующий доступ Tk к объекту Oj только в случае, если составной элемент матрицы A[Si,Oj] содержит значение Tk.
O1…………………….Oj………………On
S1
Si A[Si,Oj]={T1,T2Tk,..Tl}
Sm
9
Harrison, Ruzo и Ullman (1976) - Состояния безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одному столбцу для каждого субъекта и объекта. Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы.
Субъекты |
Объекты |
|
|
Субъекты |
|
|
|
|
|
|
|
|
|
|
1 |
2 |
|
1 |
2 |
|
1 |
Чтение |
Чтение |
1 |
Чтение |
Чтение |
1 |
|
Запись |
|
|
Запись |
|
|
2 |
Чтение |
Чтение |
2 |
Чтение |
Чтение |
2 |
|
|
Исполне- |
|
|
Исполне- |
|
|
|
ние |
|
|
ние |
|
3 |
|
Чтение |
3 |
|
Чтение |
3 |
|
|
Запись |
|
|
Запись |
|
------------------------------------------------------------------------------------------------------------------
Модель матрицы доступа может быть дополнена набором функций перехода. Элементы матрицы доступа в этом случае содержат указатели на специальные процедуры, которые должны выполняться при обращении субъекта к объекту. Решение о доступе принимается на основании результатов выполнения процедур. Например:
решение о доступе в данный момент основывается на анализе предыдущих доступов к другим объектам;
решение о доступе основывается на динамике состояния системы (права доступа субъекта зависят от текущих прав доступа других субъектов):
решение о доступе основывается на значении определенных переменных, например, на значении системного времени.
Размерность матрицы доступа зависит от количества субъектов и объектов в системе и может быть достаточно большой. К тому же, матрицу, ввиду ее разреженности (большинство ячеек – пустые) неразумно хранить в виде двумерного массива. Для уменьшения размерности матрицы могут применяться различные методы:
1)Списки полномочий субъектов (Profile)
2)Списки контроля доступа (Access Control List)
3)Aggregate Access Control List
4)Role-Based Access Control, RBAC
Дискреционная политика, как самая распространенная, больше всего подвергалась исследованиям. Существует множество разновидностей этой политики. Однако, некоторых проблем защиты эта политика решить не может.
Основной недостаток состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее “троянским” аналогом. Вероятна ситуация, когда владелец файла передает его содержание другому пользователю и тот, таким образом, приобретает права собственника (owner - own) на информацию. При этом права могут распространяться и дальше. Даже, если исходный владелец изначально не хотел передавать доступ некоторому субъекту S к своей информации в O, то после нескольких шагов может состояться передача прав независимо от воли владельца. Возникает задача об условиях, при которых в такой системе некоторый субъект рано или поздно получит требуемый ему доступ. Эта задача исследовалась в модели take-grant (взять право), ориентированной на анализ путей распространения прав доступа, когда способы передачи (grant) или взятия прав (take) определяются в виде специального права доступа (вместо own).
10