Защита информации

Нормативно-правовые акты в области информационной деятельности и деятельности по защите информации. Правовое обеспечение защиты гостайны. Закон "О государственной тайне". Задачи систем обеспечения безопасности информации в автоматизированных системах.

Рубрика Государство и право
Вид курс лекций
Язык русский
Дата добавления 14.11.2008
Размер файла 319,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

получить объяснения,

произвести осмотр места происшествия,

истребовать необходимые материалы,

осуществить оперативно-розыскные мероприятия.

Первоначальный этап расследования (НСД к к. и)

1. Получение объяснений от:

инженеров-программистов (разработчиков ПО, отладчиков, обслуживающего персонала)

операторов

электронщиков отдела ТО ВЦ (эксплуатация и ремонт)

системщиков

инженеров по телекоммуникационному оборудованию

специалистов по обеспечению безопасности и др.

2. Осмотр места происшествия

3. Истребование необходимых материалов

4. Оперативно-розыскные мероприятия

Последующий этап расследования

В зависимости от складывающейся следственной ситуации следователь проводит комплекс следственных действий, в число которых входит:

допрос обвиняемого (-мых)

очные ставки

назначение экспертиз

предъявление для опознания

следственный эксперимент

проверка и уточнение показаний на месте.

Лекция 5. Задачи систем обеспечения безопасности информации в автоматизированных системах

Вопросы:

1. Возможные угрозы безопасности информации и их специфика

2. Задачи систем обеспечения безопасности информации

1.

Роль информации в жизни общества чрезвычайно высока. Адекватное поведение каждого члена общества возможно только при наличии полной и достоверной информации о среде его деятельности и предмете его устремлений, при обеспечении безопасности конфиденциальной информации, находящейся в его распоряжении. Соответственно, и выполнение возложенных на АС функций возможно при соблюдении тех же условий.

Событие (или действие), которое может вызвать нарушение функционирования АС, включая искажение, уничтожение или несанкционированное использование обрабатываемой в ней информации, называется угрозой. Возможность реализации тех или иных угроз в АС зависит от наличия в ней уязвимых мест. Количество и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями АС, наличием средств защиты и их характеристик.

Рассмотрим обобщенный перечень возможных угроз, типичный для любой АС, основываясь на материалах, изложенных в [1]. Условно все возможные угрозы можно разделить на три группы в соответствии с тремя видами источников угроз (табл. 1). Угрозы первой группы независимы от людей. Они либо связаны с прямым физическим воздействием на элементы AC (ураганы, наводнения, пожары и т.п.) и недуг к нарушению работы АС' и физическому уничтожению носителей информации, средств обработки и передачи данных, обслуживающего персонала, либо оказывают электромагнитное воздействие на магнитные носители информации, электронные средства обработки и передачи данных, обслуживающий персонал и ведут к отказам и сбоям аппаратуры, искажению или уничтожению информации, ошибкам персонала.

Угрозы второй группы связаны с надежностью технических средств систем обеспечения работы АС. Сюда относятся внезапное временное прекращение работы АС, ведущее к потерям информации и управления объектами в управляющих АС, а также ненадежная работа аппаратно-программных средств, ведущая к искажению и потерям информации, нарушениям в управлении объектами.

К угрозам этой же группы относятся электромагнитные излучения, за счет которых осуществляется несанкционированный перенос информации за пределы АС, что приводит к утечке информации, и утечка информации через легальные каналы связи за счет имеющейся возможности снятия ее специальными датчиками или посредством прямого подключения.

Угрозы третьей группы связаны с наличием людей как в АС, так и вне ее.

К данной группе относятся случайные непреднамеренные действия пользователей, ошибки операторов, программистов, управленческого персонала, сотрудников архивной службы и службы безопасности, которые ведут к искажению или уничтожению информации, нарушению выполнения АС своих функций, ошибкам в работе программ и средствах управления безопасностью АС

Таблица I

Источники

возможных

угроз

Природные

Технические

Созданные людьми

Стихийные бедствия

Магнитные бури

1.3 Радиоактивное излучение и осадки и т.п.

Отключения или колебания электропитания и других средств обеспечения

Отказы и сбои аппаратно-программных средств

2.3 Электромагнитные излучения и наводки

2.4 Утечки через каналы связи (оптические, электрические, звуковые) и т. н.

Непреднамеренные действия

обслуживающего персонала

управленческого персонала

программистов

пользователей АС

архивной службы

службы безопасности

Преднамеренные действия:

обслуживающего персонала

управленческого персонала

программистов

пользователей АС

архивной службы

службы безопасности

несанкционированных

пользователей (военная

разведка, коммерческий

шпионаж, диверсии

Угрозы третьей группы связаны и с преднамеренными действиями людей, направленными на нанесение ущерба АС, получение личных привилегий и доходов. Данная группа угроз является наиболее многочисленной. Возможны:

маскировка под законного пользователя;

распечатка или вывод на экран большого числа файлов с целью обеспечения утечки информации;

проникновение в систему управления безопасностью с целью изменения ее характеристик;

организация отказа для пользователей в использовании ресурсов;

передача информации неверному абоненту;

злонамеренное разрушение ресурсов АС;

ввод ложных данных;

незаконное копирование или кража носителей информации, перехват чужих сообщении;

порождение правдоподобных сообщений или модификация передаваемых сообщений;

забастовки, саботаж;

клевета, мистификация угроз, шантаж;

искажение программ, внедрение вирусов "троянских коней" и т.п. (данный вид угроз может относиться к группам 3.1 и 3.2 в связи с тем, что такого типа программы могут разрабатываться в самых различных целях, в том числе и специально разработанные "боевые вирусы" для выведения из строя военных объектов, однако, указанные про1раммы могут быть внесены пользователем или персоналом АС не преднамеренно);

установка разведывательной аппаратуры.

2. Задачи систем обеспечения безопасности информации

Из приведенного перечня угроз для безопасности информации следует, что АС имеет ряд особенностей, позволяющих бесконтрольно манипулировать информацией как персоналу АС, так и посторонним лицам, а также скрытно получать доступ к обрабатываемой информации на значительном расстоянии от СВТ. Поэтому конфиденциальная информация АС без средств защиты может быть достаточно легко скомпрометирована, что вызовет значительные политические, экономические, моральные и другие потери для собственника (владельца) такой информации. В связи с этим принятие решения о вводе конфиденциальной информации в АС необходимо проводить с учетом определенного риска, который может быть значительно уменьшен или практически исключен с использованием соответствующих средств и мер защиты.

Применительно к АС наиболее опасными действиями по отношению к защищаемой информации являются:

утрата информации - неосторожные действия владельца информации, представленной в АС на различных носителях и в файлах, или лица, которому была доверена информация в силу его официальных (производственных) обязанностей в рамках АС, в результате которых информация была потеряна и стала (либо могла стать) достоянием посторонних лиц;

раскрытие информации - умышленные или неосторожные действия, в результате которых содержание информации, представленной на различных носителях и в файлах, стало известным или доступным для посторонних лиц;

порча информации - умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах;

кража информации - умышленные действия, направленные на несанкционированное изъятие информации из системы ее обработки как посредством кражи носителей информации, так и посредством дублирования (копирования) информации, представленной в виде файлов АС;

подделка информации - умышленные или неосторожные действия, в результате которых нарушается целостность (точность, достоверность, полнота) информации, находящейся на различных носителях и в файлах АС:

блокирование информации - умышленные или неосторожные действия, приводящие к недоступности информации в системе ее обработки;

нарушение работы системы обработки информации - умышленные или неосторожные действия, приводящие к частичному или полному отказу системы обработки или создающие благоприятные условия для выполнения вышеперечисленных действий.

Данные события могут реализовываться в АС посредством следующих действий:

незаконным физическим проникновением посторонних лиц в помещения, в которых располагаются средства автоматизированной обработки (ЭВМ, терминалы, хранилища, архивы);

несанкционированным (незаконным) логическим проникновением (входом) в АС посторонних лиц под видом законного пользователя посредством подбора (кражи) пароля или обхода механизма контроля входа в систему (при его наличии);

загрузкой посторонней операционной системы (ОС) или программ без средств контроля доступа в ЭВМ АС;

обследованием (считыванием) освобожденных областей оперативной и внешней памяти, ранее содержавших конфиденциальную информацию и информацию по разграничению доступа (пароли, ключи, коды, матрицы доступа и т.п.), а также отработанных носителей АС (печатных, графических документов);

получением привилегированного статуса для взятия полного контроля над АС посредством изменения системных таблиц ОС и регистров;

изменением установленного статуса объектов защиты АС (кодов защиты, паролей, матрицы доступа);

модификацией прикладных и системных программных средств АС с целью обхода (отключения) механизма контроля доступа или выполнения несанкционированных действий в АС;

введением и использованием в АС "вредоносных" программных средств для манипулирования или блокирования работы АС;

перехватом побочных (нежелательных, но имеющих место в силу физических особенностей средств обработки информации) электромагнитных, акустических к других излучений от средств автоматизированной обработки, несущих конфиденциальную информацию как через традиционный "эфир", так и с использованием наводок таких излучений на вспомогательные технические средства (ВТС), непосредственно не участвующие в обработке информации (сети питания, телефонные линии, отопления, канализации и т.п.);

использованием электроакустического воздействия речи персонала АС на СВТ и ВТС для перехвата речевой информации, содержащей коммерческую тайну, по соответствующему излучению модулированных сигналов от этих средств;

перехватом информационных сигналов в линиях и каналах связи средств автоматизированной обработки посредством незаконного к ним подключения; включением специальных устройств в СВТ, позволяющих несанкционированно получать обрабатываемую в АС информацию, ретранслировать ее с помощью передатчиков, блокировать работу СВТ, уничтожать информацию на различных носителях и сами СВТ.

С учетом перечисленных угроз защита конфиденциальной информации в АС строится в виде двух относительно самостоятельных в техническом плане частей, решающих задачи защиты информации от:

несанкционированного получения, искажения, уничтожения или блокирования со стороны лиц, имеющих доступ к АС (защита от несанкционированного доступа - НСД);

получения ее посторонними лицами с помощью технических средств перехвата побочных электромагнитных излучений (ПЭМИН) и наводок от СВТ, средств и систем связи (защита от ПЭМИН).

Защита информации в АС в общем случае обеспечивается СЗИ, представляющими собой комплекс процедурных (организационных), программных, технических и криптографических методов и средств защиты.

Основными методами защиты информации в АС являются:

1. Физическая охрана СВТ (устройств и носителей информации), предусматривающая наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и/или специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС.

2. Использование СВТ в специально защищенном от ПЭМИН и НСД исполнении.

3. Идентификация и проверка подлинности (аутентификация) пользователей и других ресурсов АС (программно-аппаратных средств).

4. Персональный допуск пользователей к работе в АС и ее ресурсам, включая взаимодействие с другими ресурсами АС.

5. Надзор за деятельностью пользователей в АС, регистрация и учет их действий и в первую очередь - несанкционированных.

6. Проверка целостности (отсутствия вредных изменений) ресурсов АС, включая СЗИ.

7. Использование криптографических СЗИ, находящейся в оперативной и внешней памяти ЭВМ и на различных носителях, а также передаваемой по линиям связи.

8. Применение методов защиты от копирования файлов АС.

9. Периодическое и динамическое тестирование и контроль работоспособности СЗИ, их оперативное восстановление.

10. Проведение специальных исследований и контроль СВТ с целью исключения непредусмотренных включений и добавок.

11. Снижение (исключение) побочных электромагнитных излучений от СВТ.

12. Снижение (исключение) наводок побочных электромагнитных излучений от СВТ на ВТС.

13. Снижение (исключение) информативности сигналов побочных электромагнитных излучений и наводок с использованием систем активной защиты (генераторов шума).

Принципы защиты информации

При создании программно-аппаратных СЗИ разработчики руководствуются основными принципами, установленными действующими государственными законами и нормативными документами по безопасности информации, сохранению государственной тайны и обеспечению режима секретности работ, проводимых в автоматизированных системах.

Принцип обоснованности доступа.

Заключается в обязательном выполнении двух основных условий для предоставления доступа исполнителю (пользователю) к информации АС:

исполнитель (пользователь) должен иметь достаточную "форму допуска" для доступа к информации данного уровня конфиденциальности - грифа секретности (мандатное условие);

исполнителю (пользователю) необходим доступ к данной информации для выполнения его производственных функций (традиционное условие).

Эти условия рассматриваются, как правило, в рамках разрешительной системы доступа, в которой устанавливается: кто, кому, конца, какую информацию и для какого вида доступа может предоставить и при каких условиях.

Поскольку понятия "пользователь" и "информация" недостаточно формализованы в автоматизированных системах, то в целях автоматизации данных правил используются соответствующие им понятия в среде ЭВМ в виде активных программ и процессов для представления пользователей, носителей информации различной степени укрупненности для представления самой информации в виде сетей и подсетей ЭВМ, узлов сети (ЭВМ), внешних устройств ЭВМ (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), томов, разделов и подразделов томов, файлов, записей, полей записей, оперативной памяти ЭВМ, разделов и подразделов оперативной памяти ЭВМ, буферов в оперативной памяти ЭВМ и т.д.

Тогда разрешительная система доступа предполагает определение для всех пользователей соответствующей программно-аппаратной среды или информационных и программных ресурсов (узлов сети, ЭВМ, внешних устройств ЭВМ, томов, файлов, записей, программ, процессов и т.п.), которые будут им доступны для конкретных операций (чтение, запись, модификация, удаление, выполнение и т.п.) с помощью заданных программно-аппаратных средств доступа (прикладных программ, утилит, процессов, пакетов прикладных программ, команд, задач, заданий, терминалов, ЭВМ, узлов сети и т.п.).

Правила распределения указанной среды между пользователями должны быть строго определены (формализованы) и соответствовать целям защиты информации с учетом действующих требований по обеспечению безопасности (режима секретности) и разрешительной системы доступа. Такие правила целесообразно представлять в виде математической модели, учитывающей динамику взаимодействия ресурсов в системе.

Принцип достаточной глубины контроля доступа.

Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов автоматизированной системы, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями. При создании типовых средств защиты такие механизмы должны охватывать все возможные виды ресурсов, различаемые программно-аппаратными средствами системы, так как глубина детализации контролируемых ресурсов определяется спецификой конкретной автоматизированной системы.

Принцип разграничения потоков информации.

Для предупреждения нарушений безопасности информации, например при записи секретной информации на несекретные носители (тома, распечатки) и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также передачи секретной информации по незащищенным каналам и линиям связи необходимо осуществлять соответствующее разграничение потоков информации.

Для проведения такого разграничения все ресурсы, содержащие конфиденциальную информацию (сети ЭВМ, ЭВМ, внешние устройства, тома, файлы, разделы ОП и т.п.), должны иметь соответствующие метки, отражающие уровень конфиденциальности (гриф секретности) содержащейся в них информации.

Принцип чистоты повторно используемых ресурсов.

Заключается в очистке (обнулении, исключении информативности) ресурсов, содержащих конфиденциальную информацию (разделов ОП, файлов, буферов и т.п.), при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

Принцип персональной ответственности.

Заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты, т.е. какие-либо случайные или умышленные действия, которые приводят или направлены на несанкционированное ознакомление с конфиденциальной информацией, ее искажение или уничтожение, или делают такую информацию недоступной для законных пользователей. Для проведения данного принципа необходимо выполнение следующих требований:

индивидуальная идентификация пользователей и инициированных ими процессов (выполняющихся программ, задач, заданий и т.п.), т.е. установление и закрепление за каждым пользователем и его процессом уникального идентификатора (метки), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа (правилами предоставления доступа). В связи с этим такие идентификаторы и метки должны содержать сведения о форме допуска пользователя и его прикладной области (производственной деятельности);

проверка подлинности пользователей и их процессов по предъявленному идентификатору или метке (аутентификация);

регистрация (протоколирование) работы механизмов контроля доступа к ресурсам системы с указанием даты и времени, идентификаторов запрашивающего и запрашиваемого ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа.

Принцип целостности средств защиты.

В автоматизированной системе необходимо обеспечивать целостность средств защиты информации, т.е. такие средства должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе. С этой целью построение комплекса средств защиты должно проводится в рамках отдельного монитора обращений, контролирующего любые запросы к данным или программам со стороны пользователей (или их программ) по установленным для них видам доступа к этим данным и программам. При этом "монитор обращений" контролирует взаимодействие ресурсов в программно-аппаратной среде, используя матрицу доступа в соответствии с разрешительной системой доступа. Схематично такой монитор представляется в виде, показанном на рис.1.

Рис.1. Структура монитора обращений

При проектировании монитора должны учитываться следующие требования к механизмам контроля:

они должны быть защищены от постороннего вмешательства в их работу, включая их несанкционированную модификацию и подмену;

должны всегда присутствовать и работать надлежащим образом;

должны быть достаточно малыми по своему размеру для проведения их анализа и тестирования в целях проверки их полноты и точности.

Практическое создание СЗИ, удовлетворяющих перечисленным принципам, осуществляется в рамках управляющих программ ОС ЭВМ, а также в рамках программных средств, расширяющих возможности ОС (СУБД, сетевых пакетов и пакетов телеобработки) в случае их применения.

В настоящее время создан широкий спектр ОС, включающих разнообразные СЗИ от несанкционированного доступа. Такие защищенные ОС различаются по своему функциональному составу, надежности в обеспечении своей целостности (стойкости) и производительности.

Конкретная реализация средств защиты с учетом указанных принципов определяется составом программно-аппаратных средств конкретной автоматизированной системы, полномочиями пользователей на доступ к информации в системе, режимом обработки информации.

Лекция 6. Построение систем защиты информации от НСД

Вопросы:

Классические модели защиты информации

Синтез структуры системы защиты информации

Проектирование систем защиты предполагает разработку модели защиты и перенесение ее на конкретную структуру программных средств, ОС, системы управления базами данных или на автоматизированную систему в целом. Модель защиты представляет собой описание, формализованное или нет, правил взаимодействия ресурсов в программно-аппаратной среде АС. Под информационно-программным ресурсом будем в дальнейшем понимать объект доступа в АС: узел сети, ЭВМ, внешние устройства ЭВМ, том, файл, запись, программу, процесс и т.п., под пользователем - субъект доступа: прикладную программу, пакет прикладных программ (ППП), процесс, команду, задачу, задание, терминал, ЭВМ, узел сети и т.п.

Модели защиты позволяют сконцентрировать основное внимание на наиболее важных аспектах проблемы защиты информации, отбрасывая из рассмотрения технические детали системы. Использование теоретических или формальных моделей позволяет сравнивать различные системы на общей основе.

Модели защиты информации исторически возникли из работ по. теории защиты ОС. Первая попытка использования модели защиты была предпринята при разработке защищенной ОС ADEPT-50 по заказу МО США. Эта модель состоит из множества объектов защиты: пользователи, задания, терминалы и файлы, которым задаются такие характеристики, как уровень конфиденциальности, категория прикладной области (из дискретного набора рубрик, описывающих прикладную область), полномочия и режим (вид) доступа. Поведение модели описывается следующими простыми правилами [1]:

а) пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей;

б) пользователю разрешается доступ к терминалу, если он входит в подмножество пользователей, закрепленных за данным терминалом:

в) пользователю разрешен доступ к файлу, если:

уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла:

прикладная область файла включается в прикладную область задания пользователя;

режим доступа задания пользователя включает режим доступа к файлу; - пользователь входит в подмножество допущенных к файлу пользователей.

Характеристики безопасности объекта получаются на основе прав задания, а не прав пользователя, и используются в модели для управления доступом, что обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов.

В модели Хартсона в качестве основных характеристик используются множества так называемого пятимерного "пространства безопасности" [1):

установленных полномочии;

пользователей;

операции;

ресурсов;

состояний.

Область безопасных состояний системы представляется в виде декартова произведения перечисленных множеств. Каждый запрос на доступ представляется подпространством четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.

В модели безопасности с "полным перекрытием" [1] предусматривается по крайней мере одно средство защиты для обеспечения безопасности на каждом возможном пути проникновения в систему или нарушения защиты охраняемых объектов. Модель имеет более простой вид за счет удаления из рассмотрения "области пользователя" и "внешних ограничений". В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения с точки зрения их эффективности и их вклад в обеспечение безопасности во всей автоматизированной системе.

Одна из первых фундаментальных моделей защиты была разработана Лэмпсоном (Lampson) и затем усовершенствована Грэхемом (Graham) и Деннингом (Denning) [2].

Основу их модели составляет правило доступа, которое определяет возможный вид доступа субъекта доступа по отношению к объекту доступа. В контексте ОС объектами доступа могут являться страницы оперативной памяти, программы, устройства внешней памяти ЭВМ и файлы. Субъектами обычно являются пары вида "процесс-домен". Процесс представляет собой активную выполняющуюся программу, а домен - окружение, в котором выполняется процесс.

Примерами доменов в системе IBM System/370 являются состояния процессора, супервизора или прикладной программы. Видами доступа могут быть: выполнение, выделение (памяти), чтение, запись. Множество всех возможных правил доступа можно представить в виде матрицы (таблицы) доступа А, в которой столбцы Oi, 02,..., Оn представляют объекты доступа, а строки S1, S2,..., Sn представляют субъекты доступа. Элемент таблицы A [Si,Oj] содержит список видов доступа t1, Т2,..., Тk который определяет привилегии субъекта S, по отношению к объекту Оj,-

Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом, часто именуемым монитором. Следовательно, когда субъект S, инициирует доступ вида Тk к объекту 0j, монитор проверяет наличие Tk в элементе матрицы A [Si,Oj]. Так как во время выполнения программы возможна передача управления от одного процесса к другое, то правила доступа должны динамически изменяться таким образом, чтобы права доступа одного субъекта могли бы передаваться другому. Права доступа в матрице помечаются, если разрешена их передача (копирование). Субъекту, не находящемуся в процессе отладки, можно запретить произвольно передавать свои права. Ценность такого подхода состоит в ограничении воздействия ошибок. Ошибки в этом случае не могут бесконтрольно распространяться по всей системе. Поэтому увеличивается надежность (так как другие части системы в большинстве случаев могут продолжать свою работу безошибочно) и упрощается отладка. В такой модели безопасность всех объектов системы рассматривается единообразно. Однако при рассмотрении вопросов безопасности баз данных (БД) такая модель описывает безопасность только части объектов системы, а именно безопасность операционных систем. Безопасность БД предполагает включение в матрицу доступа не только страниц памяти, внешних устройств и файлов, но также и объектов, присущих самим системам управления БД, таких, как записи и поля записей. Поэтому модель может быть расширена для исследования всех аспектов безопасности в автоматизированной системе. Однако существует несколько принципиальных отличий между безопасностью операционной системы и безопасностью БД. Они заключаются в следующем:

в БД большее число защищаемых объектов;

безопасность БД связана с большим числом уровней укрупненности данных, таких, как файлы, записи, поля записей и значения полей записей;

операционные системы связаны с защитой физических ресурсов, а в БД объекты могут представлять собой сложные логические структуры, определенное множество которых может отображаться на одни и те же физические объекты данных;

возможно существование различных требований по безопасности для разных уровней рассмотрения - внутреннего, концептуального и внешнего для БД и ОС;

безопасность БД связана с семантикой данных, а не с их физическими характеристиками.

Единая модель защиты ОС и БД значительно усложняет рассмотрение вопросов безопасности. Поэтому разработаны специальные модели защиты БД. Одним из примеров моделей защиты БД является модель Фернандеза (Fernandez), Саммерса (Summers) и Колмана (Coleman) [3].

Данные модели защиты относятся к классу матричных и получили наибольшее распространение вследствие того, что они служат не только для целей анализа логического функционирования системы, но и успешно поддаются реализации в конкретных программных системах. Так как программы выступают в правилах доступа в качестве субъектов, то они могут при необходимости расширять права конкретных пользователей. Например, программа может иметь права на сортировку файла, чтение которого пользователю запрещено, б модели Хартсона (Hartson) и Сяо (Hsiao) [1] каждое правило может иметь расширение, которое определяет права программ. В других случаях может потребоваться сужение прав пользователей правами используемых ими программ. В то же время программы могут выступать в качестве объектов доступа, типичными операциями для которых являются исполнение (Execute) и использование (Use).

Другим видом моделей являются многоуровневые модели. Они отличаются от матричных моделей по нескольким аспектам. Во-первых, они рассматривают управление доступом не в рамках задаваемых неким администратором прав пользователям, а в рамках представления всей системы таким образом, чтобы данные одной категории или области не были доступны пользователям другой категории. Первый вид управления получил название дискреционного (discretionary) контроля доступа, а второй - недискреционного (nondiscretionary), хотя возможны и сочетания видов управления доступом. Например, администратор может установить дискреционные правила доступа для персонала внутри подразделения и недискреционные правила доступа для исключения доступа к данным подразделения со стороны сотрудников из другого подразделения. Ценность недискреционных моделей управления доступом состоит в возможности проведения формального заключения об их безопасности, в то время как для дискреционных моделей в общем случае теоретически невозможно установить, являются ли они безопасными (основная теорема Харрисона) [1].

Во-вторых, многоуровневые модели рассматривают не только сам факт доступа к информации, но также и потоки информации внутри системы. Подобно дискреционным (матричным) моделям, многоуровневые модели также были разработаны для рассмотрения аспектов безопасности операционных систем и в дальнейшем были распространены на безопасность БД.

Наибольшее распространение получила многоуровневая модель защиты, разработанная Бэллом и Ла Падулом (Bell, La Padula) в фирме Mitre Corp. [4,5]. В этой модели вводятся понятия уровня и категории. Каждому субъекту приписывается уровень допуска (форма допуска), а каждому объекту - уровень конфиденциальности (гриф секретности). В военной области известны такие уровни под грифами "сов. секретно", "секретно", "конфиденциально" (для служебного пользования) и "несекретно". Субъект обычно представляет процесс, выполняющийся по запросу пользователя и имеющий тот же уровень допуска, что и пользователь. Объектами могут быть области памяти, переменные программ, файлы, устройства ввода-вывода, пользователи и другие элементы системы, содержащие информацию. Каждому субъекту и объекту приписывается также множество категорий в виде прикладных областей, например "Ядерное вооружение" или "НАТО". Тогда уровень безопасности представляется в виде сочетания: уровень конфиденциальности, множество категорий.

Один уровень безопасности доминирует над другим тогда и только тогда, когда его уровень конфиденциальности или уровень допуска больше или равен второму, и его множество категорий включает соответствующее множество второго. Уровни допуска и конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично, так что некоторые субъекты и объекты могут быть несравнимы. Например, на рис.2 уровень безопасности LI доминирует над уровнем L3, так как его уровень классификации выше и его множество категорий включает множество категорий уровня L3. С другой стороны, уровни безопасности LI и L2 являются несравнимыми.

Рис.2. Взаимодействие уровней безопасности

Доступ к объекту может рассматриваться либо как чтение (получение из него информации), либо как изменение (запись в него информации). Тогда виды доступа

определяются любыми возможными сочетаниями таких операций, т.е.:

ни чтение, ни изменение;

только чтение;

только изменение;

чтение и изменение.

Модель рассматривает состояния системы безопасности, которые определяются:

текущим множеством доступов, представляемых в виде триад (субъект, объект, вид доступа);

матрицей доступа;

уровнем безопасности каждого объекта;

максимальным и текущим уровнями безопасности каждого субъекта.

Любой запрос вызывает изменение состояния системы. Запросы могут быть: на доступ к объектам, на изменение уровня безопасности или матрицы доступа, на создание или удаление объектов. Реакция системы на запросы называется решением. При данном запросе и текущем состоянии решение и новое состояние определяются правилами. (Здесь правила рассматриваются не как правила доступа в дискретной модели, а как правила оценки) Эти правила поведения системы предписывают, как будет обрабатываться каждый вид запроса. Доказательство безопасности системы включает доказательство того, что каждое правило выполняется безопасным образом. Тогда, если состояние системы безопасно, то любой новый запрос вызывает переход системы в новое безопасное состояние.

Безопасное состояние определяется двумя свойствами: простым условием безопасности и условием безопасности (*) (звездочка), которое называют также ограничительным. Простое условие безопасности заключается в том, что для каждого текущего доступа (субъект, объект, вид доступа), связанного с чтением объекта, уровень безопасности субъекта должен доминировать над уровнем безопасности объекта. Иначе такое условие можно сформулировать как "запрет чтения из более высоких уровней". Простое условие не исключает рассмотрение безопасности при сочетании безопасных доступов.

Для случая, когда субъект-нарушитель может прочитать информацию из "сов. секретного" объекта и записал" его в "конфиденциальный" объект, предусматривается условие - (*). Оно предотвращает потоки информации из объектов более высокого уровня в объекты низкого уровня. Это условие определяется следующим образом:

если запрос на чтение, то уровень субъекта должен доминировать над уровнем объекта;

если запрос на изменение, то уровень объекта должен доминировать над текущим уровнем субъекта;

если запрос на чтение-запись, то уровень объекта должен быть равен текущему уровню субъекта.

Простое условие безопасности и условие - * представляют модель безопасности, в которой доступ рассматривается по отношению к уровням

субъекта и объекта. В дискретной же модели безопасность обеспечивается, если каждый текущий доступ разрешен в рамках текущей матрицы доступа.

Деннинг рассмотрел потоки информации в многоуровневой модели в более общем виде. Понятия уровней конфиденциальности и категорий он соединил в одно понятие классов безопасности и ввел переменную "оператор соединения классов" вместо ранее введенной постоянной.

Модель потоков информации, описывающая конкретную систему, определяется пятью компонентами: множеством объектов, множеством процессов, множеством классов безопасности, оператором соединения классов и потоковым отношением. Оператор соединения классов определяет класс результата любой операции. Например, если мы соединим два объекта а и b классов А и В соответственно, то класс результата представляется как А+В. Потоковое отношение между двумя классами, например в направлении от А к В означает, что информация класса А может быть записана (передана) в класс В. Потоковая модель является безопасной, если потоковое отношение не может быть нарушено.

Подводя итог рассмотрению двух классов моделей: матричных и потоковых, отметим, что преимущество матричных моделей состоит в легкости представления широкого спектра правил безопасности информации. Например, правила доступа, зависящие от вида доступа (операции) и объекта доступа (файла), достаточно просто представляются в рамках матричных моделей. Основной недостаток матричных моделей состоит в отсутствии контроля за потоками информации. Основным недостатком моделей управления потоками информации является невозможность управления доступом к конкретным объектам на индивидуальной основе субъектов. Следовательно, оба подхода включают различные компромиссы между эффективностью, гибкостью и безопасностью. Очевидно, что оптимальные решения вопросов безопасности могут вырабатываться при применении обоих видов моделей защиты.

Синтез структуры системы защиты информации

Выбор структуры СЗИ и методов защиты осуществляется в процессе создания АС на основании предварительного аналитического и технического обследования объекта автоматизации с учетом государственных нормативных и руководящих документов по зайдите информации от ПЭМИН и НСД.

При обработке или хранении в АС информации в рамках СЗИ рекомендуется реализация следующих организационных мероприятий:

выявление конфиденциальной информации и ее документальное оформление в вице перечня сведений, подлежащих защите;

определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;

установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;

ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;

получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;

обеспечение охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи АС;

организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;

разработка или модификация СЗИ, включая соответствующую организационно-распорядительную и эксплуатационную документацию:

осуществление приемки СЗИ в составе АС и ее аттестация.

Создание СЗИ рекомендуется проводить поэтапно.

1. Проведение аналитического обследования АС. Осуществляется с целью оценки возможной уязвимости обрабатываемой в ней конфиденциальной информации и выработки необходимых требований по ее защите.

2. Проектирование СЗИ. В процессе проектирования СЗИ на основании установленных требований по защите информации от НСД и ПЭМИН с учетом условий работы АС и заданных собственником (владельцем) информации ограничений на финансовые, материальные, трудовые и другие ресурсы осуществляется выбор или/и разработка конкретных методов и средств защиты. Результатом данного этапа является законченный комплекс сертифицированных средств и методов защиты информации, имеющий соответствующую необходимую проектную и эксплуатационную документацию.

3. Приемка СЗИ в эксплуатацию. На данном этапе осуществляется внедрение (установка) средств и методов СЗИ в АС, их комплексная проверка и тестирование, необходимое обучение и освоение персоналом АС СЗИ. Устраняются выявленные в процессе проверки и тестирования недостатки СЗИ. Результатом этого этапа является общая аттестация СЗИ АС.

4. Эксплуатация СЗИ АС. В процессе эксплуатации АС проводится регулярный контроль эффективности СЗИ, при необходимости осуществляется доработка СЗИ в условиях изменения состава программно-аппаратных средств, оперативной обстановки и окружения АС. Контролируются и анализируются все изменения состава АС и СЗИ перед их реализацией. Отклоняются все модификации АС, снижающие установленную эффективность защиты информации. Периодически проводится контроль СЗИ АС на соответствие нормативно-техническим требованиям и в целях проверки работоспособности средств защиты.

При проектировании систем защиты информации от несанкционированного доступа в автоматизированных системах наибольшее затруднение у разработчиков вызывает необходимый функциональный состав СЗИ, определяющий трудоемкость разработки и затраты на защиту при достаточном уровне защищенности АС.

Одним из возможных методов ориентации разработчиков на создание необходимых средств защиты являются классификация АС в зависимости от определяющих с точки зрения безопасности параметров режима их функционирования. При этом для каждого класса АС устанавливается обязательный функциональный состав средств, который определяет достаточный уровень защиты информации. К параметрам, определяющим класс АС, относятся:

наличие в АС информации различного грифа секретности;

уровень полномочии пользователей АС на доступ к секретной информации;

режим обработки данных в АС: коллективный или индивидуальным.

В нормативном документе [6] устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности, и содержит два класса - ЗБ и ЗА.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности, и содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС, и содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицами 1, 2 (см. приложение).

Организационные мероприятия в рамках СЗИ НСД в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечая государственным требованиям по обеспечению режима секретности проводимых работ.

При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются аналогичные организационные мероприятия. Отличие заключается только в последнем мероприятии: осуществлении приемки СЗИ НСД в составе АС.

При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться на классы защищенности АС не ниже (по группам) ЗА, 2А, 1А, 1Б, 1С и использовать сертифицированные СВТ в соответствии с нормативным документом [6]: не ниже 4-го класса для класса защищенности АС 1В; не ниже 3-го класса для класса защищенности АС 1 Б; не ниже 2-го класса для класса защищенности АС 1 А. Практическое создание СЗИ, удовлетворяющих перечисленным требованиям, осуществляется в рамках аппаратных средств и управляющих программ ОС ЭВМ (ПЭВМ), а также в рамках программных средств, расширяющих возможности ОС (СУБД, сетевых пакетов и пакетов телеобработки) в случае их применения.

3. Обобщенная структура системы защиты информации

Защита информации от НСД является составной частью обшей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники от ПЭМИН.

Комплекс программно-аппаратных средств и организационных (процедурных) решении по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), состоящей из четырех подсистем:

управления доступом;

регистрации и учета;

криптографической;

обеспечения целостности.

Подсистема управления доступом включает средства идентификации, проверки подлинности (аутентификации) и контроль доступа пользователей и их программ (процессов) к ресурсам:

системе;

терминалам;

ЭВМ (ПЭВМ),) типам сети ЭВМ (ПЭВМ);

каналам связи;

внешним устройствам ЭВМ (ПЭВМ);

программам;

томам, каталогам, файлам, записям, полям записей.

Элементы идентификации, проверки подлинности и контроля доступа к ресурсам реализуются при их наличии в АС и в случае отсутствия полномочий на доступ к ним у некоторых пользователей. Контроль доступа субъектов к защищаемым ресурсам осуществляется в соответствии с матрицей доступа.

Помимо средств контроля доступа данная подсистема при наличии нескольких уровней конфиденциальности информации должна включать средства управления потоками информации, т.е. контроля передачи информации между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление потоками информации осуществляется с помощью меток конфиденциальности. При записи информации на какой-либо носитель необходимо, чтобы уровень конфиденциальности защищаемо объектов (носителей) был не ниже уровня конфиденциальности записываемой на них информации.

Подсистема регистрации и учета включает средства регистрации и учета событий и/или ресурсов с указанием времени и инициатора:

входа/выхода пользователей в/из системы (узла сети);

выдачи печатных (графических) выходных документов;

запуска/завершения программ и процессов (заданий, задач), использующих защищаемые файлы;

доступа программ пользователей к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;

доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ, каналам и линиям связи, внешним устройствам ЭВМ, программам, томам, каталогам;

изменения полномочий субъектов доступа;

создаваемых объектов доступа;

учет носителей информации.

Регистрация проводится с помощью средств автоматического ведения журнала (системного) и выдачи из него протоколов работы пользователей по выбранным регистрируемым параметрам.

Кроме этого, данная подсистема включает средства очистки (обнуления, обезличивания) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации.

Криптографическая подсистема предусматривает шифрование конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, а также на съемные носители данных (ленты, диски, дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа, а также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется посредством подсистемы управления доступом.

Криптографическая подсистема реализуется в виде:

программно-аппаратных или программных средств, разрабатываемых (используемых) на основе "Алгоритма криптографического преобразования" (ГОСТ 28147-89), криптосхемы, реализующей данный алгоритм, или других аттестованных средств, предназначенных для шифрования/дешифрования с целью снятия грифа секретности информации, записываемой на внешних запоминающих устройствах ЭВМ (накопителях) или передаваемой по линиям связи;

других криптографических средств для шифрования/дешифрования информации, включая служебную информацию СЗИ НСД (ключи, пароли, таблицы санкционирования и т.п.).

Уровень реализации функций СЗИ от НСД должен обеспечивать ее целостность для всех режимов работы АС в соответствии с принципом целостности средств защиты.

Подсистема обеспечения целостности СЗИ НСД является обязательной для любой СЗИ и включает организационные, программно-аппаратные и другие средства и методы, обеспечивающие:

физическую охрану СВТ (устройств и носителей информации), территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, строгий пропускной режим, специальное оборудование помещений АС;

недоступность средств управления доступом, учета и контроля со стороны пользователей с целью их модификации, блокирования или отключения;

контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения;

периодическое и/или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств;

наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД;

восстановление СЗИ НСД при отказе и сбое;

применение сертифицированных (аттестованных) средств и методов зашиты, сертификация которых проводится специальными сертификационными и испытательными центрами.

4. Методы идентификации и аутентификации

Для осуществления одного из основных принципов защиты информации - принципа персональной ответственности, помимо законодательных, этических и моральных норм необходимы соответствующие административные (процедурные) мероприятия и технические средства. Такие мероприятия должны быть направлены в первую очередь на идентификацию и аутентификацию пользователей автоматизированной системы.

Идентификация пользователей заключается в установлении и закреплении за каждым пользователем автоматизированной системы уникального идентификатора в виде номера, шифра, кода и т.п. Это связано с тем, что традиционный идентификатор вида фамилия-имя-отчество не всегда приемлем для применения в системе. Так, в США широко применяются в различных автоматизированных системах персональный идентификационный номер (PIN - Personal Identification Number), социальный безопасный номер (SSN - Social Security Number), личный номер, код безопасности и т.д. [8]. Такие идентификаторы используются при построении различных систем разграничения доступа и защиты информации. Идентификаторы пользователя являются аналогом подписи или факсимильной печати традиционных документальных систем.


Подобные документы

  • Особенности правовой защиты информации как ресурса. Основные требования информационной безопасности и структура правовых актов. Сущность специального законодательства в области безопасности информационной деятельности, положения Федерального закона.

    реферат [141,0 K], добавлен 24.03.2011

  • Основные способы несанкционированного доступа к информации в компьютерных системах и защиты от него. Международные и отечественные организационные, правовые и нормативные акты обеспечения информационной безопасности процессов переработки информации.

    реферат [28,4 K], добавлен 09.04.2015

  • Необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания. Требования информационной безопасности. Органы защиты государственной тайны. Допуск должностных лиц и граждан к государственной тайне.

    реферат [15,9 K], добавлен 23.04.2011

  • Нормативно-правовое обеспечение информационной безопасности в РФ. Правовой режим информации. Органы, обеспечивающие информационную безопасность РФ. Службы, организующие защиту информации на уровне предприятия. Стандарты информационной безопасности.

    презентация [377,5 K], добавлен 19.01.2014

  • Государственная политика в области информационной безопасности. Правовой режим информации, ее распространение и предоставление. Основные меры по недопущению эксплуатации государственных информационных систем без реализации мер по защите информации.

    реферат [19,6 K], добавлен 08.12.2013

  • Ответственность за нарушение условий договора. Роль и место судебной власти в РФ; органы, функции. Юридические факты в механизме правового регулирования, их классификация. Законодательные нормативно-правовые акты в области защиты информации и гостайны.

    контрольная работа [27,3 K], добавлен 02.01.2012

  • Определение конфиденциальной информации и её основные виды. Федеральный закон "Об информации, информатизации и защите информации". Понятие коммерческой и государственной тайны. Законодательное обеспечение и инструменты контроля за сохранением тайны.

    эссе [14,1 K], добавлен 21.09.2012

  • Информация, как важнейшая часть современной коммуникативной системы. Правовое регулирование в области безопасности информации. Нормативно-правовые документы, регулирующие защиту информации. Организационно-правовые формы защиты государственной тайны.

    контрольная работа [20,4 K], добавлен 03.11.2009

  • Защита от угрозы нарушения конфиденциальности на уровне содержания и от нарушения целостности информации, разновидность угроз. Доступность и целостность информации. Уязвимость, атаки и её последствия. Обеспечение информационной безопасности.

    контрольная работа [206,0 K], добавлен 12.03.2011

  • Средства и методы решения различных задач по защите информации, предупреждения утечки, обеспечения безопасности защищаемой информации. Технические (аппаратные), программные, организационные, смешанные аппаратно-программные средства информационной защиты.

    реферат [22,2 K], добавлен 22.05.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.