Служба защиты информации в локальной сети - это совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Основными службами защиты информации при использовании PLC сетей являются следующие (См.7):

Служба идентификации и установления подлинности - является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.

Служба управления доступом - является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.

Служба конфиденциальности данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.

Служба целостности данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не изменены неправомочными лицами.

Служба контроля участников взаимодействия - является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).

Служба регистрации и наблюдения - является службой безопасности, с помощью которой может быть прослежено использование всех ресурсов ЛВС.

Рассмотрим эти службы более подробно, отмечая специфические черты их использования именно в сетях, использующих для передачи данных силовую кабельную проводку.

Идентификация и аутентификация

Первый шаг к обеспечению безопасности ресурсов ЛВС - способность проверить личности пользователей (См.58). Процесс подтверждения (проверки) личности пользователя назван установлением подлинности (аутентификацией). Аутентификация обеспечивает основу для эффективного функционирования других мер и средств защиты, используемых в ЛВС. Например, механизм регистрации позволяет получить информацию об использовании пользователями ресурсов ЛВС, основанную на идентификаторе пользователя. Механизм управления доступом разрешает доступ к ресурсам ЛВС, основываясь на идентификаторе пользователя. Оба этих средства защиты эффективны только при условии, что пользователь, использующий службу ЛВС - действительный пользователь, которому назначен данный идентификатор пользователя

Идентификация требует, чтобы пользователь был так или иначе известен ЛВС. Она обычно основана на назначении пользователю идентификатора пользователя. Однако ЛВС не может доверять заявленному идентификатору без подтверждения его подлинности. Установление подлинности возможно при наличии у пользователя уникального идентификатора (пароль, жетон, отпечаток пальца и т.п.). Чем большее количество таких уникальных вещей предоставлено пользователем ЛВС, тем меньше риск, что кто-то подменит законного пользователя.

Требование, определяющее необходимость аутентификации, должно существовать в большинстве политик безопасности ЛВС. Это требование может содержаться неявно в политике концептуального уровня, которая подчеркивает необходимость эффективного управления доступом к информации и ресурсам ЛВС, или может быть явно выражено в политике относительно ЛВС, в виде заявления, что все пользователи должны быть уникально идентифицированы и аутентифицированы.

В большинстве ЛВС используется механизм идентификации и аутентификации на основе схемы идентификатор пользователя/пароль. Некоторые исследовательские работы детализируют степень простоты, с которой могут угадываться пароли (См.52, p.122). Надлежащий выбор пароля (компромисс между легкостью для запоминания пользователем и трудностью для угадывания другим человеком) всегда был проблемой. Генераторы паролей, которые создают пароли, состоящие из произносимых слогов, позволяют создавать более запоминающиеся пароли, чем те, что создаются генераторами, которые производят просто строки из случайных символов. Программы проверки паролей - это программы, которые позволяют пользователю определить, являются ли новые пароли легкими для угадывания и поэтому недопустимыми. Механизмы с использованием только паролей, особенно те, которые передают по ЛВС пароль в открытом виде (в незашифрованной форме) уязвимы с точки зрения наблюдения и перехвата. Это может стать серьезной проблемой, если ЛВС имеет неконтролируемые связи с внешними сетями (например, если PLC сеть не имеет "закрытого объема", отделенного от промышленных электросетей фильтрами). Поскольку в большинстве случаев малые PLC сети именно так и устроены, то если после рассмотрения всех вариантов аутентификации, политика ЛВС всё же определяет, что системы аутентификации работают только на основе паролей, то самой важной мерой защиты становится надлежащее управление созданием паролей, их хранением, слежением за истечением срока их использования, и удалением.

Для решения этой проблемы могут использоваться более надежные механизмы. Например, механизм, основанный на интеллектуальных картах, требует, чтобы пользователь владел смарт-картой и дополнительно может потребовать, чтобы пользователь знал персональный код идентификации (ПКИ-PIN) или пароль. Смарт-карта реализует аутентификацию с помощью схемы запрос/ответ, использующей указанные выше параметры в реальном масштабе времени. Использование параметров в реальном масштабе времени помогает предотвратить получение злоумышленником неавторизованного доступа путем воспроизведения сеанса регистрации пользователя. Эти устройства могут также шифровать сеанс аутентификации, предотвращая компрометацию информации аутентификации с помощью наблюдения и перехвата.

Механизмы блокировки для устройств ЛВС, автоматизированных рабочих мест или ПК, которые требуют для разблокировки аутентификации пользователя, могут быть полезны для тех пользователей, кто должен часто оставлять рабочее место. Эти механизмы блокировки позволяют пользователям остаться зарегистрированными в ЛВС и покидать свои рабочие места (в течение определенного периода времени, не длиннее заданного), не делая при этом свое рабочее место потенциально доступным злоумышленникам.

Механизмы, которые обеспечивают пользователя информацией об использовании его регистрационного имени, могут предупредить пользователя, что его имя использовалось необычным образом (например, возникли многократные ошибки при регистрации). Эти механизмы включают уведомления о дате, времени, и местоположении последнего успешного сеанса и числе предыдущих ошибок при регистрации. Типы механизмов защиты, которые могли бы быть реализованы, чтобы обеспечить службы идентификации и аутентификации, приведены в списке ниже (34, стр.108-112):

механизм, основанный на паролях,

механизм, основанный на интеллектуальных картах

механизм, основанный на биометрии,

генератор паролей,

блокировка с помощью пароля,

блокировка клавиатуры, блокировка ПК или автоматизированного рабочего места,

завершение соединения после нескольких ошибок при регистрации, уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации",

механизм аутентификации пользователя в реальном масштабе времени,

криптография с уникальными ключами для каждого пользователя.

Управление доступом

Эта служба защищает сеть против неавторизованного использования ресурсов ЛВС, и может быть обеспечена при помощи механизмов управления доступом и механизмов привилегий.

Управление доступом может быть достигнуто при использовании дискреционного управления доступом или мандатного управления доступом (36, стр.144). Дискреционное управление доступом - наиболее общий тип управления доступом, используемого в ЛВС. Основной принцип этого вида защиты состоит в том, что индивидуальный пользователь или программа, работающая от имени пользователя, имеет возможность явно определить типы доступа, которые могут осуществить другие пользователи (или программы, выполняющиеся от их имени) к информации, находящейся в ведении данного пользователя. Дискреционное управление доступом отличается от мандатной защиты тем, что оно реализует решения по управлению доступом, принятые пользователем. Мандатное управление доступом реализуется на основе результатов сравнения уровня допуска пользователя и степени конфиденциальности информации (41, стр. 205).

Существуют механизмы управления доступом, которые поддерживают степень детализации управления доступом на уровне следующих категорий: владелец информации, заданная группа пользователей и "мир" (всех других авторизованных пользователей). Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других пользователей, и позволяет владельцу файла определить особые права доступа для указанной группы людей, а также для всех остальных (мира). В общем случае, существуют следующие права доступа: доступ по чтению, доступ по записи, и доступ для выполнения. Некоторые операционные системы ЛВС обеспечивают дополнительные права доступа, которые позволяют модификацию, только добавление и т.д. (36, стр.169).

Операционная система ЛВС может поддерживать профили пользователя и списки возможностей или списки управления доступом для определения прав доступа для большого количества отдельных пользователей и большого количества различных групп. Использование этих механизмов позволяет обеспечить большую гибкость в предоставлении различных прав доступа для различных пользователей, которые могут обеспечить более строгий контроль доступа к файлам (или каталогам). Списки управления доступом определяют права доступа специфицированных пользователей и групп к данному файлу или каталогу. Списки возможностей и профили пользователя определяют файлы и каталоги, к которым можно обращаться данным пользователям (или пользователю).

Управление доступом пользователя может осуществляться на уровне каталогов или на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех файлов в каталоге становятся одинаковыми. Например, пользователь, который имеет доступ по чтению к каталогу, может читать (и, возможно, копировать) любой файл в этом каталоге. Права доступа к директории могут также обеспечить явный запрет доступа, который предотвращает любой доступ пользователя к файлам в каталоге.

В некоторых реализациях ЛВС можно управлять типами обращений к файлу. (Это осуществляется помимо контроля за тем, кто может иметь доступ к файлу.) Реализации могут предоставлять опцию управления доступом, которая позволяет владельцу помечать файл как разделяемый или заблокированный (монопольно используемый). Разделяемые файлы позволяют осуществлять параллельный доступ к файлу нескольких пользователей в одно и то же время. Блокированный файл будет разрешать доступ к себе только одному пользователю в данный момент времени. Если файл доступен только по чтению, назначение его разделяемым позволяет группе пользователей параллельно читать его.

Эти средства управления доступом могут также использоваться, чтобы ограничить допустимые типы взаимодействия между серверами и рабочими станциями в ЛВС. Большее количество операционных систем ЛВС могут ограничить тип трафика, посылаемого между серверами. Может не существовать никаких ограничений, что приведет к тому, что для всех пользователей будут доступны ресурсы всех серверов (в зависимости от прав доступа пользователей на каждом сервере). А могут и существовать некоторые ограничения, которые будут позволять только определенные типы трафика, например, только сообщения электронной почты, или более сильные ограничения, которые запретят трафик между определенными серверами. Политика ЛВС должна определить, какими типами информации необходимо обмениваться между серверами. На передачу информации, для которой нет необходимости совместного использования ее несколькими серверами, должны быть наложены ограничения. Данный подход особенно важен при работе в сети, имеющей несколько разделенных фрагментов, уровень безопасности соединения между которыми низкий. Ярким примером такой сети является PLC сеть, расположенная в двух соседних зданиях (или на разных этажах одного здания), контроль за кабельным соединением между которыми затруднен или вовсе невозможен.

Механизмы привилегий позволяют авторизованным пользователям игнорировать ограничения на доступ, чтобы выполнить какую-либо функцию, получить доступ к файлу, и т.д. Механизм привилегий должен включать концепцию минимальных привилегий. Минимальные привилегии определяются как "принцип, согласно которому каждому субъекту в системе предоставляется наиболее ограниченное множество привилегий, которые необходимы для выполнения задачи, которую должен решить пользователь." (См.60) Например, принцип минимальных привилегий должен применяться при выполнении функции резервного копирования. Тот, кто авторизован выполнять функцию резервного копирования, должен иметь доступ по чтению ко всем файлам, чтобы копировать их на резервные носители информации. (Однако пользователю нельзя давать доступ по чтению ко всем файлам через механизм управления доступом). Пользователю предоставляют "привилегию" обхода ограничения по чтению (предписанного механизмом управления доступом) для всех файлов, чтобы он мог выполнить функцию резервного копирования. Чем более детальные привилегии могут быть предоставлены, тем больше будет гарантий, что пользователю не будут даны чрезмерные привилегии для выполнения им авторизованной функции. Типы механизмов защиты, которые могли бы быть использованы для обеспечения службы управления доступом, приведены в списке:

механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей),

механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей,

управление доступом, использующее механизмы мандатного управления доступом, детальный механизм привилегий.

Конфиденциальность данных и сообщений

Служба конфиденциальности данных и сообщений может использоваться, когда необходима секретность информации. Как передняя линия защиты, эта служба может включать в себя механизмы, связанные со службой управления доступом, но может также полагаться на шифрование для обеспечения большего сохранения тайны. Таким образом, если служба управления доступом будет обойдена, к файлу может быть осуществлен доступ, но информация будет все еще защищена, поскольку находится в зашифрованной форме. (Использование шифрования может быть критическим на ПК, которые не обеспечивают службу управления доступом как передней линии защиты.)

Очень трудно управлять неавторизованным доступом к трафику ЛВС, когда он передается по ЛВС. Многие пользователи ЛВС это осознают и понимают проблему. Использование шифрования сокращает риск какого-либо перехвата и чтения проходящих транзитом через ЛВС сообщений, делая сообщения нечитабельными для тех, кто сможет перехватить их. Только авторизованный пользователь, который имеет правильный ключ, сможет расшифровать сообщение после его получения.

Хорошая политика безопасности должна явно указывать пользователям типы информации, которые считаются критичными настолько, что для них требуется применение шифрования. Концептуальная политика безопасности организации может указывать широкие категории информации, которые должны быть обязательно защищены, в то время как политика безопасности конкретной ЛВС может детализировать определенные типы информации и определенные среды, для которых необходима защита при помощи шифрования.

Криптография может быть разделена на использующую секретные ключи или использующую открытые ключи. Криптография секретных ключей основана на использовании единственного криптографического ключа, известного двум сторонам. Один и тот же ключ используется для шифрования и расшифровки данных. Этот ключ хранится в тайне обоими сторонами. Криптография с открытыми ключами - форма криптографии, которая использует два ключа: открытый ключ и секретный ключ. Два ключа связаны, но имеют такое свойство, что по данному открытому ключу в вычислительном отношении невозможно получить секретный ключ (3, стр.117). В криптосистеме с открытыми ключами каждая сторона имеет собственную пару из открытого и секретного ключей. Открытый ключ может быть известен любому лицу; секретный ключ хранится в тайне.

Типы механизмов безопасности, которые могли бы быть реализованы, чтобы обеспечить службу конфиденциальности сообщений и данных, приведены в списке ниже.

технология шифрования файлов и сообщений,

защита резервных копий на носителях,

физическая защита физической среды ЛВС и устройств,

использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).

Целостность данных и сообщений

Служба целостности данных и сообщений помогает защитить данные и программное обеспечение на автоматизированных рабочих местах, файловых серверах и других компонентах ЛВС от неавторизованной модификации. Неавторизованная модификация может быть намеренной или случайной. Эта служба может быть обеспечена при помощи криптографических контрольных сумм и очень детальных механизмов управления доступом и привилегий. Чем больше точность управления доступом или механизма привилегий, тем менее вероятна возможность неавторизованной или случайной модификации.

Служба целостности данных и сообщений также помогает гарантировать, что сообщение не изменено, не удалено или не добавлено любым способом в течение передачи. (Некорректная модификация пакета сообщения обрабатывается на уровне управления доступом к среде, осуществляемого в рамках протокола ЛВС.) Большинство из методов защиты, доступных сегодня, не могут предотвратить модификацию сообщения, но они могут обнаружить модификацию сообщения (если сообщение не удалено полностью).

Использование метода контрольных сумм предусмотрено в стандарте HomePlug Turbo и старше. Он обеспечивает возможность обнаружения модификации. Код Аутентификации Сообщения (Message Authentication Code - MAC) (См. 19), разновидность криптографической контрольной суммы, может защитить против как случайной, так и намеренной, но неавторизованной, модификации данных. MAC первоначально рассчитывается путем применения криптографического алгоритма и секретного числа, называемого ключом, к данным. Начальный MAC сохраняется. Позже данные проверяются с применением криптографического алгоритма и того же самого секретного ключа к данным для вычисления другого MAC; затем этот MAC сравнивается с начальным MAC. Если два MAC равны, тогда данные считаются подлинными. В противном случае предполагается неавторизованная модификация. Любая сторона, которая пробует изменить данные, но не знает при этом ключ, не будет знать, как вычислить MAC, соответствующий измененным данным (См.61).

Для обнаружения модификации данных или сообщений также могут использоваться электронные подписи. Электронная подпись может быть создана при помощи криптографии с открытыми или секретными ключами. При использовании системы с открытыми ключами документы в компьютерной системе подписываются с помощью электронной подписи путем применения секретного ключа отправителя документа. Полученная электронная подпись и документ могут быть затем сохранены или переданы. Подпись может быть проверена при помощи открытого ключа создателя документа. Если подпись подтверждается должным образом, получатель может быть уверен в том, что документ был подписан с использованием секретного ключа его создателя и что сообщение не было изменено после того, как оно было подписано. Поскольку секретные ключи известны только их владельцам, это делает также возможным проверку личности отправителя сообщения третьим лицом. Поэтому электронная подпись обеспечивает две различных службы: контроль участников взаимодействия и целостность сообщения (33, стр.110-115).

Код аутентификации сообщения (MAC) также может использоваться для обеспечения возможности электронной подписи. MAC рассчитывается на основании содержания сообщения. После передачи рассчитывается другой MAC на основании содержания полученного сообщения. Если MAC, связанный с сообщением, которое посылалось, отличается от MAC, связанного с сообщением, которое было получено, тогда имеется доказательство того, что полученное сообщение не соответствует посланному сообщению. MAC также может использоваться, чтобы идентифицировать для получателя лицо, подписавшее информацию. Однако реализация этой технологии по существу не совсем обеспечивает контроль участников взаимодействия, потому что и отправитель информации, и ее получатель используют один и тот же ключ.

Типы механизмов защиты, которые могли бы быть реализованы, чтобы обеспечить службу целостности данных и сообщений, представлены в списке ниже.

коды аутентификации сообщения, используемые для программного обеспечения или файлов,

использование электронной подписи, основанной на секретных ключах,

использование электронной подписи, основанной на открытых ключах,

детальный механизм привилегий, соответствующее назначение прав при управлении доступом,

программное обеспечение для обнаружения вирусов,

бездисковые автоматизированные рабочие места (для предотвращения локального хранения программного обеспечения и файлов),

автоматизированные рабочие места без накопителей для предотвращения появления подозрительного программного обеспечения,

Контроль участников взаимодействия

Служба контроля участников взаимодействия помогает гарантировать, что субъекты взаимодействия не смогут отрицать участие во взаимодействии или какой-либо его части. Контроль участников взаимодействия с подтверждением отправителя дает получателю некоторую степень уверенности в том, что сообщение действительно прибыло от названного отправителя. Службу контроля участников взаимодействия можно обеспечить с помощью криптографических методов с использованием открытых ключей, реализующих электронную подпись.

Механизм: использование электронных подписей с открытыми ключами.

Регистрация и наблюдение

Эта служба исполняет две функции.

Первая - обнаружение возникновения угрозы. (Однако обнаружение не происходит в режиме реального времени, если не используются какие-либо средства для наблюдения в реальном масштабе времени.) Для всех обнаруженных случаев нарушения безопасности должна иметься возможность проследить действия нарушителя во всех частях системы, что зависит от масштабов регистрации.

Вторая функция этой службы - обеспечение системных и сетевых администраторов статистикой, которая показывает, что система и сеть в целом функционируют должным образом. Это может быть сделано при помощи механизма аудирования, который использует файл журнала в качестве исходных данных и обрабатывает информацию относительно использования системы и ее защиты. Могут также использоваться средства наблюдения за ЛВС, которые помогали бы обнаружить проблемы с ее доступностью по мере их возникновения. Типы механизмов защиты, которые могли бы использоваться, чтобы обеспечить службу регистрации и наблюдения, приведены в списке ниже.

регистрация информации о сеансах пользователей,

регистрация изменений прав пользователей для управления доступом,

регистрация использования критичных файлов,

регистрация модификаций, сделанных в критическом программном обеспечении,

использование инструментов управления трафиком ЛВС,

использование средств аудирования.

Глава 3. Разработка модели безопасности ЛВС на PLC технологии с использованием сетей Петри