Главная | Обратная связь | Поможем написать вашу работу!

ГЛАВА 8 Захист інформації в КС від несанкціонованого доступу

Для здійснення НСДІ зловмисник не застосовує жодних апаратних чи програмних засобів, що не входять до складу КС. Він здійснює НСДІ, використовуючи:

• знання про КС та вміння працювати з нею;

• відомості про систему захисту інформації;

• збої, відмови технічних і програмних засобів;

• помилки, недбалість обслуговуючого персоналу та користувачів.

Для захисту інформації від НСД створюється система розмежування доступу до інформації. Дістати несанкціонований доступ до інформації при наявності системи розмежування доступу (СРД) можливе тільки при збоях і відмовах КС, а також використовуючи слабкі місця в комплексній системі захисту інформації. Щоб використовувати слабкості в системі захисту, зловмисник повинен знати про них. Одним із шляхів добування інформації про недоліки систе ми захисту є вивчення механізмів захисту. Зловмисник може тестувати систему захисту шляхом безпосереднього контакту з нею. У цьому випадку велика вірогідність виявлення системою захисту спроб її тестування. У результаті цього службою безпеки можуть бути вжиті додаткові заходи захисту. Набагато більш привабливим для зловмисника являє-ся інший підхід. Спочатку виходить копія програмного середовищ-ства системи захисту або технічний засіб захисту, а потім проводиться їх дослідження в лабораторних умовах. Крім того, створення неврахованих копій на знімних носіях інформації є одним з найпоширеніших і зручних способів розкрадання інформації. Цим способом здійснюється несанкціоноване тиражування програм. Потай отримати тех-технічне засіб захисту для дослідження набагато складніше, ніж програмне, і така загроза блокується засобами і методами забезпечують цілісність технічної структури КС. Для блокування несанкціонованого дослідження і копіювання інформації КС використовується комплекс засобів і заходів захисту, які об'єднуються в систему захисту від дослідження та копіювання (СЗІК). Таким чином, СРД і СЗІК можуть розглядатися як підсистеми системи захисту від НСДІ.

Управління доступом. Вихідною інформацією для створення СРД є рішення власника (адміністратора) КС про допуск користувачів до певних інформаційних ресурсів КС. Так що інформація в КС зберігається, обробляється і передається файлами (частинами файлів), то доступ до інформації регламентується на рівні файлів (об'єктів доступу). Складніше організується доступ в базах даних, в яких він може регламентуватися до окремих її частин за певними правилами. При визначенні повноважень доступу адміністратор встановлює операції, які дозволено виконувати користувачеві (суб'єкту доступу). Розрізняють такі операції з файлами):

• читання (R);

• запис;

• виконання програм (Е).

Операція запису в файл має дві модифікації. Суб'єкту доступу може бути дано право здійснювати запис із зміною вмісту файлу (W). Інша організація доступу передбачає дозвіл тільки дописування в файл, без зміни старого вмісту (А). У КС знайшли застосування два підходи до організації розмежування доступу [6]:

• матричний:

• повноважний (мандатний).

Мандатне управління доступом передбачає використання матриць доступу. Матриця доступу являє собою таблицю, в якій об'єкту доступу відповідає стовпець Oj, а суб'єкту доступу - рядок Si. На перетині шпальт і рядків записуючи ются операція або операції, які допускається виконувати суб'єкту доступу i з об'єктом доступу] (рис. 10).

Рис. 10. Матриця доступу

Матричне управління доступом дозволяє з максимальною деталізацією встановити права суб'єкта доступу з виконання дозволених операцій над об'єктами доступу. Такий підхід наочний і легко реалізуємо. Однак у реальних системах з-за великої кількості суб'єктів і об'єктів доступу матриця доступу досягає таких розмірів, при яких складно підтримувати її в адекватному стані. Повноважний або мандатний метод базується на багаторівневої моделі захисту. Такий підхід побудований за аналогією з «ручним» конфіденційним (секретним) діловодством. Документу присвоюється рівень конфіденційності (гриф таємності), а також можуть присвоюватися мітки, що відображають категорії конфіденційності (секретності) документа. Таким чином, конфіденційний документ має гриф конфіденційності (конфіденційно, суворо конфіденційно, таємно, цілком таємно і т. д.) і може мати одну чи кілька міток, які уточнюють категорії осіб, допущених до цього документа («для керівного складу», «для інженерно-технічного складу»і т. д.). Суб'єктам доступу встановлюється рівень допуску, який визначає максимальний для даного суб'єкта рівень конфіденційності документа, до якого дозволяється допуск. Суб'єкту доступу встановлюються також категорії, які пов'язані з мітками документа. Правило розмежування доступу полягає в наступному: особа допускається до роботи з документом тільки в тому випадку, якщо рівень допуску суб'єкта доступу дорівнює або вище рівня конфіденційності документа, а в наборі категорій, наданий цьому суб'єкту доступу, містяться всі категорії, визначені для даного документа. У КС всі права суб'єкта доступу фіксуються в його мандат. Об'єкти доступу містять мітки, в яких записані ознаки конфіденційності. Права доступу кожного суб'єкта і характеристики конфіденційності кожного об'єкта відображаються у вигляді сукупності рівня конфіденційності та набору категорій конфіденційності. Мандатну управління дозволяє спростити процес регулювання доступу, так як при створенні нового об'єкта досить створити його позначку. Однак при такому управлінні доводиться завищувати конфіденційність інформації через неможливість детального розмежування доступу. Якщо право встановлення правил доступу до об'єкта надається власнику об'єкта (або його довіреній особі), то такий метод контролю доступу до інформації називається дискреційним.

Склад системи розмежування доступу. Система розмежування доступу до інформації повинна містити чотири функціональних блоки:

• блок ідентифікації і аутентифікації суб'єктів доступу;

• диспетчер доступу;

• блок криптографічного перетворення інформації при її зберіганні і передачі;

• блок очищення пам'яті.

Ідентифікація та автентифікація суб'єктів здійснюється в момент їх доступу до пристроїв, в тому числі і дистанційного доступу. Диспетчер доступу реалізується у вигляді апаратно-програмних механізмів (рис.12) і забезпечує необхідну дисципліну розмежування доступу суб'єктів до об'єктів доступу (у тому числі і до апаратних блокам, вузлам, пристроїв). Диспетчер доступу розмежовує доступ до внутрішніх ресурсів КС суб'єктів, які вже отримали доступ до цих систем. Необхідність використання диспетчера доступу виникає тільки в багатокористувацьких КС. Запит на доступ я-ро суб'єкта і J-му об'єкту надходить до блоку управління базою повноважень і характеристик доступу і в блок реєстрації подій. Повноваження суб'єкта і характеристики об'єкта доступу аналізуються в блоці прийняття рішення, кото видає сигнал дозволу виконання запиту або сигнал відмови в допуску.

Якщо число спроб суб'єкта допуску отримати доступ до заборонених для нього об'єктів перевищить певну межу (звичайно 3 рази), то блок прийняття рішення на підставі даних блоку реєстрації видає сигнал «НСДІ» адміністратору системи безпеки. Адміністратор може блокувати роботу суб'єкта, що порушує правила доступу в системі, і з'ясувати причину порушень. Крім навмисних спроб НСДІ диспетчер фіксує порушення правил розмежування, що з'явилися наслідком відмов, збоїв апаратних і програмних коштів, а також викликаних помилками персоналу і користувачів.

Рис. 11 Диспетчер доступу

Слід зазначити, що в розподілених КС криптографічне закриття інформації є єдиним надійним способом захисту від НСДІ. Сутність криптографічного закриття інформації викладена в розділі 9. У СРД повинна бути реалізована функція очищення оперативної пам'яті і робочих областей на зовнішніх запам'ятовуючих пристроях після завершення виконання програми, обробній конфіденційні дані. Причому очищення повинна проводитися шляхом запису в звільнилися ділянки пам'яті певній послідовності двійкових кодів, а не видаленням тільки облікової інформації про файли з таблиць ОС, як це робиться при стандартному видаленні засобами ОС.

Концепція побудови систем розмежування доступу. В основі побудови СРД лежить концепція розробки захищеної універсальної ОС на базі ядра безпеки [6]. Під ядром безпеки розуміють локалізовану, мінімізовану, чітко обмежену і надійно ізольовану совокупність програмно-апаратних механізмів, доказово правильно реалізують функції диспетчера доступу [29]. Правильність функціонування ядра безпеки доводиться шляхом повної формальної верифікації його програм і покроковим доказом їх відповідності вибраної математичної моделі захисту. Застосування ядра безпеки вимагає провести зміни ОС та архітектури ЕОМ. Обмеження розмірів та складності ядра необхідно для забезпечення його верифіковані. Для апаратної підтримки захисту та ізоляції ядра в архітектурі ЕОМ повинні бути передбачені:

• багаторівневий режим виконання команд,

• використання ключів захисту та сегментування пам'яті;

• реалізація механізму віртуальної пам'яті з поділом адресних просторів;

• апаратна реалізація частини функцій ОС;

• зберігання програм ядра в постійному запам'ятовуючому пристрої (ПЗУ),

• використання нових архітектур ЕОМ, відмінних від фоннеймановской архітектури (архітектури з реалізацією абстрактних типів даних, тегів архітектури з привілеями та ін.)

Забезпечення багаторівневого режиму виконання команд є головною умовою створення ядра безпеки. Таких рівнів має бути не менше двох. Частина машинних команд ЕОМ повинна виконуватися тільки в режимі роботи ОС. Основною проблемою створення високоефективної захисту від НСД є запобігання несанкціонованого переходу користувацьких процесів у привілейоване стан. Для сучасних складних ОС практично немає доказів відсутності можливості несанкціонованого отримання користувацькими програмами статусу програм ОС. Використання ключів захисту, сегментування пам'яті і застосування механізму віртуальної пам'яті передбачає апаратну підтримку концепції ізоляції областей пам'яті при роботі ЕОМ в мультипрограмних режимах. Ці механізми служать основою для організації роботи ЕОМ у режимі віртуальних машин. Режим віртуальних машин дозволяє створити найбільшу ізольованість користувачів, допускаючи іспользо120 вання навіть різних ОС користувачами в режимі поділу часу. Апаратна реалізація найбільш відповідальних функцій ОС і зберігання програм ядра в ПЗУ істотно підвищують ізольованість ядра, його стійкість до спроб модифікації. Апаратно повинні бути реалізовані насамперед функції ідентифікації і аутентифікації суб'єктів доступу, зберігання атрибутів системи захисту, підтримки криптографічного закриття інформації, обробки збоїв і відмов і деякі інші. Універсальні ЕОМ і їх ОС, використовувані раніше, практично не мали вбудованих механізмів захисту від несанкціонованого доступу. Такі поширені ОС як IBM System/370, MS-DOS і цілий ряд інших ОС не мали вбудованих засобів ідентифікації і аутентифікації і розмежування доступу. Більш сучасні універсальні ОС UNIX, VAX / VMS, Solaris та ін мають вбудовані механізми розмежування доступу і аутентифікації. Проте можливості цих вбудованих функцій обмежені і не можуть задовольняти вимогам, що пред'являються до захищених ЕОМ. Є два шляхи отримання захищених від НСД КС:

• створення спеціалізованих КС;

• оснащення універсальних КС додатковими засобами захисту.

Перший шлях побудови захищених КС поки що не отримав широкого поширення у зв'язку з невирішеністю цілого ряду проблем. Основний з них є відсутність ефективних методів розробки доказово коректних апаратних і програмних засобів складних систем. Серед небагатьох прикладів спеціалізованих ЕОМ можна назвати систему SCOMP фірми «Honeywell», призначену для використання в центрах комутації обчислювальних мереж, що обробляють секретну інформацію. Система розроблена на базі концепції ядра безпеки. Вузька спеціалізація дозволила створити захищену систему, що забезпечує необхідну ефективність функціонування за прямим призначенням. Найчастіше захист КС від НСД здійснюється шляхом використання додаткових програмних або аппаратнопрограммних засобів. Програмні засоби RACF, SECURC, В даний час з'явилися десятки окремих програм, програмних і апаратних комплексів, розрахованих на захист персональних ЕОМ від несанкціонованого доступу до ЕОМ, які розмежовують доступ до інформації та пристроїв ПЕОМ.

Сучасні системи захисту ПЕОМ від несанкціонованого доступу до інформації. Як приклади окремих програм, що підвищують захищеність КС від НСД, можна привести утиліти з пакета Нортон Утиліти, такі як програма шифрування інформації при записі на диск DiskReet або секретного диска, програма стирання інформації з диска Wipelnfo, програма контролю звернення до дисків Disk Monitor і ін [32]. Вітчизняними розробниками пропонуються програмні системи захисту ПЕОМ «Сніг-1.0», «Кобра», «Страж-1.1» і ін Як приклади вітчизняних апаратно-програмних засобів захисту, що мають сертифікат Держтехкомісії, можна привести системи «Акорд-4», «Dallas Lock 3,1», «Редут», «ДДЗ-1». Апаратно-програмні комплекси захисту реалізують максимальне число захисних механізмів:

• ідентифікація і аутентифікація користувачів;

• розмежування доступу до файлів, каталогів, дискам;

• контроль цілісності програмних засобів та інформації

• можливість створення функціонально замкненою середовища користувача

• захист процесу завантаження ОС;

• блокування ПЕОМ на час відсутності користувача

• криптографічне перетворення інформації

• реєстрація подій;

• очищення пам'яті.

Програмні системи захисту в якості ідентифікатора використовують, як правило, тільки пароль. Пароль може бути перехоплений резидентними грамами двох видів. Програми першого виду перехоплюють переривання від клавіатури, записують символи в спеціальний файл, а потім передають керування ОС. Після перехоплення встановленого числа символів програма видаляється з ОП. Програми іншого виду виконуються замість штатних програм зчитування пароля. Такі програми першими отримують управління і імітують для користувача роботу зі штатною програмою перевірки пароля. Вони запам'ятовують пароль, імітують помилку введення пароля і передають управління штатної програмі парольного ідентифікації. Відмова при першому наборі пароля користувач сприймає як збій системи або свою помилку і здійснює повторний набір пароля, який повинен завершитися допуском його до роботи. При перехопленні пароля в обох випадках користувач не відчує, що його пароль скомпрометований. Для отримання можливості перехоплення паролів зловмисник повинен змінити програмну структуру системи. У деяких програмних системах захисту («Страж-1.1») для підвищення достовірності аутентифікації використовуються знімні магнітні диски, на яких записується код користувача. Значно складніше обійти блок ідентифікації і аутентифікації в апаратно-програмних системах захисту від НСД. У таких системах використовуються електронні ідентифікатори, найчастіше - Touch Memory. Для кожного користувача встановлюються його повноваження щодо файлів, каталогів, логічних дисків. Елементи, щодо яких користувачеві заборонені будь-які дії, стають «невидимими» для нього, т. е. вони не відображаються на екрані монітора при перегляді вмісту зовнішніх запам'ятовуючих пристроїв. Для користувачів може встановлюватися заборона на використання таких пристроїв, як накопичувачі на знімних носіях, друкуючі пристрої. Ці обмеження дозволяють запобігати реалізацію загроз, пов'язаних зі спробами несанкціонованого копіювання та введення інформації, вивчення системи захисту. У найбільш досконалих системах реалізований механізм контролю цілісності файлів з використанням хеш-функції причому існують системи, в яких контрольна характеристика зберігається не тільки в ПЕОМ, але і в автономному ПЗУ користувача. Постійний запам'ятовуючий пристрій, як правило, входить до складу карти або жетона, використовуваного для ідентифікації користувача. Так у системі «Акорд-4» хеш-функції обчислюються для контрольованих файлів і зберігаються в спеціальному файлі в ПЕОМ, а хеш-функція, яка обчислюється для спеціального файла, зберігається в Touch Memory. Після завершення роботи на ПЕОМ здійснюється запис контрольних характеристик файлів на карту або жетон користувача. При вході в систему здійснюється зчитування контрольних характеристик з ПЗУ карти або жетона і порівняння їх з характеристиками, обчисленими по контрольованим файлам. Для того, щоб зміна файлів залишилося непоміченим, зловмисникові необхідно змінити контрольні характеристики як в ПЕОМ, так і на карті або жетоні, що практично неможливо за умови виконання користувачем простих правил. Дуже ефективним механізмом боротьби з НСДІ є створення функціонально-замкнутих середовищ користувачів. Суть його полягає в наступному. Для кожного користувача створюється меню, в яке потрапляє користувач після завантаження ОС. У ньому вказуються програми, до виконання яких допущений користувач. Користувач може виконати будь-яку з програм з меню. Після виконання програми користувач знову потрапляє в меню. Якщо ці програми не мають можливостей ініціювати виконання інших програм, а також передбачена коректна обробка помилок, збоїв і відмов, то користувач не зможе вийти за рамки встановленої замкнутої функціональної середовища.

Такий режим роботи цілком здійснимо в багатьох АСУ. Захист процесу завантаження ОС передбачає здійснення завантаження саме штатної ОС і виключення втручання в її структуру на етапі завантаження. Для забезпечення такого захисту на апаратному або програмному рівні блокується робота всіх ВЗП, за винятком того, на якому встановлено носій із штатною ОС. Якщо завантаження здійснюється зі знімних носіїв інформації, то до початку завантаження необхідно упевнитися в тому, що встановлений носій із штатною ОС. Такий контроль може бути здійснений програмою, записаною в ПЗУ ЕОМ. Способи контролю можуть бути різними: від контролю ідентифікатора до порівняння хеш-функцій. Завантаження з незнімного носія інформації все ж є переважно. Процес завантаження ОС повинен виключати можливість втручання до повного завершення завантаження, поки не будуть працювати всі механізми системи захисту.

У КС достатньо блокувати на час завантаження ОС всі пристрої введення інформації і канали зв'язку. При організації багато режиму часто виникає необхідність на нетривалий час відлучитися від робочого місця, або передати ЕОМ іншому користувачеві. На цей час необхідно блокувати роботу ЕОМ. У цих випадках дуже зручно використовувати електронні ідентифікатори, які при роботі повинні постійно перебувати в приймальному пристрої блоку ідентифікації ЕОМ. При вилученні ідентіфікатора гаситься екран монітора і блокуються пристрою керування. При пред'явленні ідентифікатора, який використовувався при доступі до ЕОМ, здійснюється розблокування, і робота може бути продовжена. При зміні користувачів доцільно проводити її без виключення ЕОМ. Для цього необхідний аппаратнопрограммний або програмний механізм коректної зміни повноважень. Якщо попередній користувач коректно завершив роботу, то новий користувач отримує доступ до своїх повноважень після успішного завершення процедури аутентифікації.

Одним з найбільш ефективних методів розмежування доступу є криптографічне перетворення інформації. Цей метод є універсальним. Він захищає інформацію від вивчення, впровадження програмних закладок, робить операцію копіювання безглуздою. Тому криптографічні методи захисту інформації розглядаються досить детально в гол. 9. Тут необхідно лише відзначити, що користувачі можуть використовувати одні й ті ж апаратно-програмні або програмні засоби криптографічного перетворення або застосовувати індивідуальні засоби. Для своєчасного припинення несанкціонованих дій щодо інформації, а також для контролю за дотриманням встановлених правил суб'єктами доступу, необхідно забезпечити реєстрацію подій, пов'язаних із захистом інформації. Ступінь подробиці фіксується інформації може змінюватися і зазвичай визначається адміністратором системи захисту. Інформація накопичується на ЗЗП. Доступ до неї має тільки адміністратор системи захисту. Важливо забезпечувати стирання інформації в ОП і в робочих областях ЗП. У ВП розміщується вся оброблювана інформація, причому, у відкритому вигляді. Якщо після завершення роботи користувача не здійснити очистку робочих областей пам'яті всіх рівнів, то до неї може бути здійснений несанкціонований доступ.

⇐ Предыдущая 7 8 9 10 111213 14 15 16 Следующая ⇒