Политика безопасности

ОСНОВЫ БЕЗОПАСНОСТИ информациОННЫХ СИСТЕМ

Основные понятия и определения информационной безопасности

Информация, которая нуждается в защите, объявляется защищаемой, приватной, конфиденциальной, секретной. Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные по­нятия: государственная тайна; военная тайна; коммерческая тайна; юридическая тайна; врачебная тайна и т. д.

Далее мы будем говорить о защищаемой информации, имея в виду следующие признаки такой информации:

² имеется какой-то определенный круг законных пользователей, которые имеют право владеть этой информацией. Они осуществляют санкционированный доступ к информации;

² имеются незаконные пользователи, которые стремятся овладеть этой информацией с тем, чтобы обратить ее себе во благо, а законным пользователям во вред. Они осуществляют несанкционированный доступ к информации;

Конфиденциальность данных – это статус, предоставленный данным и определяющий степень их защиты.

Рассмотрим основные определения информационной безопасности компьютерных систем.

Под безопасностью информационных систем понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изме­нения или разрушения ее компонентов. Природа воздействий на ИС может быть самой разно­образной. Это и стихийные бедствия (землетрясение, ураган, пожар), и выход из строя составных элементов ИС, и ошибки пер­сонала, и попытка проникновения злоумышленника.

Безопасность ИС достигается принятием мер по обес­печению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модифика­ция или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информации – это доступ к инфор­ма­ции, не нарушающий установленные правила разграни­чения доступа.

Правила разграничения доступа служат для регламента­ции права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризу­ется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее рас­пространенным видом компьютерных нарушений.

Конфиденциальность данных - это статус, предоставлен­ный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Субъект – это активный компонент системы (пользователь, программа), который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.

Объект – пассивный компонент системы (диск, канал связи), хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.

Целостность компонента или ресурса системы – это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы – это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.

Под угрозой безопасности ИС понимаются возможные воздействия на ИС, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в ИС. С понятием угрозы безопасности тесно связано понятие уязвимости ИС.

Уязвимость ИС – это некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

Атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и пользовании той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью защиты систем обработки информации.

Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопас­ности.

Надежная система определяется как «система, использующая достаточные аппаратные и программные средства для обеспе­чения одновременной обработки информации разной степени секретности группой пользо­вателей без нарушения прав доступа». Надежность системы оценивается по двум основным критериям: политика безопасности и гарантированность.

Комплекс средств защиты представляет собой совокупность прог­раммных и технических средств, создаваемых и поддерживаемых для обес­печения информационной безопасности ИС. Он создается и поддерживает­ся в соответствии с определенной политикой безопасности.

Политика безопасности

Политика безопасности – набор законов, правил и норм, определя­ющих дисциплину об­работки, защиты и распространения информации. Определяет выбор конкретных механизмов, обеспечивающих безопасность системы, и является ак­тивным компонентом защиты, включающим в себя анализ возможных угроз и выбор мер противодействия. Она должна вклю­чать в себя, по крайней мере, следующие элементы:

  Произвольное управление доступом. Заключается в ограничении доступа к объектам на основе учета персональных характеристик субъекта или группы, в которую субъект входит. Произвольность состоит в том, что владелец объекта по своему усмотрению может разрешать, запрещать или ограничивать доступ других субъектов к данному объекту.

Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. На пересечении строк и столбцов находятся иденти­фикаторы способов доступа, допустимые для субъ­екта по отношению к объекту, например чтение, запись, исполнение, возможность передачи прав другим субъектам и т.п. Помимо матрицы доступа используется бо­лее компактное представление, основанное на структурировании совокуп­ности субъектов. Применяются также списки управления доступом — представление матрицы по столбцам, когда для каждого объекта перечис­ляются субъекты вместе с их правами доступа.

  Безопасность повторного использования. Данная мера позволяет защититься от слу­чайного или преднамеренного извлечения секретной информации из «мусора». Без­опасность повторного использования должна гарантироваться для областей оператив­ной памяти (в частности, для буферов с образами экрана, паролями, ключами и т.п.) и для различных носителей информации.

Современные периферийные устройства усложняют обеспечение безопасности повтор­ного использования. Например, принтер может буферизовать несколько страниц доку­мента, которые останутся в памяти даже после окончания печати. Необходимо пред­принять специальные меры, чтобы «очистить» память устройства.

Метки безопасности. Принудительное управление доступом реализуется при помощи ме­ток безопасности, ассоциированных с субъектами и объектами. Метка субъекта описы­вает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации.

Метки состоят из двух частей — уровня секретности и списка категорий. Наиболее часто используемый набор уровней секретности состоит из следующих элементов:  « совершенно секретно», «секретно», «конфиденциально», «несекретно». Для систем различного назначения набор уровней секретности может быть различным. Назначение категорий — описание предметной области, к которой относятся данные. Механизм категорий позволяет разделить информацию, что способствует повышению безопасности системы. Так, субъект не сможет получить доступ к «чужим» категориям, даже если он абсолютно благонадежен.

Принудительное управление доступом. Принудительное управление доступом основа­но на сопоставлении меток безопасности субъекта и объекта.

Субъект может читать информацию объекта, если его уровень секретности не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, указаны в метке субъекта.

Субъект может записывать информацию в объект, если уровень безопасности объекта не ниже, чем у субъекта, а все категории, перечисленные в метке безопасности субъекта, указаны в метке объекта. Так, в частности, субъект, относящийся к уровню «конфи­денциально», может писать в секретные файлы, но не может — в несекретные (при соблюдении ограничений на набор категорий). Уровень секретности информации не должен понижаться, хотя обратный процесс возможен.

Описанный способ управления называется принудительным, так как не зависит от во­леизъявления субъектов. После того как метки безопасности субъектов и объектов за­фиксированы, оказываются зафиксированными и права доступа.

1.3. Гарантированность

Гарантированность — уровень доверия, которое может быть оказано конкретной реализа­ции системы. Гарантированность отражает степень корректности механизмов безопас­ности. Гарантированность можно считать пассивным компонентом защиты, надзираю­щим за механизмами обеспечения безопасности.

Гарантированность — это мера уверенности в том, что выбранный набор средств позволяет реализовать сформулированную политику безопасности. Различают два вида гарантированности — операционная и техно­логическая.

Операционная гарантированность. Данный вид гарантирован­нос­ти включает анализ:

Ø архитектуры и целостности системы;

Ø скрытых каналов утечки информации;

Ø методов администрирования;

Ø технологии восстановления после сбоев.

Архитектура системы должна разрабатываться с учетом сформулированных мер без­опасности или допускать принципиальную возможность их встраивания. Необходимо предусмотреть средства для контроля целостности программного и аппаратного обес­печения.

Анализ скрытых каналов утечки информации особенно важен в тех случаях, когда необходимо обеспечить конфиденциальность информации. Скрытым называется канал, не предназначенный для передачи информации при традиционном использовании. Например, для передачи информации по скрытому каналу злоумышленник может изменить имя или размер открытого (доступного для чтения) файла. Другой способ заключается в изменении временных характеристик различных процессов.

Надежное восстановление включает в себя подготовку к сбою (отказу) и собственно восстановление. Подготовка к сбою — это, прежде всего регулярное выполнение резерв­ного копирования, а также выработка планов действий в экстренных случаях. Восста­новление, как правило, свя­зано с перезагрузкой системы и выполнением различных технологических и административных процедур.

В период восстановления система не должна оставаться незащи­щенной; нельзя допус­кать состояний, когда защитные механизмы полнос­тью или частично отключены.

Технологическая гарантированность. Этот вид гарантированнос­ти рас пространяется на весь жизненный цикл системы — проектирование, реализацию, тести рование, переда­чу заказчику и сопровождение. Методы контроля направлены на недопущение утечки информации и внедрения нелегальных «закладок».

Основной метод заключается в тестировании реализованных меха­низмов безопасности и их интерфейса с целью доказательства адекватнос­ти защитных механизмов, невозможности их обхода или разрушения, демонстрации действенности средств управления доступом, защищен­ности регистрационной и аутентификационной информации.

Другой метод – верификация описания архитектуры. Цель верифи­кации — доказа­тельство того, что архитектура системы соответст­вует сформулированной политике безопасности.

Осуществляется также комплекс мер по защите и проверке постав­ляемой версии систе­мы, начиная от проверок серийных номеров аппарат­ных компонентов и кончая вери­фикацией контрольных сумм программ и данных.

Кроме того: Концепция надежной вычислительной базы является центральной при оценке степени гарантированности надежной системы. Надежная вычислительная база представляет собой совокупность защитных механизмов (включая программное и аппаратное обеспечение), гаран­тирующих безопасность системы. Компоненты вне вычислительной базы могут быть ненадежными (например, каналы связи), однако это не должно влиять на безопасность системы в целом.

Механизм протоколирования также является важным средством обеспечения безопасно­сти. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.