9 основные сервисы безопасности

Министерство образования Российской Федерации
Алтайский государственный технический университет
Бийский технологический институт
О.Н. Мелехова, Ф.А. Попов
МЕТОДЫ ЗАЩИТЫ
ИНФОРМАЦИИ В ЭВМ
Методическое пособие
Барнаул 2001
УДК 681.3.06
Мелехова О.Н., Попов Ф.А. Защита информации и информационная безопасность: Методическое пособие.
Алт. гос. техн. ун-т, БТИ. - Бийск.
Изд-во Алт. гос. техн. ун-та, 2001. - 50с.
Методическое пособие предназначено для студентов специальности 071900, изучающих основы построения информационно-вычислительных сетей в рамках курсов "Вычислительные машины, сети и системы телекоммуникаций" и "Защита информации и информационная
безопасность", и содержит комплекс сведений о мероприятиях,
направленных на обеспечение информационной безопасности.
Рассмотрено и одобрено
на заседании кафедры ИУС.
Протокол № 5 от 13.06.2000 г.
Рецензент: к.ф.-м.н., заведующий кафедрой
информатики АГУ Максимов А.В.
© БТИ АлтГТУ, 2001
Защита информации включает в себя комплекс мероприятий,
направленных на обеспечение информационной безопасности [1]. На
практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.
1 ОСНОВНЫЕ ПОНЯТИЯ
Информационная безопасность – обеспечение защищенности
информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба
владельцам или пользователям информационных ресурсов.
Доступность информации – возможность за разумное время получить требуемую информационную услугу.
Целостность информации – актуальность и непротиворечивость
информации, ее защищенность от разрушения и несанкционированного изменения.
Конфиденциальность информации – защита от несанкционированного доступа.
Проблема обеспечения безопасности носит комплексный характер, при этом меры по ее решению можно подразделить на три уровня:
1. Законодательный – законы, нормативные акты, стандарты и т.д.
2. Управленческий (организационный) – применительно к персоналу, работающему с информационными системами, используются
операционные регуляторы, действующие на окружение компьютерных
комплексов. Имеются в виду способы подбора персонала, его обучение, обеспечение дисциплины безопасности. Сюда же относятся меры
по физической защите помещения и оборудования и некоторые другие.
3. Программно-технический – предотвращение сбоев оборудования, ошибок программного обеспечения, неправомерных действий
пользователей и администраторов и т.п. Для этих целей используются
ключевые механизмы безопасности:





идентификация и аутентификация;
управление доступом;
протоколирование и аудит;
криптография;
экранирование.
Строго говоря, всем защитным мерам должен предшествовать
анализ угроз, на основании которого разрабатывается комплекс мер по
защите информации.
3
2 ОПАСНЫЕ СИТУАЦИИ. РАНЖИРОВАНИЕ
ОПАСНЫХ СИТУАЦИЙ ПО СТЕПЕНИ ВЕРОЯТНОСТИ
Прежде чем переходить к рассмотрению средств обеспечения информационной безопасности, рассмотрим самые распространенные
угрозы безопасности [1], которым подвержены современные компьютерные системы. Знание возможных угроз, а также уязвимых мест защи-ты, необходимо для того, чтобы выбирать наиболее экономичные
средства обеспечения безопасности.
Все опасные ситуации можно рассмотреть по нескольким параметрам:
 угроза – определение составляющих системы защиты информации, которым может быть нанесен вред;
 предотвращение – возможность предотвращения опасной ситуации;
 обнаружение – возможность определения действия угрозы;
 частота – частота возникновения опасной ситуации.
При этом опасные ситуации можно классифицировать следующим образом.
угроза - конфиденциальности, целостности, доступности;
предотвращение – невозможно;
обнаружение - в ряде случаев не сложное;
частота - высокая.
угроза - целостности, доступности;
Вирусы:
предотвращение - может быть сложным;
обнаружение - обычно очевидно;
частота - в 1993 г. в США каждая из 500 машин была заражена [3].
угроза - целостности, доступности;
Диверсии:
предотвращение - весьма затруднительно;
обнаружение - либо очень простое, либо очень
сложное;
частота - не очень часто.
Диверсия - физическое или логическое повреждение системы
защиты информации.
Аппаратные сбои:
Кража:
угроза - конфиденциальности, целостности,
доступности;
предотвращение - весьма сложно;
обнаружение - весьма сложно;
частота – неизвестна.
4
Кражи – хищения оборудования, информации, услуг (например,
изготовление календарей на служебном компьютере) [3].
угроза - целостности, доступности, конфиденциальности;
предотвращение – невозможно;
обнаружение – затруднительно;
частота - не очень часто.
Логическая бомба - модификация программы, в результате которой она может выполняться несколькими способами в зависимости
от определенных обстоятельств.
Логическая бомба:
Небрежность:
угроза – конфиденциальности, целостности,
доступности;
предотвращение – трудно;
обнаружение - по-разному;
частота - наиболее распространенный риск.
50…60% ежегодных компьютерных потерь
приходятся на долю небрежности [3].
Неправильная
маршрутизация:
угроза – конфиденциальности;
предотвращение – затруднительно;
обнаружение – простое;
частота - достаточно часто.
Неправильная маршрутизация - информацию получает не тот,
кому она адресована.
Ошибки
программирования:
Пиггибекинг:
угроза - конфиденциальности, целостности,
доступности;
предотвращение – невозможно;
обнаружение – сложно;
частота – повсеместно.
угроза - конфиденциальности, целостности,
доступности;
предотвращение – затруднительно;
обнаружение – затруднительно;
частота - достаточно часто.
Пиггибекинг - получение доступа после того, как другой пользователь, введя пароль и подключившись к системе, некорректно завершил сеанс работы.
5
угроза - нарушение законов или норм этики;
предотвращение – затруднительно;
обнаружение – затруднительно;
частота - наиболее распространена.
Пиратство – незаконное копирование и распространение программного обеспечения и документов для перепродажи.
Пиратство:
угроза – целостности;
предотвращение – затруднительно;
обнаружение – затруднительно;
частота – неизвестна.
Подлог – противозаконное изготовление документов или записей
с намерением использовать их вместо действительных, официальных.
Подлог:
угроза - конфиденциальности, целостности,
доступности;
предотвращение – затруднительно;
обнаружение – затруднительно;
частота – неизвестна.
Потайной ход - дополнительный способ проникновения в систему, часто преднамеренно создаваемый разработчиком.
Потайные ходы и
лазейки:
угроза - конфиденциальности, целостности,
доступности;
предотвращение – затруднено;
обнаружение – затруднено;
частота – неизвестна.
Самозванство - использование кода доступа другого человека
для проникновения в систему в целях изучения данных, использования
программ или компьютерного времени.
Самозванство:
угроза – конфиденциальности;
предотвращение – затруднительно;
обнаружение – затруднительно;
частота – неизвестна.
Сбор мусора – восстановление удаленных файлов на выброшенных магнитных лентах и дисках.
Сетевые
угроза – конфиденциальности;
анализаторы:
предотвращение – невозможно;
обнаружение – сложно;
частота – неизвестна.
Сбор мусора:
6
Сетевые анализаторы могут считывать любые параметры потока данных в сети, в т.ч. и текст.
угроза - конфиденциальности, целостности,
доступности;
предотвращение – сложно;
обнаружение – сложно;
частота – неизвестна.
Троянские кони - программа, которая вместо выполнения действий, для которых она предназначена, выполняет другие действия.
Многие вирусы - потомки троянских коней.
Троянские кони:
Умышленное повреждение
данных или программ:
угроза – целостности;
предотвращение – затруднительно;
обнаружение – затруднительно;
частота - не очень часто.
Ранжирование некоторых опасных ситуаций
по степени вероятности
Опасная ситуация
Небрежность
Пиратство
Утечка данных
Пиггибекинг
Умышленное повреждение
данных и программ
Самозванство
Неправильная маршрутизация
Аппаратные сбои
Искажения
Сетевые анализаторы
Пожары и другие стихийные бедствия
Подлог
Логическая бомба
Кража
Потайные ходы и лазейки
7
Показатели степени
вероятности
18,8
16,6
15,9
15,0
12,9
12,9
10,6
9,0
8,0
7,4
4,3
3,3
3,2
3,2
1,0
3 ЗАЩИТА, ПОДСКАЗАННАЯ ЗДРАВЫМ СМЫСЛОМ
Остановимся теперь на мерах безопасности, которые ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой, поэтому "человеческий фактор" заслуживает первостепенного внимания [4].
Можно выделить несколько основных пунктов, которые необходимо знать и выполнять для предотвращения угроз с наибольшей частотой возникновения:
1. Знать и соблюдать законы, правила, политику безопасности,
процедуры безопасности (под политикой безопасности [1] понимается
совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов).
2. Обеспечивать резервное копирование информации с жесткого
диска своего компьютера (предотвращение полной потери информации).
3. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности информации.
4. Использовать механизмы защиты файлов и должным образом
определять права доступа.
5. Уметь восстанавливать удаленные файлы, пользоваться антивирусными программами.
6. Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.
7. Предотвращать кражи.
8. Предотвращать внешние атаки.
9. Предупреждать преждевременные отказы аппаратного обеспечения (проверка работы вентиляторов, тестирование дисков и т.д.).
10. Осуществлять профилактику аварий, выполнять планирование
восстановительных работ.
Процесс планирования восстановительных работ можно подразделить на следующие этапы:
 выявление критически важных функций информационных систем, установление приоритетов;
 идентификация ресурсов, необходимых для выполнения критически важных функций;
 определение перечня возможных аварий;
 разработка стратегии восстановительных работ;
 подготовка к реализации выбранной стратегии;
 проверка стратегии.
8
Критичные ресурсы обычно относятся к одной из следующих категорий:
 персонал;
 информационная инфраструктура;
 физическая инфраструктура.
Для разработки стратегии восстановительных работ необходимо
провести анализ рисков, которым подвержены критичные функции.
4 УПРАВЛЕНИЕ РИСКАМИ
Деятельность любой организации подвержена множеству рисков [5]. Суть работы по управлению рисками состоит в том, чтобы
оценить их размер, выработать меры по его уменьшению и затем убедиться, что риски заключены в приемлемые рамки. Таким образом,
управление рисками включает в себя два вида деятельности:
 оценка рисков;
 выбор эффективных и экономичных защитных регуляторов.
Процесс управления рисками можно подразделить на следующие
этапы:
а) выбор анализируемых объектов и степени детальности их рассмотрения;
б) выбор методологии оценки рисков;
в) идентификация активов;
г) анализ угроз и их последствий, определение слабостей
в защите;
д) оценка рисков;
ж) выбор защитных мер;
з) реализация и проверка выбранных мер;
и) оценка остаточного риска.
Этапы ж) и з) относятся к выбору защитных регуляторов, остальные - к оценке рисков.
Управление рисками - процесс циклический. Риски нужно контролировать постоянно, периодически проводя их переоценку. Добросовестно выполненная и тщательно документированная первая оценка
может существенно упростить последующую деятельность.
При выборе анализируемых объектов и степени детальности
их рассмотрения выбираются те из них, риски для которых заведомо
велики или неизвестны. При этом для новых систем предпочтителен
детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно.
9
Очень важно выбрать разумную методологию оценки рисков.
Целью оценки является получение ответа на два вопроса: приемлемы
ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать. Значит, оценка должна быть количественной, допускающей сопоставление с заранее выбранными границами допустимости и расходами на реализацию новых регуляторов
безопасности.
При идентификации активов, тех ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе
репутацию компании. Тем не менее, одним из главных результатов
процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.
Если информационной основой организации является локальная
сеть, то активы можно разделить на следующие группы:
 аппаратные активы - компьютеры, периферийные устройства,
внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование;
 программные активы - операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными системами. Важно зафиксировать, в каких узлах сети хранится
программное обеспечение и из каких узлов используется;
 третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети.
Управление рисками - процесс далеко не линейный. Практически
все его этапы связаны между собой, и по завершении почти любого из
них может выявиться необходимость возврата к предыдущему. Так,
при идентификации активов может возникнуть понимание, что выбранные границы анализа следует расширить, а степень детализации увеличить. Особенно труден первичный анализ, когда многократные
возвраты к началу неизбежны.
Этапы, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они впрямую не связаны с рисками. Риск появляется там, где есть угрозы.
Краткий перечень наиболее распространенных угроз уже приводился ранее. К сожалению, на практике угроз гораздо больше, причем
далеко не все они обязательно связаны с компьютерами. Как правило,
наличие той или иной угрозы является следствием слабостей в защите
информационной системы, которые, в свою очередь, объясняются
10
отсутствием некоторых сервисов безопасности или недостатками в реализующих их защитных механизмах.
Первый шаг в анализе угроз - их идентификация. Анализируемые
виды угроз следует выбрать из соображений здравого смысла (оставив
вне поля зрения, например, землетрясения или захват организации террористами), но в пределах выбранных видов необходимо провести
максимально полное рассмотрение.
Целесообразно выявлять не только сами угрозы, но и источники
их возникновения. Это поможет в выборе дополнительных средств
защиты. После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу вероятностей: низкая -1, средняя - 2 и высокая - 3. Кроме
вероятности осуществления важен размер потенциального ущерба.
Например, пожары бывают нечасто, но ущерб от каждого из них, как
правило, велик.
Когда накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации - собственно к
оценке рисков. Вполне допустимо применить такой простой метод, как
умножение вероятности осуществления угрозы на предполагаемый
ущерб.
Если какие-либо риски оказались недопустимо высокими, необходимо реализовать дополнительные защитные меры. Как правило, для
ликвидации или сглаживания слабости, сделавшей реальной опасную
угрозу, существует несколько механизмов безопасности, отличающихся эффективностью и стоимостью.
Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним сервисом безопасности сразу
нескольких прикладных сервисов. Важным обстоятельством является
совместимость нового средства со сложившейся операционной и аппаратно-программной структурой, а также с традициями организации.
Основой критерий выбора защитных мероприятий - снижение
потенциальных потерь. Проведение анализа "эффективность/стоимость" позволяет оценить каждую из возможных мер обеспечения безопасности. Стоимость защитных мероприятий должна быть меньше,
чем величина потерь, от которых предохраняешься.
Реализацию и проверку новых регуляторов безопасности следует предварительно спланировать. В плане необходимо учесть наличие финансовых средств, сроки обучения персонала. Нужно составить
план автономного и комплексного тестирования, если речь идет о программно-техническом механизме защиты.
11
Когда намеченные меры приняты, необходимо проверить их действенность - убедиться, что остаточные риски стали приемлемыми.
Если это на самом деле так, значит, все в порядке и можно спокойно
намечать дату ближайшей переоценки. В противном случае придется
проанализировать допущенные ошибки и немедленно провести повторный сеанс управления рисками.
5 МЕТОДЫ РАНЖИРОВАНИЯ ОПАСНОСТЕЙ
1. Простое ранжирование – метод, который позволяет представить угрозы в виде упорядоченной последовательности, в которой
угрозы располагаются в порядке убывания (используются категории –
высокий, средний и т.п.).
2. Кардинальное ранжирование – каждой угрозе присваивают
точные числовые характеристики. Обычно это сумма убытка для каждого случая и вероятность возникновения угрозы.
6 КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ
КОМПЬЮТЕРНЫХ СИСТЕМ
"Оранжевая книга" министерства обороны США, называемая так
по цвету обложки, была впервые опубликована в августе 1983 года.
Само название заслуживает комментария - речь идет не о безопасных,
а о надежных системах, причем слово "надежный" трактуется так же,
как в сочетании "надежный человек" - человек, которому можно доверять.
"Оранжевая книга" поясняет понятие безопасной системы, которая управляет, посредством соответствующих средств, доступом к информации, так, что только должным образом авторизованные лица или
процессы, действующие от их имени, получают право читать, писать,
создавать и удалять информацию [1]. Очевидно, что абсолютно безопасных систем не существует, что это абстракция. Любую систему
можно "взломать", если располагать достаточно большими материальными и временными ресурсами. Есть смысл оценивать лишь степень
доверия, которое разумно оказать той или иной системе [6].
6.1 Основные понятия
В "Оранжевой книге" надежная система определяется как "система, использующая достаточные аппаратные и программные средства,
чтобы обеспечить одновременную обработку информации разной
12
степени секретности группой пользователей без нарушения прав доступа [1].
Степень доверия, или надежность систем, оценивается по двум
основным критериям:
 политика безопасности - набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие
безопасность системы. Политика безопасности - это активный компонент защиты, включающий в себя анализ возможных угроз и выбор
мер противодействия.
 гарантированность - мера доверия, которая может быть оказана архитектуре и реализации системы. Гарантированность может проистекать как из тестирования, так и из проверки (формальной или нет)
общего замысла и исполнения системы в целом и ее компонентов.
Важным средством обеспечения безопасности является механизм
подотчетности или протоколирования. Надежная система должна
фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом - анализом регистрационной информации.
Концепция надежной вычислительной базы является центральной
при оценке степени гарантированности, с которой систему можно считать надежной. Надежная вычислительная база - это совокупность
защитных механизмов компьютерной системы в целом, отвечающих за
проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, вводимых административным персоналом
Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами.
Монитор проверяет каждое обращение пользователя к программам или
данным на предмет их согласованности со списком допустимых
действий.
От монитора обращений требуется, чтобы выполнялись такие три
свойства:
- изолированность (монитор должен быть защищен от отслеживания своей работы);
- полнота (монитор вызывается при каждом обращении, причем
не должно быть способов его обхода);
- верифицируемость (монитор должен быть компактным, чтобы
его можно было проанализировать и протестировать, при наличии, конечно, уверенности в полноте тестирования).
13
Реализация монитора обращений называется ядром безопасности, которая является основой построения всех защитных механизмов.
Помимо перечисленных выше свойств монитора обращений ядро
должно гарантировать собственную неизменность.
Границу надежной вычислительной базы называют периметром
безопасности. Как уже указывалось, от компонентов, лежащих вне периметра безопасности, вообще говоря, не требуется надежности. С развитием распределенных систем понятию "периметр безопасности" все
чаще придают другой смысл, имея в виду границу владений определенной организации. То, что внутри владений, считается надежным, а
то, что вне - нет. Связь между внутренним и внешним мирами осуществляют посредством шлюзовой системы, которая по идее способна
противостоять потенциально ненадежному или даже враждебному
окружению.
6.2 Основные элементы политики безопасности
Согласно "Оранжевой книге", политика безопасности должна
включать в себя, по крайней мере, следующие элементы:
- добровольное управление доступом;
- безопасность повторного использования объектов;
- метки безопасности;
- принудительное управление доступом.
Рассмотрим перечисленные элементы более подробно.
6.2.1 Добровольное управление доступом
Добровольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы,
в которую субъект входит. Добровольность управления состоит в том,
что некоторое лицо (обычно владелец объекта) может по своему
усмотрению давать другим субъектам или отбирать у них права доступа к объекту.
Большинство операционных систем и средства управления базами данных (СУБД) реализуют именно добровольное управление доступом. Главное его достоинство - гибкость, главные недостатки - расосредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы.
14
6.2.2 Безопасность повторного использования объектов
Безопасность повторного использования объектов - важное на
практике дополнение средств управления доступом, предохраняющее
от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для
дисковых блоков и магнитных носителей в целом.
6.2.3 Метки безопасности
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта
описывает его благонадежность, метка объекта - степень закрытости
содержащейся в нем информации.
Согласно "Оранжевой книге" метки безопасности состоят из двух
частей - уровня секретности и списка категорий. Уровни секретности,
поддерживаемые системой, образуют упорядоченное множество, которое может выглядеть, например, так:
- совершенно секретно;
- секретно;
- конфиденциально;
- несекретно.
Впрочем, для разных систем набор уровней секретности может
различаться.
Категории образуют неупорядоченный набор. Их назначение описать предметную область, к которой относятся данные.
Главная проблема, которую необходимо решать в связи с метками, это обеспечение их целостности. Во-первых, не должно быть непомеченных субъектов и объектов, иначе в меточной безопасности появятся легко используемые бреши. Во-вторых, при любых операциях с
данными метки должны оставаться правильными. В особенности это
относится к экспорту и импорту данных.
Одним из средств обеспечения целостности меток безопасности
является разделение устройств на многоуровневые и одноуровневые.
На многоуровневых устройствах может храниться информация разного
уровня секретности (точнее, лежащая в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из
одного уровня. Зная уровень устройства, система может решить,
15
допустимо ли записывать на него информацию с определенной меткой.
Например, попытка напечатать совершенно секретную информацию на
принтере общего пользования с уровнем "несекретно" потерпит
неудачу.
6.2.4 Принудительное управление доступом
Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта.
В таком случае говорят, что метка субъекта доминирует над меткой
объекта. Смысл сформулированного правила понятен - читать можно
только то, что положено.
Субъект может записывать информацию в объект, если метка
безопасности объекта доминирует над меткой субъекта. В частности,
"конфиденциальный" субъект может писать в секретные файлы, но не
может - в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов, на месте которых
могут оказаться даже системные администраторы. После того, как зафиксированы метки безопасности субъектов и объектов, оказываются
зафиксированными и права доступа. В терминах принудительного
управления нельзя выразить предложение "разрешить доступ к объекту
Х еще и для пользователя Y". Конечно, можно изменить метку безопасности пользователя Y, но тогда он скорее всего получит доступ ко
многим дополнительным объектам, а не только к Х.
Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными
мерами безопасности. Независимо от практического использования
принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу
доступа. В реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.
16
6.3 Подотчетность
Если понимать политику безопасности узко, то есть как правила
разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что он делает. Средства подотчетности делятся на три категории:
- идентификация и аутентификация;
- предоставление надежного пути;
- анализ регистрационной информации.
6.3.1 Идентификация и аутентификация
Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя. Обычный способ идентификации - ввод имени пользователя при входе в систему. В свою очередь, система должна проверить подлинность
личности пользователя, то есть что он является именно тем, за кого себя выдает. Стандартное средство проверки подлинности (аутентификации) - пароль, хотя в принципе могут использоваться также разного
рода личные карточки, биометрические устройства (сканирование радужной оболочки глаза или отпечатков пальцев) или их комбинация.
Идентификация и аутентификация - первый и важнейший программно-технический рубеж информационной безопасности. Если не
составляет проблемы получить доступ к системе под любым именем,
то другие механизмы безопасности, например, управление доступом,
очевидно, теряют смысл. Очевидно и то, что без идентификации пользователей невозможно протоколирование их действий. В силу перечисленных причин проверке подлинности должно придаваться первостепенное значение.
6.3.2 Предоставление надежного пути
Надежный путь связывает пользователя непосредственно с
надежной вычислительной базой, минуя другие, потенциально опасные
компоненты системы. Цель предоставления надежного пути - дать
пользователю возможность убедиться в подлинности обслуживающей
его системы.
17
6.3.3 Анализ регистрационной информации
Аудит имеет дело с действиями, событиями, так или иначе затрагивающими безопасность системы. К числу таких событий относятся:
- вход в систему (успешный или нет);
- выход из системы;
- обращение к удаленной системе;
- операции с файлами (открыть, закрыть, переименовать, удалить);
- смена привилегий или иных атрибутов безопасности (режима
доступа, уровня благонадежности пользователя и т.п.).
Полный перечень событий, потенциально подлежащих регистрации, зависит от избранной политики безопасности и от специфики системы.
"Оранжевая книга" предусматривает наличие средств выборочного протоколирования как в отношении пользователей, когда слежение
осуществляется только за подозрительными личностями, так и в отношении событий.
Протоколирование помогает следить за пользователями и реконструировать прошедшие события. Слежка важна, в первую очередь,
как профилактическое средство. Реконструкция событий позволяет
проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по исключению подобных нарушений в будущем.
При протоколировании события записывается, по крайней мере,
следующая информация:
- дата и время события;
- уникальный идентификатор пользователя - инициатора действия;
- тип события;
- результат действия (успех или неудача);
- источник запроса (например, имя терминала);
- имена затронутых объектов (например, открываемых или удаляемых файлов);
- описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);
- метки безопасности субъектов и объектов события.
Необходимо подчеркнуть важность не только сбора информации,
но и ее регулярного и целенаправленного анализа для выявления подозрительных действий.
18
6.4 Гарантированность
Гарантированность - это мера уверенности, с которой можно
утверждать, что для проведения в жизнь сформулированной политики
безопасности выбран подходящий набор средств, и что каждое из этих
средств правильно исполняет отведенную ему роль.
В "Оранжевой книге" рассматривается два вида гарантированности - операционная и технологическая. Первая относится к архитектурным и реализационным аспектам системы, а вторая - к методам построения и сопровождения.
Операционная гарантированность включает в себя проверку следующих элементов:
- архитектуры системы;
- целостности системы;
- анализа тайных каналов передачи информации;
- надежного администрирования;
- надежного восстановления после сбоев.
Операционная гарантированность - это способ убедиться в том,
что архитектура системы и ее реализация действительно проводят в
жизнь избранную политику безопасности.
Архитектура системы должна способствовать реализации мер
безопасности или прямо поддерживать их. Примеры подобных архитектурных решений в рамках аппаратуры и операционной системы разделение команд по уровням привилегированности, защита различных процессов от взаимного влияния за счет выделения каждому своего виртуального пространства, особая защита ядра операционной системы (ОС).
В принципе меры безопасности не обязательно должны быть заранее встроены в систему. Достаточно принципиальной возможности
дополнительной установки защитных продуктов.
Среди архитектурных решений, предусматриваемых "Оранжевой
книгой", упомянем следующие:
- деление аппаратных и системных функций по уровням привилегированности и контроль обмена информацией между уровнями;
- защиту различных процессов от взаимного влияния за счет механизма виртуальной памяти;
- наличие средств управления доступом;
- структурированность системы, явное выделение надежной вычислительной базы, обеспечение компактности этой базы;
- следование принципу минимизации привилегий - каждому компоненту дается ровно столько привилегий, сколько необходимо для
19
выполнения им своих функций;
- сегментацию (в частности, сегментацию адресного пространства
процессов) как средство повышения надежности компонентов.
Целостность системы в данном контексте означает, что аппаратные и программные компоненты надежной вычислительной базы работают должным образом, и что имеется аппаратное и программное
обеспечение для периодической проверки целостности.
Анализ тайных каналов передачи информации - тема, специфичная для режимных систем, когда главное - обеспечить конфиденциальность информации. Тайным называется канал передачи информации, не предназначенный для обычного использования. Шпионская
аналогия - горшок с геранью в окне как сигнал опасности. Различают
тайные каналы с памятью и временные (ударение на "ы"). Тайные каналы с памятью используют изменения хранимых объектов. Тайным
знаком может быть размер файла, имя файла (составленное, например,
из входного имени и пароля атакуемого субъекта), число пробелов
между словами и т.д. Тайный канал считается быстрым, если с его помощью можно передавать 100 или более бит в секунду.
Временные каналы передают информацию за счет изменения
временных характеристик процессов - времени обработки запроса.
Обычно тайные каналы используются не столько для передачи
информации от одного злоумышленника другому, сколько для получения злоумышленником сведений от внедренного в систему "Троянского коня".
Надежное администрирование в трактовке "Оранжевой книги"
означает всего лишь, что должны быть логически выделены три роли:
системного администратора, системного оператора и администратора
безопасности. Физически эти обязанности может выполнять один человек, но в соответствии с принципом минимизации привилегий в
каждый момент времени он должен выполнять только одну из трех ролей. Конкретный набор обязанностей администраторов и оператора зависит от специфики организации.
Надежное восстановление после сбоев - включает в себя два вида деятельности: подготовку к сбою (отказу) и собственно восстановление. Подготовка к сбою - это и регулярное выполнение резервного
копирования, и выработка планов действий в экстренных случаях, и
поддержание запаса резервных компонентов. Восстановление, вероятно, связано с перезагрузкой системы и выполнением ремонтных и/или
административных процедур.
Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации,
20
тестирования, продажи и сопровождения. Все перечисленные действия
должны выполняться в соответствии с жесткими стандартами, чтобы
обезопаситься от утечки информации и нелегальных "закладок".
Первое, на что обычно обращают внимание, это тестирование.
Изготовитель или поставщик выполняет набор тестов, документирует
его и предоставляет на рассмотрение аттестационной комиссии, которая проверяет полноту набора и, быть может, выполняет свои тесты.
Вообще говоря, тестированию подлежат как собственно механизмы
безопасности, так и пользовательский интерфейс к ним. Тесты должны
показать, что защитные механизмы функционируют в соответствии со
своим описанием и не существует очевидных способов обхода или
разрушения защиты. Тесты должны продемонстрировать действенность средств управления доступом, защищенность регистрационной и
аутентификационной информации. Должна быть уверенность, что
надежную вычислительную базу нельзя привести в состояние, когда
она перестанет обслуживать пользовательские. Верификация описания
архитектуры - это выполненное автоматически формальное доказательство того, что архитектура системы соответствует сформулированной политике безопасности.
Средства конфигурационного управления защищают надежную
систему в процессе проектирования, реализации и сопровождения.
Конфигурационное управление включает в себя идентификацию, протоколирование и анализ всех изменений, вносимых в надежную вычислительную базу.
Надежное распределение защищает систему в процессе ее передачи от поставщика клиенту. Оно включает в себя два комплекса мер по защите и по проверке. Защитная часть работает на пути от поставщика к клиенту. Среди защитных механизмов - надежная упаковка,
предохраняющая от вредного воздействия окружающей среды, надежная транспортировка и, наконец, надежная инсталляция аппаратуры и
программ.
Проверочные меры применяются клиентом, чтобы убедиться, что
он получил именно то, что заказал, и система не подверглась нелегальным изменениям.
6.5 Документация
Документация - необходимое условие гарантированной надежности системы и, одновременно, инструмент проведения политики безопасности. Без документации люди не будут знать, какой политике
следовать и что для этого нужно делать.
21
Согласно "Оранжевой книге" в комплект документации надежной
системы должны входить следующие тома:
- руководство пользователя по средствам безопасности;
- руководство администратора по средствам безопасности;
- тестовая документация;
- описание архитектуры.
Разумеется, на практике требуется еще, по крайней мере, одна
книга - письменное изложение политики безопасности данной организации.
Руководство пользователя по средствам безопасности предназначено для обычных людей, не имеющих каких-либо привилегий доступа
к системе. Оно должно содержать сведения о механизмах безопасности
и способах их использования.
Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В Руководстве освещаются вопросы начального конфигурирования
системы,
перечисляются
текущие
обязанности
администратора, анализируются соотношения между безопасностью и
эффективностью функционирования.
Тестовая документация содержит описания тестов и их результаты. По идее она проста, но зачастую весьма пространна. Кроме того
(точнее, перед тем), тестовая документация должна содержать план тестирования и требования, предъявляемые к тестовому окружению.
Описание архитектуры в данном контексте должно включать в
себя, по крайней мере, сведения о внутреннем устройстве надежной
вычислительной базы. Вообще говоря, это описание должно быть формальным, допускающим автоматическое сопоставление с политикой
безопасности на предмет соответствия требованиям последней. Объем
описания архитектуры может оказаться сопоставимым с объемом исходных текстов программной реализации системы.
6.6 Классы безопасности
"Критерии" министерства обороны США открыли путь к ранжированию информационных систем по степени надежности. В "Оранжевой книге" определяется четыре уровня безопасности - D, С, В и А.
Уровень D предназначен для систем, признанных неудовлетворительными. В настоящее время он пуст, и ситуация едва ли когда-нибудь
изменится. По мере перехода от уровня С до А к надежности систем
предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (C1, С2, В1, В2, ВЗ) с постепенным возрастанием
22
надежности. Таким образом, всего имеется шесть классов безопасности
- С1, С2, В1, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять оговоренным
требованиям.
7 ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ
ЕВРОПЕЙСКИХ СТРАН
Следуя по пути интеграции, европейские страны приняли согласованные критерии оценки безопасности информационных технологий
(Information Technology Security Evaluation Criteria, ITSEC) - "Европейские Критерии". Выгода от использования согласованных критериев
очевидна для всех - и для производителей, и для потребителей, и для
самих органов сертификации. Принципиально важной чертой "Европейских Критериев" является отсутствие априорных требований к
условиям, в которых должна работать информационная система [7].
7.1 Основные понятия
"Европейские Критерии" рассматривают следующие составляющие информационной безопасности:
- конфиденциальность - защита от несанкционированного получения информации;
- целостность - защита от несанкционированного изменения информации;
- доступность - защита от несанкционированного удержания информации и ресурсов.
В "Критериях" дается определение различия между системами и
продуктами. Система - это конкретная аппаратно-программная конфигурация, построенная с вполне определенными целями и функционирующая в известном окружении. Продукт - это аппаратно-программный "пакет", который можно купить и по своему усмотрению встроить в ту или иную систему.
Каждая система и/или продукт предъявляет свои требования к
обеспечению конфиденциальности, целостности и доступности. Чтобы
удовлетворить эти требования, необходимо предоставить соответствующий набор функций или сервисов безопасности, таких как идентификация и аутентификация, управление доступом или восстановление после сбоев. Сервисы безопасности реализуются посредством
конкретных механизмов. Например, для реализации функции идентификации и аутентификации можно использовать такой механизм, как
23
сервер
аутентификации Kerberos.
Чтобы объект оценки можно было признать надежным, необходима определенная степень уверенности в наборе функций и механизмов безопасности. Степень уверенности будем называть гарантированностью, которая может быть большей или меньшей в зависимости от
тщательности проведения оценки.
7.2 Функциональность
В "Европейских Критериях" средства, имеющие отношение к информационной безопасности, рассматриваются на трех уровнях детализации. Наиболее абстрактный уровень соответствует общему взгляду
только на цели безопасности. На этом уровне дается ответ на вопрос,
зачем нужны функции безопасности. Второй уровень содержит спецификации функций безопасности, из которых можно узнать, какая
функциональность на самом деле обеспечивается. Наконец, на третьем
уровне содержится информация о механизмах безопасности и где уже
видно, как реализуется декларированная функциональность.
Спецификации функций безопасности - важнейшая часть описания объекта оценки. "Критерии" рекомендуют выделить в этих спецификациях разделы со следующими заголовками:
- идентификация и аутентификация;
- управление доступом;
- подотчетность;
- аудит;
- повторное использование объектов;
- точность информации;
- надежность обслуживания;
- обмен данными.
Большинство из перечисленных тем были рассмотрены при анализе "Оранжевой книги", поэтому остановимся лишь на моментах,
специфичных для "Европейских Критериев".
Под идентификацией и аутентификацией понимается не только
проверка подлинности пользователей в узком смысле, но и функции
для регистрации новых пользователей и удаления старых, а также
функции для генерации, изменения и проверки аутентификационной
информации, в том числе средства контроля целостности. Сюда же относятся функции для ограничения числа повторных попыток аутентификации.
Средства управления доступом также трактуются "Европейскими
Критериями" достаточно широко. В этот раздел помимо прочих
24
попадают функции, обеспечивающие временное ограничение доступа к
совместно используемым объектам с целью поддержания целостности
этих объектов - мера, типичная для систем управления базами данных.
В этом же разделе имеются функции для управления распространением прав доступа и для контроля за получением информации путем логического вывода и агрегирования данных, что также типично для
СУБД.
Под точностью в "Критериях" понимается поддержание определенного соответствия между различными частями данных (точность
связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникаций). Точность выступает как один из
аспектов целостности информации.
Функции надежности обслуживания должны гарантировать, что
действия, критичные по времени, будут выполнены ровно тогда, когда
нужно - не раньше и не позже, и что некритичные действия нельзя перевести в разряд критичных. Далее, должна быть гарантия, что авторизованные пользователи за разумное время получат запрашиваемые ресурсы. Сюда же относятся функции обнаружения и нейтрализации
ошибок, необходимые для минимизации простоев, а также функции
планирования, позволяющие гарантировать время реакции на внешние
события.
К области обмена данными относятся функции, обеспечивающие
коммуникационную безопасность данных, передаваемых по каналам
связи. Здесь "Европейские Критерии" следуют в фарватере рекомендаций Х.800, предлагая следующие подзаголовки:
- аутентификация;
- управление доступом;
- конфиденциальность данных;
- целостность данных;
- невозможность отказаться от совершенных действий.
8 РУКОВОДЯЩИЕ ДОКУМЕНТЫ ГОСТЕХКОМИССИИ
ПРИ ПРЕЗИДЕНТЕ РФ ПО ЗАЩИТЕ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
В 1992 году Гостехкомиссия при Президенте РФ опубликовала
"Руководящие документы", посвященные проблеме защиты от несанкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС). Рассмотрим важнейшие из них.
25
8.1 Термины и определения
Порядок следования и нумерация терминов соответствуют официальному документу.
1. Доступ к информации, доступ (Access to information) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
2. Правила разграничения доступа (ПРД) (Security policy) - совокупность правил, регламентирующих права доступа субъектов доступа
к объектам доступа.
3. Санкционированный доступ к информации (Authorized access to
information) - доступ к информации, не нарушающий правила разграничения доступа.
4. Несанкционированный доступ к информации (НСД) (Unauthorized access to information) - доступ к информации, нарушающий правила
разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения
средств вычислительной техники или автоматизированных систем
5. Защита от несанкционированного доступа, защита от НСД,
(Protection from unauthorized access) - предотвращение или существенное затруднение несанкционированного доступа.
6. Субъект доступа, субъект (Access subject) - лицо или процесс,
действия которых регламентируются правилами разграничения доступа.
7. Объект доступа, объект (Access object) - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами.
8. Матрица доступа (Access matrix) - таблица, отображающая правила разграничения доступа.
9. Уровень полномочий (Subject privilege) - совокупность прав доступа субъекта доступа.
10. Нарушитель правил разграничения доступа, нарушитель ПРД,
(Security policy violator) - субъект доступа, осуществляющий несанкционированный доступ к информации.
11. Модель нарушителя правил разграничения доступа, модель
нарушителя ПРД (Security policy violater's model) - абстрактное (формализированное или неформализованное) описание нарушителя правил разграничения доступа.
26
12. Комплекс средств защиты КСЗ (Trusted computing base) - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа
к информации.
13. Система разграничения доступа (СРД) (Security poticy realization) - совокупность реализуемых правил разграничения доступа в
средствах вычислительной техники или автоматизированных системах.
15. Идентификация (Identification) - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого
идентификатора с перечнем присвоенных идентификаторов.
16. Пароль (Password) - идентификатор субъекта доступа, который является его (субъекта) секретом.
17. Аутентификация (Authentication) - проверка принадлежности
субъекту доступа предъявленного им идентификатора, подтверждение
подлинности.
20. Модель защиты (Protection model) - абстрактное (формализованное или неформализованное) описание комплекса программнотехнических средств и/или организационных мер защиты от несанкционированного доступа.
21. Безопасность информации (Information security) - состояние
защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы от внутренних или
внешних угроз.
22. Целостность информации (Information integrity) - способность
средства вычислительной техники или автоматизированной системы
обеспечивать неизменность информации в условиях случайного и
(или) преднамеренного искажения (разрушения).
23. Конфиденциальная информация (Sensitive information) - информация, требующая защиты.
24. Дискреционное управление доступом (Discretionary access
control) - разграничение доступа между поименованными субъектами и
поименованными объектами. Субъект с определенным правом доступа
может передать это право любому другому субъекту.
25. Мандатное управление доступом (Mandatory access control) разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в
объектах, и официальном разрешении (допуске) субъектов обращаться
к информации такого уровня конфиденциальности.
26. Многоуровневая защита (Multilevel secure) - защита, обеспечивающая разграничение доступа субъектов с различными правами
27
доступа к объектам различных уровней конфиденциальности.
27. Концепция диспетчера доступа (Reference monitor concept) концепция управления доступом, относящаяся к абстрактной машине,
которая посредничает при всех обращениях субъектов к объектам.
28. Диспетчер доступа (Security kernel) - технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты.
29. Система защиты информации от несанкционированного доступа (СЗИ НСД) (System of protection from unauthorized access to
information) - комплекс организационных мер и программно-технических (в том числе криптографических) средств зашиты от несанкционированного доступа к информации в автоматизированных системах.
30. Средство криптографической защиты информации (СКЗИ)
(Cryptographic information protection facility) - средство вычислительной
техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
8.2 Концепция защиты от несанкционированного
доступа к информации
Идейной основой набора "Руководящих документов" является
"Концепция защиты СВТ и АС от НСД к информации". Концепция
"излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД, являющейся частью общей проблемы безопасности информации".
В "Концепции" различаются понятия средств вычислительной
техники и автоматизированной системы, аналогично тому, как в
"Европейских Критериях" проводится деление на продукты и системы.
Более точно, "Концепция" предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие
направлений в проблеме защиты информации от НСД. Это - направление, связанное с СВТ, и направление, связанное с АС. Отличие двух
направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся
функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.
Существуют различные способы покушения на информационную
безопасность: радиотехнические, акустические, программные и т.п.
Среди них НСД выделяется как доступ к информации, нарушающий
установленные правила разграничения доступа, с использованием
штатных средств, предоставляемых СВТ или АС. Под штатными
28
средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.
В "Концепции" формулируются следующие основные принципы
защиты от НСД к информации:
- защита СВТ обеспечивается комплексом программно-технических средств;
- защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. Защита АС
должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;
- программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС
(надежность, быстродействие, возможность изменения конфигурации АС);
- неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей
всю совокупность технических характеристик оцениваемого объекта,
включая технические решения и практическую реализацию средств
защиты;
- защита АС должна предусматривать контроль эффективности
средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС
или контролирующими органами.
"Концепция" ориентируется на физически защищенную среду,
проникновение в которую посторонних лиц считается невозможным,
поэтому нарушитель определяется как субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре
уровня этих возможностей.
Классификация является иерархической, т.е. каждый следующий
уровень включает в себя функциональные возможности предыдущего.
Первый уровень определяет самый низкий уровень возможностей
ведения диалога в АС - запуск задач (программ) из фиксированного
набора, реализующих заранее предусмотренные функции по обработке
информации.
Второй уровень определяется возможностью создания и запуска
собственных программ с новыми функциями по обработке информации.
29
Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей
лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее
защиты.
В качестве главного средства защиты от НСД к информации в
"Концепции" рассматривается система разграничения доступа (СРД)
субъектов к объектам доступа. Основными функциями СРД являются:
- реализация правил разграничения доступа (ПРД) субъектов и их
процессов к данным;
- реализация ПРД субъектов и их процессов к устройствам создания твердых копий;
- изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
- управление потоками данных с целью предотвращения записи
данных на носители несоответствующего грифа;
- реализация правил обмена данными между субъектами для АС и
СВТ, построенных по сетевым принципам.
Кроме того, "Концепция" предусматривает наличие обеспечивающих средств для СРД, которые выполняют следующие функции:
- идентификацию и опознание (аутентификацию) субъектов и
поддержание привязки субъекта к процессу, выполняемому для субъекта;
- регистрацию действий субъекта и его процесса;
- предоставление возможностей исключения и включения новых
субъектов и объектов доступа, а также изменение полномочий субъектов;
- реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
- тестирование;
- очистку оперативной памяти и рабочих областей на магнитных
носителях после завершения работы пользователя с защищаемыми
данными;
- учет выходных печатных и графических форм и твердых копий
в АС;
- контроль целостности программной и информационной части
как СРД, так и обеспечивающих ее средств.
30
8.3 Классификация автоматизированных систем
по уровню защищенности от несанкционированного
доступа к информации
Классификация автоматизированных систем устроена иначе.
Снова обратимся к соответствующему "Руководящему документу".
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по
защите в зависимости от ценности (конфиденциальности) информации
и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один
пользователь, допущенный ко всей информации АС, размещенной на
носителях одного уровня конфиденциальности. Группа содержит два
класса - ЗБ и ЗА.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС,
обрабатываемой и (или) хранимой на носителях различного уровня
конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация
разных уровней конфиденциальности, и не все пользователи имеют
право доступа ко всей информации АС. Группа содержит пять классов
- 1Д, 1Г, 1В, 1Б и 1А.
9 ОСНОВНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ
Ранее были изложены основы информационной безопасности в ее
идеологических, управленческих, организационных аспектах. Теперь
самое время перейти к программно-техническим мерам, которые образуют последний и самый важный рубеж информационной защиты. Основную часть ущерба наносят действия легальных пользователей, по
отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги - некомпетентность и неаккуратность
при выполнении служебных обязанностей, и только программнотехнические меры способны им противостоять.
31
Рассмотрим следующие основные сервисы безопасности:
 идентификацию и аутентификацию,
 управление доступом,
 протоколирование и аудит,
 криптографию,
 экранирование.
9.1 Идентификация и аутентификация
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная"
информационного пространства организации.
Идентификация позволяет субъекту - пользователю или процессу,
действующему от имени определенного пользователя, назвать себя,
сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве
синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность,
если предъявит, по крайней мере, одну из следующих сущностей:
 нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;
 нечто, чем он владеет: личную карточку или иное устройство
аналогичного назначения;
 нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики;
нечто, ассоциированное с ним, например, координаты.
К сожалению, надежная идентификация и аутентификация затруднена по ряду принципиальных причин. Во-первых, компьютерная
система основывается на информации в том виде, в каком она была получена; строго говоря, источник информации остается неизвестным.
Например, злоумышленник мог воспроизвести ранее перехваченные
данные. Следовательно, необходимо принять меры для безопасного
ввода и передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями. Вовторых, почти все аутентификационные сущности можно узнать,
украсть или подделать. В-третьих, имеется противоречие между
надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений
безопасности необходимо с определенной частотой просить пользова32
теля
повторно вводить аутентификационную информацию (ведь на
его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность подглядывания за вводом. В-четвертых, чем
надежнее средство защиты, тем оно дороже.
Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для
данного пользователя пароль; в случае совпадения подлинность
пользователя считается доказанной. Другое средство, постепенно
набирающее популярность, - секретные криптографические ключи
пользователей.
Любопытно отметить, что иногда фаза аутентификации отсутствует совсем - партнеру верят на слово -, или носит чисто символический характер. Так, при получении письма по электронной почте вторая сторона описывается строкой "From:"; подделать ее не составляет
большого труда. Порой в качестве свидетельства подлинности выступает только сетевой адрес или имя компьютера - вещь явно недостаточная для подлинного доверия. Только использование криптографии
поможет навести здесь порядок.
Главное достоинство парольной аутентификации - простота и
привычность. Пароли давно встроены в операционные системы и иные
сервисы. При правильном использовании пароли могут обеспечить
приемлемый для многих организаций уровень безопасности. Тем не
менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне.
Ввод пароля можно подсмотреть. В экзотических случаях для
подглядывания используются оптические приборы.
Пароли нередко сообщают коллегам, чтобы те смогли выполнить
какие-либо нестандартные действия, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более
правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не
тайна.
Пароль можно угадать методом грубой силы, используя, быть
может, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.
Нередко на ПК пароли используются как средство управления доступом. Подобную практику едва ли можно приветствовать.
Вопервых, многочисленные пароли трудно использовать и администрировать. Во-вторых, они быстро становятся известными практически
всем.
33
Пароли уязвимы по отношению к электронному перехвату - это
наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей.
Практически единственный выход - использование криптографии для
шифрования паролей перед передачей по линиям связи или вообще их
не передавать, как это делается в сервере аутентификации Kerberos.
Тем не менее, следующие меры позволяют значительно повысить
надежность парольной защиты:
 наложение технических ограничений (пароль должен быть не
слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);
 управление сроком действия паролей, их периодическая смена;
 ограничение доступа к файлу паролей;
 ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;
 обучение и воспитание пользователей (например, тому, что пароли, в отличие от обеда, лучше не делить с другом);
 использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.
Перечисленные меры целесообразно применять всегда, даже если
наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.
Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и
интеллектуальные токены (активные).
Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных
токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре
свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется
комбинация двух способов защиты, что существенно затрудняет действия злоумышленника - мало украсть или подделать карточку, нужно
узнать еще и личный номер "жертвы".
Обратим внимание на необходимость обработки аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.
34
Иногда (обычно для физического контроля доступа) карточки
применяют сами по себе, без запроса личного идентификационного
номера.
Наряду с несомненными достоинствами, токены с памятью обладают и определенными недостатками. Прежде всего, они существенно
дороже паролей. Их необходимо делать, раздавать пользователям,
обслуживать случаи потери. Они нуждаются в специальных устройствах чтения. Пользоваться ими не очень удобно, особенно если организация установила у себя интегрированную систему безопасности.
Чтобы сходить, например, в туалет, нужно вынуть карточку из устройства чтения, положить ее себе в карман, совершить моцион, вернуться,
вновь поместить карточку в устройство чтения и т.д.
Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают
ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду
напоминают калькуляторы. Чтобы токен начал работать, пользователь
должен ввести свой личный идентификационный номер.
По принципу действия интеллектуальные токены можно разделить на следующие категории:
 статический обмен паролями: пользователь обычным образом
доказывает токену свою подлинность, затем токен проверяется компьютерной системой;
 динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по
электронному интерфейсу или набирается пользователем на клавиатуре терминала;
 запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного
интерфейса. В последнем случае пользователь читает запрос с экрана
терминала, набирает его на клавиатуре токена (возможно, в это время
вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.
Главным достоинством интеллектуальных токенов является возможность их применения при аутентификации по открытой сети. Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит
35
текущий пароль. С практической точки зрения интеллектуальные токены реализуют механизм одноразовых паролей.
Еще одним достоинством является потенциальная многофункциональность интеллектуальных токенов. Их можно применять не только
для целей безопасности, но и, например, для финансовых операций.
Основным недостатком интеллектуальных токенов является их
высокая стоимость. Если у токена нет электронного интерфейса, пользователю при аутентификации приходится совершать много манипуляций, что для владельцев дорогих устройств должно быть особенно
обидно. Администрирование интеллектуальных токенов по сравнению
с магнитными картами усложнено за счет необходимости управления
криптографическими ключами. За безопасность действительно приходится платить - деньгами и неудобствами.
Устройства контроля биометрических характеристик сложны и
недешевы, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности.
9.2 Управление доступом
Средства управления доступом позволяют специфицировать и
контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. В данном разделе речь идет о логическом управлении доступом, который реализуется программными средствами.
Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и
целостность объектов и, до некоторой степени, их доступность путем
запрещения обслуживания неавторизованных пользователей.
Рассмотрим формальную постановку задачи. Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее, быть может, от
некоторых дополнительных условий, и контролировать выполнение
установленного порядка.
Отношение (субъекты/объекты) можно представить в виде матрицы, в строках которой перечислены субъекты, в столбцах - объекты,
а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может иметь вид, как в
таблице 1.
Таблица 1 -Фрагмент матрицы доступа
36
Пользователь 1
Файл
Программа
Линия
связи
оrw
е
rw
с 8.00 до
18.00
Пользователь 2
Реляционная
таблица
а
Примечание. "o" обозначает разрешение на передачу прав доступа другим
пользователям, "r" - чтение, "w" - запись, "e" - выполнение, "a" - добавление
информации.
Тема логического управления доступом - одна из сложнейших в
области информационной безопасности. Причина в том, что само понятие объекта, а тем более видов доступа, меняется от сервиса к сервису. Для операционной системы в число объектов входят файлы,
устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение, иногда на
удаление и добавление. Отдельным правом может быть возможность
передачи полномочий доступа другим субъектам - так называемое право владения. Процессы можно создавать и уничтожать. Современные
ОС могут поддерживать и другие объекты, например, в Solaris имеются
отображения со своими видами доступа.
Для систем управления реляционными базами данных объект это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов - иные виды доступа. И список этот
можно продолжать до бесконечности.
Контроль прав доступа производится разными компонентами
программной среды - ядром операционной системы, дополнительными
средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким, как монитор транзакций) и т.д. Тем не менее, можно выделить общие критерии, на основании которых решается вопрос о предоставлении доступа, и общие
методы хранения матрицы доступа.
9.3 Протоколирование и аудит
Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но
в любом случае их можно подразделить на внешние, вызванные
37
действиями других сервисов, внутренние, вызванные действиями самого сервиса, и клиентские, вызванные действиями пользователей и
администраторов.
Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени или периодически.
Реализация протоколирования и аудита преследует следующие
главные цели:
 обеспечение подотчетности пользователей и администраторов;
 обеспечение возможности реконструкции последовательности
событий;
 обнаружение попыток нарушений информационной безопасности;
 предоставление информации для выявления и анализа проблем.
Пожалуй, протоколирование, как никакое другое средство безопасности, требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные
вопросы невозможно дать универсальные ответы. Необходимо следить
за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой расход ресурсов не выходил за разумные рамки. Слишком обширное или детальное протоколирование не только снижает
производительность сервисов, что отрицательно сказывается на доступности, но и затрудняет аудит, уменьшая, а не увеличивая информационную безопасность. Разумный подход к данному вопросу предлагается в "Оранжевой книге".
Еще одна особенность протоколирования и аудита - зависимость
от других средств безопасности. Идентификация и аутентификация
служит отправной точкой подотчетности пользователей, логическое
управление доступом защищает конфиденциальность и целостность
регистрационной информации. Возможно, для защиты привлекаются и
криптографические методы.
9.4 Криптография
Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография.
Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них и, в то же время, последним защитным
рубежом. Например, для портативных компьютеров, физически защи38
тить которые крайне трудно, только криптография позволяет гарантировать конфиденциальность информации даже в случае кражи.
Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ
используется и для шифровки, и для расшифровки сообщений.
Существуют весьма эффективные методы симметричного шифрования. Имеется и стандарт на подобные методы - ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм
криптографического преобразования".
Рисунок 1 иллюстрирует использование симметричного шифрования. Для определенности мы будем вести речь о защите сообщений,
хотя события могут развиваться не только в пространстве, но и во времени, когда шифруются и расшифровываются никуда не перемещающиеся файлы.
Рисунок 1 - Использование симметричного метода шифрования
Основным недостатком симметричного шифрования является то,
что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей.
С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать
и сам.
В асимметричных методах применяются два ключа. Один из них,
несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой - секретный, применяется для расшифровки и известен только получателю. Самым популярным из
асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми
числами и их произведениями.
39
Асимметричные методы шифрования (рисунок 2) позволяют реализовать так называемую электронную подпись или электронное
заверение сообщения. Идея состоит в том, что отправитель посылает
два экземпляра сообщения - открытое и дешифрованное его секретным
ключом (естественно, дешифровка незашифрованного сообщения на
самом деле есть форма шифрования). Получатель может зашифровать
с помощью открытого ключа отправителя дешифрованный экземпляр и
сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.
Рисунок 2 - Использование асимметричного метода шифрования
Пусть E(T) обозначает результат шифрования текста T с помощью открытого ключа, а D(T) - результат дешифровки текста Т (как
правило, шифрованного) с помощью секретного ключа. Чтобы асимметричный метод мог применяться для реализации электронной подписи, необходимо выполнение тождества:
E(D(T)) = D(E(T)) = T.
Существенным недостатком асимметричных методов является их
низкое быстродействие, поэтому их приходится сочетать с симметричными, при этом следует учитывать, что асимметричные методы на тричетыре порядка медленнее симметричных. Так, для решения задачи
рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным
ключом получателя, после чего сообщение и ключ отправляются
по сети.
Эффективное шифрование, реализованное путем сочетания симметричного и асимметричного методов, проиллюстрировано на
рисунке 3.
40
Рисунок 3 - Эффективное шифрование сообщения
Расшифровка эффективно зашифрованного сообщения выглядит
так, как показано на рисунке 4.
Рисунок 4 - Расшифровка эффективно зашифрованного
сообщения
При практической реализации электронной подписи также дешифруется не все сообщение, а лишь так называемый дайджест, или
хэш, защищающий послание от нелегального изменения. Нетрудно видеть, что электронная подпись выполняет две функции - гарантирует
целостность сообщения и удостоверяет личность отправителя.
Иллюстрацией процедуры эффективной генерации электронной
подписи может быть рисунок 5.
Рисунок 5 - Эффективная генерация электронной подписи
41
Проверка эффективно сгенерированной электронной подписи
может быть реализована способом, представленным на рисунке 6.
Несомненно, криптография должна стать обязательным компонентом защиты всех сколько-нибудь развитых систем. К сожалению,
этому мешает огромное количество самых разных барьеров.
Рисунок 6 - Проверка эффективно сгенерированной
электронной подписи
9.5 Экранирование
Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран это средство разграничения доступа клиентов из серверов одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (рисунок 7).
Рисунок 7 - Экран как средство разграничения доступа
В простейшем случае экран состоит из двух механизмов, один из
которых ограничивает перемещение данных, а второй, наоборот, ему
способствует. В более общем случае экран или полупроницаемую оболочку удобно представлять себе как последовательность фильтров.
Каждый из них может задержать данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускаются передача порции данных на следующий фильтр для продолжения анализа или
42
обработка данных от имени адресата и возврат результата отправителю
(рисунок 8).
Рисунок 8 - Экран как последовательность фильтров
Помимо функций разграничения доступа экраны осуществляют
также протоколирование информационных обменов.
Обычно экран не является симметричным, для него определены
понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной
внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную
Internet. Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до него и после него независимо от всех прочих системных защитных средств.
Экранирование позволяет поддерживать доступность сервисов
внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний
злоумышленник должен преодолеть экран, где защитные механизмы
сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена
более простым и, следовательно, более безопасным образом.
Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.
Следует подчеркнуть, что экранирование может использоваться
как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями. Важнейший пример подобной
среды - объектно-ориентированные программные системы, в которых
для активации методов объектов выполняется передача сообщений.
Представляется весьма вероятным, что в будущих объектно-ориентированных средах экранирование станет одним из важнейших инструментов разграничения доступа к объектам.
43
10 ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА СОБСТВЕННОСТИ
В ЗАКОНОДАТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
По существу сфера безопасности информации – не защита информации, а защита прав собственности на нее.
Рассмотрим особенности информационной собственности. [25]
Исторически традиционным объектом права собственности является материальный объект. Фактически право собственности до настоящего времени являлось вещественным правом.
Информация не является материальным объектом, информация –
это знание, т.е. отражение действительности в сознании человека. В
дальнейшем информация может воплощаться в материальные объекты
окружающего нас мира.
Право собственности на информацию включает три правомочия
собственника, составляющие содержание права собственности: право
распоряжения, право владения, право пользования.
Субъект права собственности на информацию может передать
часть своих прав, не теряя их сам, другим субъектам.
Для информации право распоряжения подразумевает исключительное право определять, кому эта информация может быть предоставлена во владение или пользование.
Право владения подразумевает иметь эту информацию в неизменном виде. Право пользования подразумевает право использовать
эту информацию в своих интересах.
Таким образом, к информации, кроме субъекта права собственности на эту информацию, могут иметь доступ другие субъекты права
собственности как законно, санкционировано, так и незаконно, несанкционированно. Возникает сложная система взаимоотношений между
этими субъектами права собственности.
Эти взаимоотношения должны регулироваться и охраняться, так
как отклонения от них могут привести к перемещению информации,
что влечет за собой нарушение права собственности субъекта на эту
информацию. Другими словами, речь идет о реализации права собственности на информацию. Под этим будем понимать государственную или частную (или государственно-частную) инфраструктуру,
предотвращающую нарушение права собственности на информацию.
Как и для любого объекта собственности, такая инфраструктура
состоит из цепочки: законодательная власть – судебная власть – исполнительная власть (закон – суд – наказание).
Закон должен предусматривать ответственность и полномочия
субъектов права собственности. Каждый такой субъект в рамках
44
предоставленных ему собственником полномочий несет перед ним ответственность за предусмотренное законом и подтвержденное судом
превышение этих полномочий, которое привело или могло привести к
нарушению права собственности собственника информации.
Любой закон о собственности в целях защиты права собственника, зафиксировав субъекты и объекты права собственности, должен регулировать отношения между ними. Особенности регулирования этих
отношений зависят от специфики объектов прав собственности.
В случае информационной собственности закон должен регулировать отношения субъектов, а также субъектов и объектов права собственности на информацию в целях защиты прав как собственника, так
и законных владельцев и пользователей информации для защиты информационной собственности от разглашения, утечки – несанкционированного ознакомления с ней, ее обработки, в частности копирования,
модификации или уничтожения. Учитывая возможность хищения информации вместе с ее носителем, необходимо указать и на эту угрозу, в
результате осуществления которой могут также произойти утечка и
утрата информации. Под модификацией информации понимается несанкционированное ее изменение, корректное по форме и содержанию,
но другое по смыслу.
Впервые в правовой практике России информация определяется в
качестве объекта права в первой части Гражданского кодекса РФ
(ст.128), принятого Государственной Думой 21.10.94 г. Федеральным
законом "Об информации, информатизации и защите информации" от
20.02.95 г. определено, что информационные ресурсы, т.е. отдельные
документы или массивы документов, в том числе, и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как
материальное имущества собственника (ст. 4.1, ст. 6.1). Этим же законом впервые вводится понятие документированной информации с
ограниченным доступом (ст. 10.2), которая подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную
информацию (т.е. представляющую коммерческую, личную, служебную и другие тайны).
Таким образом, можно определить цель обеспечения безопасности информации, которая заключается в защите прав собственности на
нее, и задачи безопасности информации, которые заключаются в защите ее от утечки, модификации и утраты.
45
10.1 Коммерческая тайна
Понятие "коммерческой тайны" [25] введено в нашу практику с
1 января 1991 г. статьей 33 закона "О предприятиях в СССР", которая
гласит:
"1. Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью
предприятия, разглашение (передача, утечка) которых может нанести
ущерб его интересам.
2. Состав и объем сведений, составляющих коммерческую тайну,
определяются руководителем предприятия".
Для того, чтобы иметь возможность контролировать деятельность
предприятий, Правительство России выпустило 5 декабря 1991 г. постановление №35 "О перечне сведений, которые не могут составлять
коммерческую тайну".
Порядок защиты государственной тайны регулируется Законом
РФ "О государственной тайне" и постановлением Правительства РФ
"Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 4.09.95 г.
№ 870. Защита информации и прав субъектов в области информационных процессов и информатизации регулируются главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Государственной Думой 25 января 1995 г.
10.2 Банковская тайна
Законом Российской Федерации от 2 декабря 1990 г. "О банках и
банковской деятельности" введено понятие "банковской тайны" [25].
Под банковской тайной подразумевается обязанность кредитного
учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде
всего конкурентов того или иного клиента, тайну по операциям, счетам
и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну
можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и
личную тайну вкладчика.
46
ЛИТЕРАТУРА
1. Галатенко В. Информационная безопасность // Открытые системы, 1996. - №1.
2. Threats to Computer Systems: an Overview. - Computer Systems
Laboratory Bulletin, March 1994.
3. An Introduction to Computer Security: The NIST Handbook. Draft.
- National Institute of Standards and Technology, Technology
Administration, U.S. Department of Commerce, 1994.
4. Галатенко В. Информационная безопасность // Открытые системы, 1996. - №3.
5. Галатенко В. Информационная безопасность // Открытые системы, 1996. - №2.
6. Галатенко В. Информационная безопасность // Открытые системы, 1996. - №4.
7. Галатенко В. Информационная безопасность // Открытые системы, 1996. - №5.
8. Словарь терминов. Безопасность компьютерных систем. Защита
информации // Конфидент, 1995.- №5.
10. Моисеинков И. Основы безопасности компьютерных систем//КомпьютерПресс, 1992.- №3.
11. Ричард А. Данка. Баланс между риском и целостностью и доступностью данных // Сети, 1992.- №3.
12. Гайкович В., Першин А. Безопасность электронных банковских
систем. – М.: Единая Европа, 1994.
13. Левин В.К. Защита информации в информационновычислительных системах и сетях // Программирование, 1994.- №5.
14. Security Architecture for Open Systems lnterconnection for CCITT
Applications. Recommendation X.800. – Geneva: CCITT, 1991.
15. Моисеинков И. Американская классификация и принципы оценивания безопасности компьютерных систем // КомпьютерПресс,
1992.- №2.
16. Specifications for Guideline for The Analysis Local Area Network
Security. - Federal Information Processing Standards Publication 191.1994.
17. Bassham L.E., Polk W.T. Threat Assessment of Malicious Code and
Human Threats (NISTIR 4939). - National Institute of Standards and
Technology, Computer Security Division.- 1992.
18. The Generally Accepted System Security Principles (GSSP).
Exposure Draft. - GSSP Draft Sub-committee.- 1994.
47
19. Holbrook P., Reynolds J. (Editors). Site Security Handbook. Request for Comments: 1244.- 1991.
20. Stang D.J., Moon S. Network Security Secrets. - IDG Books
Worldwide Inc.- 1993.
21. Левин В.К. Защита информации в информационновычислительных системах и сетях // Программирование, 1994.-№5.
22. Ладыженский Г.М. Системы управления базами данных - коротко о главном // Jet Info, 1995.- №3-5.
23. Announcing the Standard for Automated Password Generator. Federal Information Processing Standards Publication 181.- 1993.
24. Announcing the Guideline for the Use of Advanced Authentication
Technology Alternatives. - Federal Information Processing Standards
Publication 190.- 1994.
25. Мельников В. Защита информации в компьютерных системах.
– М.: Статистика, Электроинформ, 1997.
26. National Computer Security Center. A Guide to Understanding
Discretionary Access Control in Trusted Systems. - NCSC-TG-003, 1987.
27. Escrowed Encryption Standard. - Federal Information Processing
Standards Publication 185, 1994.
28. Федеральный Закон "Об информации, информатизации и защите информации" // Российская газета, 22 февраля 1995.
29. Президент Российской Федерации. Указ от 3 апреля 1995 г.
№34 "О мерах по соблюдению законности в области разработки,
производства, реализации и эксплуатации шифровальных средств, а
также предоставления услуг в области шифрования информации".
30. Гостехкоммисия РФ. Временное положение по организации
разработки, изготовления и эксплуатации программных и технических
средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. –
М.: Воениздат, 1992.
31. Никифоров И. Уголовные меры борьбы с преступностью. Защита информации // Конфидент, 1995.- №5.
48
СОДЕРЖАНИЕ
1. ОСНОВНЫЕ ПОНЯТИЯ…………………………………………..
2. ОПАСНЫЕ СИТУАЦИИ. РАНЖИРОВАНИЕ ОПАСНЫХ
СИТУАЦИЙ ПО СТЕПЕНИ ВЕРОЯТНОСТИ …………….…….
3. ЗАЩИТА, ПОДСКАЗАННАЯ ЗДРАВЫМ СМЫСЛОМ………..
4. УПРАВЛЕНИЕ РИСКАМИ………………………………………..
5. МЕТОДЫ РАНЖИРОВАНИЯ ОПАСНОСТЕЙ………………….
6. КРИТЕРИИ ОЦЕНКИ НАДЕЖНЫХ
КОМПЬЮТЕРНЫХ СИСТЕМ ……….....………………………...
6.1 Основные понятия…………………………………………..
6.2 Основные элементы политики безопасности……………...
6.3 Подотчетность……………………………………………….
6.4 Гарантированность………………………………………….
6.5 Документация………………………………………………..
6.6 Классы безопасности………………………………………..
7. ГАРМОНИЗИРОВАННЫЕ КРИТЕРИИ
ЕВРОПЕЙСКИХ СТРАН…………………………………………...
7.1 Основные понятия…………………………………………..
7.2 Функциональность…………………………………………..
8. РУКОВОДЯЩИЕ ДОКУМЕНТЫ ПО ЗАЩИТЕ ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ
ГОСТЕХКОМИССИИ ПРИ ПРЕЗИДЕНТЕ РФ…………………..
8.1 Термины и определения……………………………………
8.2 Концепция защиты от несанкционированного доступа
к информации……………………………………………….
8.3 Классификация автоматизированных систем по уровню
защищенности от несанкционированного доступа
к информации……………………………………………….
9. ОСНОВНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ……………………..
9.1 Идентификация и аутентификация………………………...
9.2 Управление доступом……………………………………….
9.3 Протоколирование и аудит…………………………………
9.4 Криптография………………………………………………..
9.5 Экранирование ……………………………………………...
10. ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА СОБСТВЕННОСТИ
В ЗАКОНОДАТЕЛЬСТВЕ РФ……………………………………
10.1 Коммерческая тайна……………………………………….
10.2 Банковская тайна…………………………………………..
ЛИТЕРАТУРА…………………………………………………………
49
3
4
8
9
11
12
12
14
17
19
21
22
23
23
24
25
26
28
31
31
32
36
37
38
42
44
46
46
47
Мелехова Ольга Николаевна
Попов Федор Алексеевич
МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В ЭВМ
Методическое пособие
Редактор Идт Л.И
Подписано в печать 18.01.2001. Формат 60х84 1/16
Усл. п. л. - 2,9. Уч.-изд. л. - 3,1
Печать – ризография, множительно - копировальный
аппарат «RISO TR - 1510»
Тираж 50 экз. Заказ 2001- 37
Издательство Алтайского государственного
технического университета
656099, г. Барнаул, пр. Ленина, 46
Оригинал-макет подготовлен ВЦ БТИ АлтГТУ
Отпечатано на ВЦ БТИ АлтГТУ
659305, г. Бийск, ул. Трофимова, 29
50