Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
1. Понятие информации, ее основные характеристики с точки зрения
безопасности. Определение информации, угрозы информации,
примеры.
В соответствии с терминологией закона “Об информации, информатизации и защите информации” информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информация — сведения о чём-либо, независимо от формы их представления.
1)Конфиденциальность
2)Целостность
3)Доступность
Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.
Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.
Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath):
Кража информации – 64%
Вредоносное ПО – 60%
Хакерские атаки – 48%
Спам – 45%
Халатность сотрудников – 43%
Аппаратные и программные сбои – 21%
Кража оборудования – 6%
Финансовое мошенничество – 5%
В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником.
Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.
Так или иначе, утечка информации происходит по каналам утечки. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией.
Но совсем не обязательно похищать информацию с целью, например, последующей продажи. Если сотруднику захочется подпортить репутацию компании, или нанести какой либо ущерб в силу каких-то обстоятельств (понижение по должности, сокращение, разногласия с руководством и т.д.), вполне достаточно исказить информацию представляющую ценность для организации, в следствии чего, данная информация может потерять свою актуальность и ценность, или же окажется просто недостоверной, не подлинной, что может обернуться, например, обманутыми клиентами, партнерами. К счастью, таких «ущемленных» сотрудников не так много. Если же говорить о мотивах, побудивших человека, сотрудника организации к таким шагам, первое место занимает кража денег с электронных счетов (изменение программ по начислению заработной платы и зачислению её на индивидуальные счета, создание файлов с вымышленными вкладчиками, изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, фальсификацию в базе данных фирм информации о клиентах). Но и не обходится без фальсификации информации, или повреждения программного обеспечения, вывод из работы сайтов и прочее.
Наиболее опасным являются неумышленные действия персонала. Примером может являться, уже обыденная вещь для современного человека – «флешка», или USB накопитель на основе Flash-memory. Нередко, сотрудники организации используют «флешки» в работе. Или из самых лучших побуждений, человек, может взять некоторую информацию домой, для того чтобы поработать над ней (к примеру, подготовка какой либо отчетности или других документов). В данном случае велик процент утечки информации из-за потери самого носителя – «флешки», в силу ее габаритных характеристик.
2. Понятие конфиденциальной информации. Требования к организации
защиты коммерческой тайны.
Конфиденциальная информация – это любая информация в отношении которой установлен режим обеспечения ее неразглашения.
Для обеспечения конфиденциальности информации составляющей коммерческую тайну в организации должен ввестись так называемый режим коммерческой тайны (режим конфиденциальности информации). Данный режим обычно вводится путем издания некоего документа, который определяет правовые и организационные меры обеспечения конфиденциальности информации. Также в данном документе описывается порядок отнесения информации к коммерческой тайне, порядок обращения с ней и ее использования, а также должен регулировать отношения людей при обращении с конфиденциальной информацией.
3. Основные подходы к классификации угроз информационной
безопасности. Информационные, программно-математические,
физические и организационные угрозы, классификация угроз, их
характеристики и оценка. Возможные последствия реализации угроз
информационной безопасности.
Под угрозой безопасности данных будем понимать потенциально существующую возможность случайного или преднамеренного действия (или бездействия), в результате которого может быть нарушена безопасность данных.
Несанкционированный доступ к данным - это злоумышленное или случайное действие, нарушающее технологическую схему обработки данных и ведущее к получению, модификации или уничтожению данных. Несанкционированный доступ (НСД) к данным может быть пассивным (чтение, фотографирование и т.п.) и активным (модификация, уничтожение).
Нарушитель - это субъект, осуществляющий НСД к данным. Противник (злоумышленник) - субъект, осуществляющий преднамеренный НСД к данным.
Нарушение безопасности:
случайные воздействия природной среды (ураган, землетрясение, пожар, наводнение и т.п.);
целенаправленные воздействия нарушителя (шпионаж, разрушение компонентов ИВС, использование прямых каналов утечки данных);
внутренние возмущающие факторы (отказы аппаратуры, ошибки в математическом и программном обеспечении, недостаточная профессиональная и морально - психологическая подготовка персонала и т.д.).
Под каналом утечки данных следует понимать потенциальную возможность НСД, которая обусловлена архитектурой, технологической схемой функционирования ИВС, а также существующей организацией работы с данными.
Косвенными называются такие каналы утечки, использование которых для НСД не требует непосредственного доступа к техническим устройствам ИВС. Косвенные каналы утечки возникают, например, вследствие недостаточной изоляции помещений, просчетов в организации работы с данными и предоставляют нарушителю возможность применения подслушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей данных и производственных отходов ( листингов машинных программ и т.п.).
Прямые каналы утечки данных, требуют непосредственного доступа к техническим средствам ИВС и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты ОС, СУБД, математического и программного обеспечения, а также просчетами в организации технологического процесса работы с данными. Прямые каналы утечки данных позволяют нарушителю подключаться к аппаратуре ИВС, получать доступ к данным и выполнять действия по анализу, модификации и уничтожению данных.
При использовании прямых каналов утечки нарушитель может осуществлять следующие действия:
1. Cчитывать данные из файлов (элементов БД) других пользователей.
2. Cчитывать данные из запоминающих устройств после выполнения разрешенных запросов.
3. Kопировать носители данных.
4. Выдавать себя за зарегистрированного пользователя, чтобы использовать его полномочия или снять с себя ответственность за НСД.
5. Представить собственные несанкционированные запросы, как запросы операционной системы.
6. Получать защищенные данные с помощью специально организованной серии разрешенных запросов.
7. Модифицировать программное обеспечение.
8. Преднамеренно включать в программы специальные блоки для нарушения безопасности данных.
9. Отказаться от факта формирования и выдачи данных.
10. Утверждать о получении данных от некоторого пользователя, хотя на самом деле данные были сформированы самим нарушителем.
11. Утверждать о передаче данных какому либо пользователю, хотя на самом деле данные не передавались.
12. Отказаться от факта получения данных, которые на самом деле были получены.
13. Изучить права доступа пользователей (даже если сами данные остаются закрытыми).
14. Несанкционированно расширять свои полномочия; несанкционированно изменять полномочия других
пользователей.
При подключении к магистральной линии связи нарушитель может осуществить следующие действия с передаваемыми данными:
1. Раскрыть содержание передаваемых данных.
2. Выполнить анализ потока данных.
3. Изменить поток данных.
4. Прервать передачу потока данных.
5. Осуществить инициирование ложного соединения.
Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Источником могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администраторов ИВС и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям (абонентам) ИВС и в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы направлены на несанкционированное использование информационных ресурсов ИВС, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является например, попытка получения информации, циркулирующей в каналах передачи данных ИВС, путем их прослушивания.
Активные угрозы имеют своей целью нарушить нормальный процесс функционирования ИВС посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным угрозам относятся: разрушение или радиоэлектронное подавление линий связи ИВС, вывод из строя ЭВМ или ее операционной системы, искажение сведений в пользовательских базах данных или системной информации ИВС и т.п. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
К основным угрозам безопасности относят: раскрытие конфиденциальной информации, компрометация информации, несанкционированное использование ресурсов ИВС, ошибочное использование ресурсов ИВС, несанкционированный обмен информацией, отказ от информации, отказ в обслуживании.
Службы безопасности:
аутентификация (подтверждение подлинности);
обеспечение целостности;
засекречивание данных;
контроль доступа;
защита от отказов.
Последние две службы едины (инвариантны) по отношению к дейтаграммным и виртуальным сетям.
Служба аутентификации применительно к виртуальным сетям называется службой аутентификации одноуровневого объекта. На этапе установления соединения она обеспечивает подтверждение (опровержение) того, что объект, который предлагает себя в качестве отправителя информации по виртуальному каналу, является именно тем, за кого он себя выдает. На этапе передачи сообщении данная служба обеспечивает подтверждение (опровержение) того, что поступивший блок отправлен именно тем объектом, с которым установлено соединение.
Службы целостности можно классифицировать:
1. По виду сетей, в которых они применяются (виртуальные, дейтаграммные).
2. По действиям, выполняемым при обнаружении аномальных ситуаций.
3. По степени охвата передаваемых данных ( блоки в целом либо их элементы, называемые выборочными полями).
Служба целостности соединения с восстановлением используется в виртуальных сетях и обеспечивает выявление искажений, вставок, повторов и уничтожения данных, передаваемых по соединению, а также их последующее восстановление.
Служба целостности без соединения обеспечивает выявление искажений в дейтаграммах, а в ограниченном числе случаев - кроме того, вставок и повторов. Служба целостности выборочных полей без соединения обеспечивает выявление искажений в отдельных элементах дейтаграмм.
Службы засекречивания данных, как и службы целостности, можно классифицировать по виду сетей, где они используются, и степени охвата передаваемых данных.
Служба засекречивания соединения обеспечивает секретность всех данных, пересылаемых по виртуальному каналу образовавшими его объектами. Служба засекречивания без соединения обеспечивает секретность данных, содержащихся в каждой отдельной дейтаграмме. Служба засекречивания выборочных полей выполняет функции применительно к элементам дейтаграмм или блоков, пересылаемых по виртуальному соединению.
Служба засекречивания потока данных (трафика), нейтрализует возможность получения сведений об абонентах ИВС и характере использования сети посредством наблюдения за наличием (отсутствием) передачи данных по каналам ИС, длиной передаваемых сообщений, отправителями и получателями, а также интенсивностью информационного обмена.
Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования ресурсов ИВС. Контроль доступа в общем случае может быть избирательным, то есть распространяться только на некоторые виды доступа к ресурсу (например, на обновление информации в базе данных), либо полным, относиться к ресурсу в целом независимо от характера его использования.
Службы защиты от отказов направлены на нейтрализацию угрозы отказа от информации со стороны ее отправителя и /или получателя.
Служба защиты от отказов с подтверждением источника обеспечивает получателя информации доказательствам и (в виде данных), которые исключает попытки отправителя отрицать факт передачи указанной информации или ее содержание. Аналогично, служба защиты от отказов с подтверждением доставки обеспечивает отправителя информации доказательствами, исключающими попытки получателя отрицать факт ее получения или ее содержание.
Механизмы безопасности. Шифрование обеспечивает реализацию и используется в ряде других служб. Шифрование может быть симметричным и асимметричным. Первое из них основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования - другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ. Для использования механизмов шифрования в ИВС необходима организация специальной службы генерации ключей и их распределения между абонентами ИВС.
Кроме шифрования предусматриваются следующие механизмы безопасности:
1. Цифровая (электронная) подпись.
2. Контроль доступа.
3. Обеспечение целостности данных.
4. Обеспечение аутентификации.
5. Подстановка трафика.
6. Управления маршрутизацией.
7. Арбитраж, или освидетельствование.
С наступлением информационного этапа развития человечества, стремительного движения вперед информационных технологий, когда практически любая информация сразу же при появлении становиться достоянием огромного количества людей, особую значимость приобретают вопросы защиты информации, не предназначенной для широкой огласки и распространения.
Определим безопасность как степень защищенности данных от негативного воздействия каждого из этапов информационного процесса некоторого субъекта, реализующего свои цели и интересы в пространстве материального мира.
При этом под информационным процессом понимаются все действия, так или иначе связанные с преобразованием информации в жизнедеятельности активного субъекта при его работе с ИС, подключенной к внешней сети передачи данных. Такими действиями могут быть: получение им сигналов из внешнего мира, выделение из них информации (то есть интерпретацию сигналов в некоторые данные, имеющие для него содержательное значение), хранение и обработка информации, принятие новой информации на основе новых знаний об окружающем мире, а также получение новой информации о решениях своих действий.
На каждом из этапов информационного процесса преобразование информации происходит в условиях действия различных факторов, стремящихся нарушить его естественное положение, то есть нарушить бесконфликтное течение заранее известных последовательных этапов информационного процесса.
Факторы, нарушающие нормальное выполнение этапов информационного процесса (объективных и субъективных), принято называть угрозой информационной безопасности (УИБ).
Известно большое количество определений УИБ [1–5], которые, несмотря на отличие в деталях, едины в своей сути: под угрозами понимается опасность (существующая реально или потенциально) совершения какого-либо деяния (действия), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности.
Практически все исследователи, раскрывая виды возможных нарушений основных свойств информации, приводят один и тот же перечень: к угрозам нарушения конфиденциальности информации относят хищение (копирование) и утечку информации; к угрозам доступности — блокирование информации; к угрозам целостности — модификацию (искажение информации), отрицание подлинности информации или навязывание ложной информации.
При подключении ИС к внешним сетям передачи информации возникающие УИБ могут быть направлены на: информационные ресурсы, процессы, процедуры и программы обработки информации внутри ИС; информацию, передаваемую по сети передачи данных; коммуникационные узлы ИС; нарушение функционирования электронной почты (рис. 1) [6, 7].
analiz_1_05_2013_1
Последствием воздействия угроз является нарушение безопасности системы. Рассмотрим также и последствия угроз, а также перечень и сущность различных видов угрожающих воздействий, которые являются причинами дискредитации системы защиты ИС.
В целом, последствия могут быть связаны с «несанкционированным вскрытием», «обманом», «разрушением» и «захватом» (рис. 2).
analiz_1_05_2013_2
Рассмотрим существующие подходы к классификации УИБ [8–10] и определим их основные принципы.
1. Подход «Оранжевой книги» и «Общих критериев»
Подход заключается в сведении всех УИБ к трем основным классам — угрозам нарушения конфиденциальности, доступности и целостности. Данная классификация построена, в первую очередь, для оценки степени обеспечения ИБ в ИС. Соответственно, вопросы противодействия рассматриваются с точки зрения именно «оценки», а не «рекомендаций» для построения защищенных ИС.
Основным недостатком такого подхода является то, что одна и та же реальная угроза либо не подходит ни под один из классификационных признаков, либо, наоборот, удовлетворяет нескольким.
2. Промышленный подход
Потребность обеспечения требуемой ИБ в ИС корпоративного масштаба с разветвленной СПД вынудила появление новых коммерческих предложений и, соответственно, новых коммерческих продуктов в виде программных, аппаратных и программно-аппаратных комплексов защиты информации. В связи с этим некоторыми коммерческими организациями в целях построения реальных промышленных коммерческих продуктов были разработаны несколько типов классификаций.
Особенности этого подхода рассмотрим на примере классификации, разработанной специалистами компании DSECCT (Россия) [10], которая является наиболее характерным для данного подхода к классификации.
Изначально, для удобства создания конечного продукта, при разработке классификации специалистами этой компании во главу угла поставлен принцип попадания угроз только под один классификационный признак. Назовем его принципом «однозначности». При этом появляется возможность формализации и программно-аппаратной реализации однозначного противодействия всем угрозам, попадающим под один классификационный признак.
Так, в вышеуказанной классификации использованы пять уровней, различающие УИБ: по характеру, виду воздействия, источнику возникновения, объекту воздействия в целом и частному объекту воздействия. Следует отметить, что подобная классификация относится только к угрозам, имеющим технологический характер (1-й уровень классификации). Для угроз же организационного характера имеется 4 уровня. При этом 2-й уровень определяет объект, 3-й — вид и 4-й — цель воздействия угрозы.
В этом подходе больше внимания уделено угрозам технологического характера. Кроме того, в данной классификации выпадают воздействия локального нарушителя, направленные на каналы связи, на протоколы, на оборудование и линии связи.
3. Антивирусный подход [9]
Этот подход обусловлен тем, что на сегодняшний день наибольшая доля УИБ приходится на вирусные угрозы и является разновидностью промышленного подхода. Наиболее ярким примером такого подхода является классификация УИБ, разработанная создателем одной из самых популярных антивирусных программ Е. Касперским и опубликованная в журнале JetInfo [9].
При таком подходе классификация УИБ сводится к анализу и определению различных классов вирусов, глобальных сетевых атак и спама, т.е. рассматриваются основные разновидности угроз программного характера. Угрозы технического и организационного характера остаются вне поля зрения.
4. Подход Вихорева [8]
Основным принципом этого подхода является идентификация всех возможных источников УИБ, идентификация и сопоставление с источниками УИБ всех возможных факторов (уязвимостей), присущих объекту защиты, и сопоставление УИБ идентифицированным источникам и факторам. Другими словами, классификация УИБ проводится на основе анализа взаимодействия логической цепочки: «источник угрозы — фактор (уязвимость) — угроза (действие) — последствия (атака)».
При этом под последствием понимается именно совершенная атака, направленная на нарушение ИБ, а не степень причиненного ущерба в результате ее совершения. С другой стороны, именно степень или величина причиняемого ущерба является наиболее существенной движущей силой, побуждающей принимать меры предосторожности для обеспечения гарантированного уровня ИБ информационных ресурсов не только при подключении ИС к внешним СПД, но и при построении замкнутых автономных компьютерных систем.
Именно отсутствие классификации по величине и степени возможного причиняемого ущерба и является основным недостатком этого подхода.
Резюмируя вышесказанное можно сделать следующие выводы:
существует большое количество способов классификации УИБ, которые сводятся к следующим основным разновидностям подходов:
• подход «Оранжевой книги» и «Общих критериев»;
• промышленный подход;
• антивирусный подход;
• подход Вихорева.
Каждый из существующих подходов, обладая несомненными положительными сторонами, тем не менее, имеют свои недостатки, которые не позволяют выбрать один из них в качестве универсального метода, в частности:
• основным недостатком подхода «Оранжевой книги» и «Общих критериев» является то, что одна и та же реальная угроза либо не подходит ни под один из классификационных признаков, либо, наоборот, удовлетворяет нескольким;
• промышленный подход используется для продвижения на рынке того или иного конкретного продукта и делает упор на его сильные стороны, приуменьшая значение факторов, по которым данный продукт является слабым. Например, классификация, разработанная специалистами компании DSECCT, в которой больше внимания уделено угрозам технологического характера, но в ней слабо отражены угрозы на каналы связи, протоколы, оборудование и линии связи;
• при антивирусном подходе классификация УИБ сводится к анализу и определению различных классов вирусов, спама и глобальных сетевых атак, т.е. рассматриваются основные разновидности угроз программного характера. В то же время угрозы технического и организационного характера остаются вне поля зрения;
• отсутствие классификации по величине и степени возможного причиняемого ущерба является основным недостатком подхода Вихорева.
Следовательно, постановка цели построения современного «Электронного правительства», расширение спектра задач, решаемых с применением современных ИТ, активное развитие сетевых технологий при современном состоянии актуализирует задачу разработки системного подхода к классификации угроз информационной безопасности, агрегирующего в себе положительные стороны существующих подходов и устраняющего их недостатки.
4. Понятие НСД. Основные руководящие документы по защите
информации от НСД Гостехкомиссии России. Основные принципы
защиты информации от НСД.
Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
Руководящий документ Гостехкомиссии «Защита от НСД. Термины и определения» (утверждён решением председателя Гостехкомиссии России от 30 марта 1992 г.) трактует определение немного иначе:
Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Несанкционированный доступ может привести к утечке информации.
Причины несанкционированного доступа к информации
Каналы утечки информации
ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных),
слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников),
ошибки в программном обеспечении,
злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации),
Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС,
Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации.
Последствия несанкционированного доступа к информации[править | править исходный текст]
утечка персональных данных (сотрудников компании и организаций-партнеров),
утечка коммерческой тайны и ноу-хау,
утечка служебной переписки,
утечка государственной тайны,
полное либо частичное лишение работоспособности системы безопасности компании.
Предотвращение утечек
Для предотвращения несанкционированного доступа к информации используются программные и технические средства, например, DLP-системы.
5. Модели защиты информации: дискреционная и мандатная.
Мандатное управление доступом
Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования.
Согласно требованиям ФСТЭК мандатное управление доступом или "метки доступа" являются ключевым отличием систем защиты Государственной Тайны РФ старших классов 1В и 1Б от младших классов защитных систем на классическом разделении прав по матрице доступа.
Пример: субъект «Пользователь № 2», имеющий допуск уровня «не секретно», не может получить доступ к объекту, имеющего метку «для служебного пользования». В то же время, субъект «Пользователь № 1» с допуском уровня «секретно» право доступа к объекту с меткой «для служебного пользования» имеет.
Мандатная модель управления доступом, помимо дискреционной и ролевой, является основой реализации разграничительной политики доступа к ресурсам при защите информации ограниченного доступа. При этом данная модель доступа практически не используется «в чистом виде», обычно на практике она дополняется элементами других моделей доступа.
Для файловых систем, оно может расширять или заменять дискреционный контроль доступа и концепцию пользователей и групп.
Самое важное достоинство заключается в том, что пользователь не может полностью управлять доступом к ресурсам, которые он создаёт.
Политика безопасности системы, установленная администратором, полностью определяет доступ, и обычно пользователю не разрешается устанавливать более свободный доступ к его ресурсам чем тот, который установлен администратором пользователю. Системы с дискреционным контролем доступа разрешают пользователям полностью определять доступность их ресурсов, что означает, что они могут случайно или преднамеренно передать доступ неавторизованным пользователям.
Такая система запрещает пользователю или процессу, обладающему определённым уровнем доверия, получать доступ к информации, процессам или устройствам более защищённого уровня. Тем самым обеспечивается изоляция пользователей и процессов, как известных, так и неизвестных системе (неизвестная программа должна быть максимально лишена доверия, и её доступ к устройствам и файлам должен ограничиваться сильнее).
Очевидно, что система, которая обеспечивает разделение данных и операций в компьютере, должна быть построена таким образом, чтобы её нельзя было «обойти». Она также должна давать возможность оценивать полезность и эффективность используемых правил и быть защищённой от постороннего вмешательства.
Поддержка в современных операционных системах[править | править исходный текст]
Изначально такой принцип был воплощён в операционных системах Flask, и других ориентированных на безопасность операционных системах.
Исследовательский проект АНБ SELinux добавил архитектуру мандатного контроля доступа к ядру Linux, и позднее был внесён в главную ветвь разработки в Августе 2003 года.
Мандатная система разграничения доступа реализована в ОС FreeBSD Unix.
В SUSE Linux и Ubuntu есть архитектура мандатного контроля доступа под названием AppArmor.
В сертифицированной в системах сертификации Минобороны России и ФСТЭК России операционной системе специального назначения "Astra Linux Special Edition", механизм мандатного разграничения доступа реализован, как и механизм дискреционного разграничения доступа в ядре ОС и СУБД. Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом. В сетевые пакеты протокола IPv4 в соответствии со стандартом RFC1108 внедряются мандатные метки, соответствующие метке объекта - сетевое соединение. В защищенных комплексах гипертекстовой обработки данных, электронной почты и в других сервисах, мандатное разграничение реализовано на основе программного интерфейса библиотек подсистемы безопасности PARSEC.
6. Проблемы идентификации и аутентификации пользователей. Методы
аутентификации и их основные характеристики.
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.
В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:
что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);
как организован (и защищен) обмен данными идентификации/аутентификации.
Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:
нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);
нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);
нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
В открытой сетевой среде между сторонами идентификации/аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.
Надежная идентификация и затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.
Парольная аутентификация
Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.
Чтобы пароль был запоминающимся, его зачастую делают простым (имя подруги, название спортивной команды и т.п.). Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через слово говорил "карамба"; разумеется, этим же словом открывался сверхсекретный сейф.
Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена.
Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.
Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.
Пароль можно угадать "методом грубой силы", используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).
Система S/KEY имеет статус Internet-стандарта (RFC 1938).
Другой подход к надежной аутентификации состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 секунд), для чего могут использоваться программы или специальные интеллектуальные карты (с практической точки зрения такие пароли можно считать одноразовыми). Серверу аутентификации должен быть известен алгоритм генерации паролей и ассоциированные с ним параметры; кроме того, часы клиента и сервера должны быть синхронизированы.
Сервер аутентификации Kerberos
Kerberos - это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.
Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты - пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать знание секретного ключа. C не может просто послать S свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S не знает (и не должен знать) секретный ключ C. Требуется менее прямолинейный способ демонстрации знания секретного ключа.
Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.
Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило - клиент) посылает Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), то есть продемонстрировал знание секретного ключа. Значит, клиент - именно тот, за кого себя выдает. Подчеркнем, что секретные ключи в процессе проверки подлинности не передавались по сети (даже в зашифрованном виде) - они только использовались для шифрования. Как организован первоначальный обмен ключами между Kerberos и субъектами и как субъекты хранят свои секретные ключи - вопрос отдельный.
Идентификация/аутентификация с помощью биометрических данных
Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.
Биометрией во всем мире занимаются очень давно, однако долгое время все, что было связано с ней, отличалось сложностью и дороговизной. В последнее время спрос на биометрические продукты, в первую очередь в связи с развитием электронной коммерции, постоянно и весьма интенсивно растет. Это понятно, поскольку с точки зрения пользователя гораздо удобнее предъявить себя самого, чем что-то запоминать. Спрос рождает предложение, и на рынке появились относительно недорогие аппаратно-программные продукты, ориентированные в основном на распознавание отпечатков пальцев.
В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).
В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.
Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.
Активность в области биометрии очень велика. Организован соответствующий консорциум (см. http://www.biometrics.org/), активно ведутся работы по стандартизации разных аспектов технологии (формата обмена данными, прикладного программного интерфейса и т.п.), публикуется масса рекламных статей, в которых биометрия преподносится как средство обеспечения сверхбезопасности, ставшее доступным широким массам.
На наш взгляд, к биометрии следует относиться весьма осторожно. Необходимо учитывать, что она подвержена тем же угрозам, что и другие методы аутентификации. Во-первых, биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. А, как известно, за время пути... много чего может произойти. Во-вторых, биометрические методы не более надежны, чем база данных шаблонов. В-третьих, следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в "полевых" условиях, когда, например к устройству сканирования роговицы могут поднести муляж и т.п. В-четвертых, биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.
Но главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы.
7. Методы контроля доступа. Защита информации от НСД средствами
операционных систем. Программно-аппаратные средства защиты
информации от НСД , примеры и особенности.
Проблема несанкционированного доступа
Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:
- Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере.
- Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.
- Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.
- Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.
Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа.
Данные средства можно разделить на две категории:
- Средства ограничения физического доступа.
- Средства защиты от несанкционированного доступа по сети.
Средства ограничения физического доступа
Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками».
Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.
На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом – Администратором по безопасности:
Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов – дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.
Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие:
системные библиотеки Windows;
исполняемые модули используемых приложений;
шаблоны документов Microsoft Word и т. д.
Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хэширование по алгоритму ГОСТ Р 34.11-94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными.
В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на компьютер (см. упрощенную схему алгоритма на рис. 2), а именно:
Замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера.
Если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена Администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером:
пересчитать эталонную контрольную сумму для данного файла, т.е. зафиксировать измененный файл;
восстановить исходный файл;
удалить файл из списка контролируемых.
Если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы.
Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти – обычно это MS-DOS или аналогичная ОС, не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности – собственная операционная система замка не подвержена каким-либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы.
Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка. Журнал может быть просмотрен Администратором.
При использовании электронных замков существует ряд проблем, в частности:
BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS’у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.
Злоумышленник может просто вытащить замок из компьютера. Однако, существует ряд мер противодействия:
Различные организационно-технические меры: пломбирование корпуса компьютера, обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т. д.
Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора – в этом случае замок не может быть изъят без существенного повреждения компьютера.
Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.
Средства защиты от НСД по сети
Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – Virtual Private Network) и межсетевое экранирование. Рассмотрим их подробно.
Виртуальные частные сети
Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты (см. рис. 3). VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.
Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:
Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.
С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.
С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета.
С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.
Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.
При приеме IP-пакета VPN-агент производит следующее:
Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.
Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.
Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.
Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.
Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.
VPN-агент может находиться непосредственно на защищаемом компьютере (например, компьютеры «удаленных пользователей» на рис. 3). В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.
Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.
Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:
Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.
Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.
Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:
IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.
IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.
Идентификатор пользователя (отправителя или получателя).
Протокол транспортного уровня (TCP/UDP).
Номер порта, с которого или на который отправлен пакет.
Межсетевое экранирование
Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:
антивирусное сканирование;
контроль корректности пакетов;
контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);
контент-контроль.
Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.
По аналогии с VPN-агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.
Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.
Комплексная защита
Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:
Защита компьютера от физического доступа.
Защита компьютера от НСД по сети и организация VPN.
Шифрование файлов по требованию.
Автоматическое шифрование логических дисков компьютера.
Вычислени/проверка ЭЦП.
Защита сообщений электронной почты.
8. Модель внутреннего нарушителя. Методы социальной инженерии.
Модель нарушителя — (в информатике) абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.
Модель нарушителя определяет:
Модель нарушителей может иметь разную степень детализации.
Под нарушителем в общем виде можно рассматривать лицо или группу лиц, которые в результате предумышленных или непредумышленных действий обеспечивает реализацию угроз информационной безопасности.
С точки зрения наличия права постоянного или разового доступа в контролируемую зону нарушители могут подразделяться на два типа:
Руководящим документом [2] в качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ.
Нарушители в указанном РД классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ, подразделяются на четыре уровня.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
При этом в своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
9. Криптографические методы защиты информации. Основные
определения. Кодирование и шифрование. Примеры простейших
шифров.
Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.
Современная криптография включает в себя четыре крупных раздела:
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
Основные определения
10. Основные методы шифрования. Симметричные и несимметричные
криптосистемы, характеристики криптоалгоритмов.
Различают два основных метода шифрования: симметричный и асимметричный.
Симметричный метод шифрования
Рис. 1. Использование симметричного метода шифрования
Один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования данных. Разработаны весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и национальный стандарт на подобные методы - ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".
Рис.1 иллюстрирует использование симметричного шифрования. Для определенности мы будем вести речь о защите сообщений, хотя события могут развиваться не только в пространстве, но и во времени, когда зашифровываются и расшифровываются никуда не перемещающиеся файлы.
Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это создает новую проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать самостоятельно.
Ассимметричный метод шифрования
Рис. 2. Использование асимметричного метода шифрования
В асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с другими открытыми сведениями о пользователе), применяется для шифрования, другой (секретный, известный только получателю) - для расшифрования. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями.
Проиллюстрируем использование асимметричного шифрования.
Существенным недостатком асимметричных методов шифрования является их низкое быстродействие, поэтому данные методы приходится сочетать с симметричными (асимметричные методы на 3 - 4 порядка медленнее). Так, для решения задачи эффективного шифрования с передачей секретного ключа, использованного отправителем, сообщение сначала симметрично зашифровывают случайным ключом, затем этот ключ зашифровывают открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.
Рис.3 иллюстрирует эффективное шифрование, реализованное путем сочетания симметричного и асимметричного методов.
Рис.3 Эффективное шифрование сообщения
На рис.4 показано расшифрование эффективно зашифрованного сообщения.
Рис.4 Расшифрование эффективно зашифрованного сообщения
Определенное распространение получила разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифрование. Если у правоохранительных органов появляются подозрения относительно лица, использующего некоторый ключ, они могут в установленном порядке получить половинки ключа и дальше действовать обычным для симметричного расшифрования образом.
Порядок работы с составными ключами - хороший пример следования принципу разделения обязанностей. Он позволяет сочетать права на разного рода тайны (персональную, коммерческую) с возможностью эффективно следить за нарушителями закона, хотя, конечно, здесь очень много тонкостей и технического, и юридического плана.
Многие криптографические алгоритмы в качестве одного из параметров требуют псевдослучайное значение, в случае предсказуемости которого в алгоритме появляется уязвимость (подобное уязвимое место было обнаружено в некоторых вариантах Web-навигаторов). Генерация псевдослучайных последовательностей - важный аспект криптографии, на котором мы, однако, останавливаться не будем.
В настоящее время одним из наиболее популярных криптоалгоритмов с открытым ключом является криптоалгоритм RSA.
В 1978 году трое ученых (Ривест, Шамир и Адлеман) разработали систему шифрования с открытыми ключами RSA (Rivest, Shamir, Adleman), полностью отвечающую всем принципам Диффи—Хеллмана. Этот метод состоит в следующем.
1. Случайно выбираются два очень больших простых числа pnq.
2. Вычисляются два произведения n = р х q и m = (р - 1) х (q - 1).
3. Выбирается случайное целое число Е, не имеющееобщих сомножителей c m.
4. Находится D такое, что DE = 1 по модулю m.
5. Исходный текст X разбивается на блоки таким образом, чтобы 0 < Х< п.
6. Для шифрования сообщения необходимо вычислить С = Xе по модулю п.
7. Для дешифрирования вычисляется X = СD по модулю п.
Таким образом, чтобы зашифровать сообщение, необходимо знать пару чисел (E, n), а чтобы расшифровать — пару чисел (D, п). Первая пара — это открытый ключ, а вторая — закрытый.
Зная открытый ключ (E, n), можно вычислить значение закрытого ключа D. Необходимым промежуточным действием в этом преобразовании является нахождение чисел р и q, для чего нужно разложить на простые множители очень большое число я, а на это требуется очень много времени. Именно с огромной вычислительной сложностью разложения большого числа на простые множители связана высокая криптостойкость алгоритма RSA. В некоторых публикациях приводятся следующие оценки: для того чтобы найти разложение 200-значного числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду. Однако следует учесть, что в настоящее время активно ведутся работы по совершенствованию методов разложения больших чисел, поэтому в алгоритме RSA стараются применять числа длиной более 200 десятичных разрядов.
Программная реализация криптоалгоритмов типа RSA значительно сложнее и менее производительна, чем реализации классических криптоалгоритмов тина DES. Вследствие сложности реализации операций модульной арифметики криптоалгоритм RSA обычно используют только для шифрования небольших объемов информации, например для рассылки классических секретных ключей или в алгоритмах цифровой подписи, а основную часть пересылаемой информации шифруют с помощью симметричных алгоритмов.
В табл. 1 приведены некоторые сравнительные характеристики классического криптоалгоритма DES и криптоалгоритма RSA
Таблица 1. Сравнительные характеристики алгоритмов шифрования
|
Характеристика |
DES |
RSA |
|
Скорость шифрования |
Высокая |
Низкая |
|
Используемая функция шифрования |
Перестановка |
Возведение в степень |
|
Длина ключа |
56 бит |
Более 500 бит |
|
Наименее затратный криптоанализ (его сложность определяет стойкость алгоритма) |
Перебор по всему |
Разложение числа |
|
Время генерации ключа |
Миллисекунды |
Минуты |
|
Тип ключа |
Симметричный |
Асимметричный |