ОСНОВЫ БЕЗОПАСНОСТИ информациОННЫХ СИСТЕМ
Основные понятия и определения информационной безопасности
Информация, которая нуждается в защите, объявляется защищаемой, приватной, конфиденциальной, секретной. Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные понятия: государственная тайна; военная тайна; коммерческая тайна; юридическая тайна; врачебная тайна и т. д.
Далее мы будем говорить о защищаемой информации, имея в виду следующие признаки такой информации:
² имеется какой-то определенный круг законных пользователей, которые имеют право владеть этой информацией. Они осуществляют санкционированный доступ к информации;
² имеются незаконные пользователи, которые стремятся овладеть этой информацией с тем, чтобы обратить ее себе во благо, а законным пользователям во вред. Они осуществляют несанкционированный доступ к информации;
Конфиденциальность данных – это статус, предоставленный данным и определяющий степень их защиты.
|
|
Рассмотрим основные определения информационной безопасности компьютерных систем.
Под безопасностью информационных систем понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изменения или разрушения ее компонентов. Природа воздействий на ИС может быть самой разнообразной. Это и стихийные бедствия (землетрясение, ураган, пожар), и выход из строя составных элементов ИС, и ошибки персонала, и попытка проникновения злоумышленника.
Безопасность ИС достигается принятием мер по обеспечению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации.
Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступ к информации – это доступ к информации, не нарушающий установленные правила разграничения доступа.
Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Конфиденциальность данных - это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
|
|
Субъект – это активный компонент системы (пользователь, программа), который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект – пассивный компонент системы (диск, канал связи), хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.
Целостность компонента или ресурса системы – это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.
Доступность компонента или ресурса системы – это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.
Под угрозой безопасности ИС понимаются возможные воздействия на ИС, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в ИС. С понятием угрозы безопасности тесно связано понятие уязвимости ИС.
Уязвимость ИС – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и пользовании той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.
Противодействие угрозам безопасности является целью защиты систем обработки информации.
Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Надежная система определяется как «система, использующая достаточные аппаратные и программные средства для обеспечения одновременной обработки информации разной степени секретности группой пользователей без нарушения прав доступа». Надежность системы оценивается по двум основным критериям: политика безопасности и гарантированность.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения информационной безопасности ИС. Он создается и поддерживается в соответствии с определенной политикой безопасности.
Политика безопасности
Политика безопасности – набор законов, правил и норм, определяющих дисциплину обработки, защиты и распространения информации. Определяет выбор конкретных механизмов, обеспечивающих безопасность системы, и является активным компонентом защиты, включающим в себя анализ возможных угроз и выбор мер противодействия. Она должна включать в себя, по крайней мере, следующие элементы:
Произвольное управление доступом. Заключается в ограничении доступа к объектам на основе учета персональных характеристик субъекта или группы, в которую субъект входит. Произвольность состоит в том, что владелец объекта по своему усмотрению может разрешать, запрещать или ограничивать доступ других субъектов к данному объекту.
Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. На пересечении строк и столбцов находятся идентификаторы способов доступа, допустимые для субъекта по отношению к объекту, например чтение, запись, исполнение, возможность передачи прав другим субъектам и т.п. Помимо матрицы доступа используется более компактное представление, основанное на структурировании совокупности субъектов. Применяются также списки управления доступом — представление матрицы по столбцам, когда для каждого объекта перечисляются субъекты вместе с их правами доступа.
|
|
Безопасность повторного использования. Данная мера позволяет защититься от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, паролями, ключами и т.п.) и для различных носителей информации.
Современные периферийные устройства усложняют обеспечение безопасности повторного использования. Например, принтер может буферизовать несколько страниц документа, которые останутся в памяти даже после окончания печати. Необходимо предпринять специальные меры, чтобы «очистить» память устройства.
Метки безопасности. Принудительное управление доступом реализуется при помощи меток безопасности, ассоциированных с субъектами и объектами. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации.
Метки состоят из двух частей — уровня секретности и списка категорий. Наиболее часто используемый набор уровней секретности состоит из следующих элементов: « совершенно секретно», «секретно», «конфиденциально», «несекретно». Для систем различного назначения набор уровней секретности может быть различным. Назначение категорий — описание предметной области, к которой относятся данные. Механизм категорий позволяет разделить информацию, что способствует повышению безопасности системы. Так, субъект не сможет получить доступ к «чужим» категориям, даже если он абсолютно благонадежен.
|
|
Принудительное управление доступом. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию объекта, если его уровень секретности не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, указаны в метке субъекта.
Субъект может записывать информацию в объект, если уровень безопасности объекта не ниже, чем у субъекта, а все категории, перечисленные в метке безопасности субъекта, указаны в метке объекта. Так, в частности, субъект, относящийся к уровню «конфиденциально», может писать в секретные файлы, но не может — в несекретные (при соблюдении ограничений на набор категорий). Уровень секретности информации не должен понижаться, хотя обратный процесс возможен.
Описанный способ управления называется принудительным, так как не зависит от волеизъявления субъектов. После того как метки безопасности субъектов и объектов зафиксированы, оказываются зафиксированными и права доступа.
1.3. Гарантированность
Гарантированность — уровень доверия, которое может быть оказано конкретной реализации системы. Гарантированность отражает степень корректности механизмов безопасности. Гарантированность можно считать пассивным компонентом защиты, надзирающим за механизмами обеспечения безопасности.
Гарантированность — это мера уверенности в том, что выбранный набор средств позволяет реализовать сформулированную политику безопасности. Различают два вида гарантированности — операционная и технологическая.
Операционная гарантированность. Данный вид гарантированности включает анализ:
Ø архитектуры и целостности системы;
Ø скрытых каналов утечки информации;
Ø методов администрирования;
Ø технологии восстановления после сбоев.
Архитектура системы должна разрабатываться с учетом сформулированных мер безопасности или допускать принципиальную возможность их встраивания. Необходимо предусмотреть средства для контроля целостности программного и аппаратного обеспечения.
Анализ скрытых каналов утечки информации особенно важен в тех случаях, когда необходимо обеспечить конфиденциальность информации. Скрытым называется канал, не предназначенный для передачи информации при традиционном использовании. Например, для передачи информации по скрытому каналу злоумышленник может изменить имя или размер открытого (доступного для чтения) файла. Другой способ заключается в изменении временных характеристик различных процессов.
Надежное восстановление включает в себя подготовку к сбою (отказу) и собственно восстановление. Подготовка к сбою — это, прежде всего регулярное выполнение резервного копирования, а также выработка планов действий в экстренных случаях. Восстановление, как правило, связано с перезагрузкой системы и выполнением различных технологических и административных процедур.
В период восстановления система не должна оставаться незащищенной; нельзя допускать состояний, когда защитные механизмы полностью или частично отключены.
Технологическая гарантированность. Этот вид гарантированности рас пространяется на весь жизненный цикл системы — проектирование, реализацию, тести рование, передачу заказчику и сопровождение. Методы контроля направлены на недопущение утечки информации и внедрения нелегальных «закладок».
Основной метод заключается в тестировании реализованных механизмов безопасности и их интерфейса с целью доказательства адекватности защитных механизмов, невозможности их обхода или разрушения, демонстрации действенности средств управления доступом, защищенности регистрационной и аутентификационной информации.
Другой метод – верификация описания архитектуры. Цель верификации — доказательство того, что архитектура системы соответствует сформулированной политике безопасности.
Осуществляется также комплекс мер по защите и проверке поставляемой версии системы, начиная от проверок серийных номеров аппаратных компонентов и кончая верификацией контрольных сумм программ и данных.
Кроме того: Концепция надежной вычислительной базы является центральной при оценке степени гарантированности надежной системы. Надежная вычислительная база представляет собой совокупность защитных механизмов (включая программное и аппаратное обеспечение), гарантирующих безопасность системы. Компоненты вне вычислительной базы могут быть ненадежными (например, каналы связи), однако это не должно влиять на безопасность системы в целом.
Механизм протоколирования также является важным средством обеспечения безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.