ФГБОУ ВПО «Воронежский государственный
технический университет»
Ю.К. Язов
ПРОЕКТИРОВАНИЕ ЗАЩИЩЕННЫХ
ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2014
УДК 681.325.3
Язов Ю. К. Проектирование защищенных информационнотелекоммуникационных систем: учеб. пособие [Электронный
ресурс]. – Электрон. текстовые, граф. данные (6,97 Мб) / Ю. К.
Язов. – Воронеж: ФГБОУ ВПО «Воронежский государственный
технический университет», 2014. – 1 электрон. опт. диск (CDROM). – Систем. требования: ПК 500 и выше; 256 Мб ОЗУ;
Windows XP; Adobe Reader; 1024x768; CD-ROM; мышь. – Загл. с
экрана. – Диск и сопровод. материал помещены в контейнер 12x14 см.
В
учебном
пособии
содержится
материал
по
организационным и техническим аспектам проектирования
информационно-телекоммуникационных систем в защищенном
исполнении, описываются порядок и нормативное обеспечение
такого проектирования. Рассматриваются пути построения систем
защиты информации от несанкционированного доступа и способы
применения в них современных мер и средств защиты
информации.
Раскрываются
особенности
проектирования
государственных информационных систем и информационных
систем персональных данных.
Издание соответствует требованиям Федерального
государственного
образовательного
стандарта
высшего
профессионального образования по специальностям 090302
«Информационная безопасность телекоммуникационных систем»,
090303 «Информационная безопасность автоматизированных
систем»,
дисциплинам
«Проектирование
защищенных
телекоммуникационных систем», «Информационная безопасность
распределенных информационных систем».
Табл. 56. Ил. 136. Библиогр.: 73 назв.
Научный редактор д-р техн. наук, проф. А.Г. Остапенко
Рецензенты: ОАО «Концерн «Созвездие»
(канд. техн. наук, ст. науч. сотрудник
О.В. Поздышева);
д-р техн. наук, проф. О.Н. Чопоров
© Язов Ю.К., 2014
© Оформление. ФГБОУ ВПО
«Воронежский государственный
технический университет», 2014
СОКРАЩЕНИЯ И ОСНОВНЫЕ ТЕРМИНЫ,
ИСПОЛЬЗУЕМЫЕ В ТЕКСТЕ
АРМ
АС
АЦП
ДКП
ВМ
ВП
ЗИ
ИС
ИСПДн
ИТ
ИК
ИТКС
КСЗ
ЛВС
ЛИС
МЭ
НЗБ
НИР
НСВ
НСД
ОК
ОКР
ОС
ОУД
ПО
ПРД
РД
САВЗ
СВТ
- автоматизированное рабочее место;
- автоматизированная система;
- аналого-цифровое преобразование;
- дискретное косинусное преобразование;
- виртуальная машина;
- вредоносная программа;
- защита информации;
- информационная система;
- информационная система персональных данных;
- информационная технология;
- инфракрасный;
- информационно-телекоммуникационная система;
- комплекс средств защиты;
- локальная вычислительная сеть;
- ложная информационная система;
- межсетевой экран;
- наименьшие значащие биты;
- научно-исследовательская работа;
- несанкционированное воздействие;
- несанкционированный доступ;
- «Общие критерии»;
- опытно-конструкторская работа;
- операционная система;
- оценочный уровень доверия;
- программное обеспечение;
- правило разграничения доступа;
- руководящий документ;
- средство антивирусной защиты;
- средство вычислительной техники;
3
СЗВП
СЗИ
СК
СОВ
СПМ
СУБД
СУВИ
ФБ
ФБС
ТЗ
ТСОИ
- система защиты от вредоносных программ;
- система защиты информации;
- крытый канал;
- система обнаружения вторжений;
- сеть Петри-Маркова;
- система управления базой данных;
- средство управления виртуальной инфраструктурой;
- функция безопасности;
- функция безопасности среды;
- техническое задание;
- техническое средство обработки информации
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих
ее обработку информационных технологий и технических
средств. Федеральный закон «Об информации, информационных технологиях и о защите информации» от
27.07.2006 г № 149 ФЗ.
Информационно-телекоммуникационная
система
(сеть) - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной
техники. Федеральный закон «Об информации, информационных технологиях и о защите информации» от
27.07.2006 г № 149 ФЗ.
Информационные технологии - процессы, методы
поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г № 149 ФЗ.
4
Система защиты информации - экономические, организационно-правовые и административные меры, нормативные процедуры (методы и способы), совокупность органов и/или исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и нормам, установленными соответствующими документами в области
защиты информации. ГОСТ Р 50922 – 2006. Защита информации. Основные термины и определения.
Угроза безопасности информации - совокупность
условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности
информации. ГОСТ Р 50922-2006. Защита информации.
Основные термины и определения.
Средство защиты информации - техническое, программное, программно-техническое средство, вещество и
(или) материал, предназначенные или используемые для
защиты информации. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Федеральный закон «Об информации,
информационных технологиях и о защите информации» от
27.07.2006 г № 149 ФЗ.
Информационные системы персональных данных –
совокупность содержащихся в базах данных персональных
данных и обеспечивающих их обработку информационных
технологий и технических средств. Федеральный закон «О
персональных данных» от 27.07.2006 г № 152 ФЗ.
5
ВВЕДЕНИЕ
Телекоммуникация – это связь на расстоянии. Телекоммуникационная система – это система, предназначенная для дистанционной передачи данных. Широкое внедрение в такие системы цифровых технологий, когда в линиях связи и передачи данных для процессов приема, записи, воспроизведения и передачи сообщений стали применять компьютеры, привело к понятию информационнотелекоммуникационной системы (сети), которая в соответствии с Федеральным законом от 27.07.2006 г № 149 ФЗ
понимается как информационная система, в которой информация может передаваться на расстояние по линиям
связи с применением цифровых технологий.
От бесперебойного функционирования информационно-телекоммуникационной систем (ИТКС) сегодня существенно зависит деятельность органов государственной
власти, предприятий и организаций в топливноэнергетической, транспортной, кредитно-финансовой и
многих других сферах деятельности государства и общества. Однако постоянно расширяющийся спектр угроз безопасности информации, обрабатываемой в таких системах,
при отсутствии адекватных мер защиты неизбежно приведет к нарушениям, следствием которых может быть не
только финансовые, экономические потери, срывы в выполнении государственных заданий, снижение деловой репутации предприятий, негативные социальные последствия, но и гибель людей, экологические катастрофы и т.п.
Возникновение и реализация таких угроз обусловлены деятельностью отдельных криминальных элементов, преступных сообществ и, конечно, иностранных спецслужб,
которые, по сути, развязали информационную войну в отношении многих государств, в том числе и России. В этих
6
условиях Правительством Российской Федерации, Советом безопасности Российской Федерации предпринимаются активные усилия по парированию указанных угроз, созданию и развертыванию отечественных ИТКС в защищенном исполнении. Это достигается не только нормативным регулированием со стороны государства деятельности
органов, предприятий и организаций в области защиты
информации, но и созданием отечественной компонентной
базы, программного обеспечения, отечественных средств и
систем защиты информации для ИТКС.
Сегодня под защищенными ИТКС или ИТКС в защищенном исполнении принято понимать информационные системы, в которых выполняются требования нормативных документов уполномоченных органов исполнительной власти, требования государственных, международных стандартов или стандартов организаций в области
защиты информации и информационных технологий. Следует подчеркнуть, что выполнение указанных требований
не означает, что в такой ИТКС в защищенном исполнении
не может быть реализована ни одна из известных угроз
безопасности информации и ИТКС является абсолютно
защищенной. Это лишь указывает на то, что в ИТКС обеспечивается определенный уровень рисков нарушения безопасности информации. Создание отечественных ИТКС в
защищенном исполнении сегодня является одним из приоритетных направлений обеспечения национальной безопасности страны.
В этих условиях задача проектирования ИТКС в
защищенном исполнении является очень актуальной. Ее
решением сегодня занимаются как специализированные
организации, так и многие предприятия и организации, которые своими силами пытаются решить проблемы защиты
информации. Вместе с тем, как в России, так и за рубежом
7
сегодня фактически отсутствуют учебные и методические
пособия по проектированию ИТКС в защищенном исполнении, которые учитывали бы современный уровень развития информационных технологий, требования последних нормативных документов в этой области. Соответственно отсутствуют современные пособия, предназначенные для подготовки специалистов по проектированию
ИТКС в защищенном исполнении.
Данное учебное пособие направлено на устранение
в определенной мере этого «пробела». В нем излагаются
основы проектирования ИТКС в защищенном исполнении,
при этом основное внимание уделяется вопросам построения систем защиты информации некриптографическими
методами от наиболее опасных угроз, обусловленных возможностями несанкционированного доступа к информации. Иные направления защиты, например, связанные с
криптографией, защитой от электромагнитных воздействий на ИТКС, защитой от утечки информации по техническим каналам, по беспроводным каналам связи и т.п.
освещаются лишь фрагментарно, поскольку каждое из таких направлений является весьма объемным и по ним
необходимо разрабатывать самостоятельные пособия.
Проектирование ИТКС в защищенном исполнении
невозможно без знания принципов построения, состава и
характеристик функционирования современных ИТКС,
применяемых в них информационных технологий и перспектив их внедрения. В связи с этим в пособии излагается
материал, содержащий сведения не только непосредственно о способах, мерах и средствах защиты информации, но
и о самих ИТКС.
Следует заметить, что в данном пособии пока не
охвачены новые технологии обработки информации в
ИТКС, такие как технологии виртуализации, суперкомпь8
ютерные технологии, технологии «облачных» вычислений
и т.п., поскольку вопросы защиты информации при использовании таких технологии только начинают рассматриваться.
Данное пособие предназначено для специалистов,
занимающихся вопросами проектирования ИТКС в защищенном исполнении, решения иных задач обеспечения
безопасности информации в таких системах, создания
средств и систем защиты информации или исследованиями
в этой области, а также студентам и слушателям, обучающимся по специальностям «Информационная безопасность
телекоммуникационных систем» и «Информационная безопасность автоматизированных систем».
9
1. ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫЕ СИСТЕМЫ
КАК ОБЪЕКТЫ ЗАЩИТЫ ОТ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
1.1. Состав и классификация информационнотелекоммуникационных систем
Уровень развития ИТКС и сетевых информационных технологий является важнейшей характеристикой информационного потенциала той или иной страны. Именно
эта характеристика определяет сегодня не только реальные
возможности эффективного использования внутренних
информационных ресурсов страны, но и степень ее вхождения в мировое информационное пространство и использования мировых информационных ресурсов.
ИТКС могут предоставлять пользователям различные виды информационных услуг, таких как: передача
данных и факсимильной информации; передача мультимедиа информации (речевой, музыки, графической и видеоинформации информации); электронная почта; служба новостей и конференций; доступ к файлам и документам;
удаленная обработка данных и др. Сегодня функционирует
огромное разнообразие таких систем, которые различаются
по назначению, используемой сетевой технологии, топологии построения, типу коммутации, составу и характеристикам программных и аппаратных компонентов и др. Для
систематизации представлений о множестве ИТКС проводится их классификация. На рис. 1.1 приведена классификационная схема, в которой для классификации использованы такие признаки классификации, как топология построения, базовая сетевая технология, используемая операционная система, масштаб и сфера применения.
10
Информационно-телекоммуникационные системы
По топологии
построения
По виду
коммутации
По базовой сетевой
технологии
По используемой операционной
системе
ИТКС по
топологии
«Шина»
ИТКС с
ИТКС с
коммутацией
коммутацией
каналов
каналов
ИТКС по технологии X.25
ИТКС c использованием
операционной системы
Unix и ее версий
ИТКС по
топологии
«Звезда»
ИТКС по
топологии
«Кольцо»
ИТКС по
топологии
«Дерево»
ИТКС с
коммутацией
сообщений
ИТКС с
коммутацией
пакетов
ИТКС по технологии
Ethernet
ИТКС по технологии Token Ring
ИТКС по технологии FDDI
ИТКС по технологии
Frame Relay
ИТКС c использованием
операционной системы
Linux и ее версий
ИТКС c использованием
операционной системы
Microsoft и ее версий
ИТКС c использованием
операционной системы
MacOS и ее версий
По масштабу
По сфере применения и назначению
ИТКС на базе локальной
сети передачи данных
ИТКС автоматизации делопроизводства (в том числе электронного
документооборота)
ИТКС на базе кампусной
сети передачи данных
ИТКС на базе корпоративной сети передачи данных
ИТКС на базе региональной
сети передачи данных
ИТКС на базе глобальной
сети передачи данных
ИТКС банковской и кредитнофинансовой сферы
)
ИТКС правоохранительной
сферы
ИТКС обеспечения жизнедеятельности населения
Геоинформационные системы
ИТКС Минобрнауки России
ИТКС управления железнодорожным транспортом
ИТКС по технологии ATM
ИТКС управления морским и речным транспортом
ИТКС управления промышленным
производством
ИТКС управления электроснабжением
Рис. 1.1. Классификация информационно-телекоммуникационных систем
11
Характеризуя различные классы ИТКС в соответствии с этими классификационными признаками (см.
рис. 1.1), необходимо отметить следующее.
Первые компьютерные сети были построены по топологии «Общая шина» (сеть ApraNet в 1964 г.). При построении сети по шинной схеме каждый компьютер присоединяется через коннектор к общему кабелю, на концах
которого устанавливаются терминаторы («заглушки»).
Сигнал проходит по общему кабелю через все компьютеры, отражаясь от конечных терминаторов (рис. 1.2).
Сервер
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рис. 1.2. Схема построения сети по топологии
«Общая шина»
При этом каждая рабочая станция проверяет адрес
сообщения, и, если он совпадает с адресом рабочей станции, она его принимает. Если же адрес не совпадает, сигнал уходит по линии дальше. К основным недостаткам такой топологии относится, во-первых, то, что если одна из
подключённых машин не работает, это не сказывается на
работе сети в целом, однако если соединение с кабелем
любой из подключенных машин нарушается из-за повреждения контакта в разъёме или из-за обрыва кабеля, а также из-за неисправности терминатора, то весь сегмент сети
(участок кабеля между двумя терминаторами) теряет целостность, что приводит к нарушению функционирования
12
всей сети. Во-вторых, ограничена длина кабеля и количество рабочих станций. В третьих, для таких сетей характерна невысокая производительность и пропускная способность.
Наряду с топологией «Общая шина» к 70-м годам
прошлого века достаточно быстро появилась топология
«Кольцо». Эта топология представляет собой последовательное соединение компьютеров, когда последний соединён с первым (рис. 1.3).
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Сервер
Рабочая станция
Рабочая станция
Рабочая станция
Рис. 1.3. Схема построения сети по топологии «Кольцо»
Сигнал (маркер с сообщением) проходит по кольцу
от компьютера к компьютеру в одном направлении. Каждый компьютер работает как повторитель, усиливая сигнал
и передавая его дальше. Поскольку сигнал проходит через
каждый компьютер, сбой одного из них приводит к нарушению работы всей сети.
13
Наконец, объективным развитием рассмотренных
топологий стала топология «Звезда» – схема соединения,
при которой каждый компьютер подсоединяется к сети
при помощи отдельного соединительного кабеля (рис. 1.4).
Один конец кабеля соединяется с гнездом сетевого адаптера, другой подсоединяется к центральному устройству,
называемому концентратором.
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Сервер
Концентратор
Рабочая станция
Рабочая станция
Рабочая станция
Рис. 1.4. Схема построения сети по топологии «Звезда»
Достоинствами построения сети по топологии
«Звезда» являются: беспроблемное масштабирование сети;
возможность централизованного управления сетью и
быстрой локализации нарушений; отсутствие влияния
нарушений работы одной рабочей станции на другую.
Кроме указанных топологий могут применяться
смешанные топологии, такие как:
топология «Звезда-Шина», когда несколько сетей с топологией «Звезда» объединяются при
помощи магистральной линейной шины;
топология «Пересекающиеся кольца» (рис. 1.5)
топология «Дерево» (рис. 1.6) и др.
14
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Сервер
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рис. 1.5. Схема построения сети по топологии
«Пересекающиеся кольца»
Сервер
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция
Рабочая станция Рабочая станция
Рис. 1.6. Схема построения сети по топологии «Дерево»
15
Все сети могут быть разделены на три основных типа: с коммутацией каналов, с коммутацией сообщений и с
коммутацией пакетов. Сети с коммутацией каналов работают, образуя выделенное соединение (канал) между двумя точками. Характерным примером сети с коммутацией
каналов является телефонная сеть. При этом телефонный
вызов устанавливает канал от вызывающего телефона через локальную АТС по линиям связи к удаленной АТС и,
наконец, к отвечающему телефону.
Пока существует канал, телефонное оборудование
постоянно опрашивает микрофон, кодирует полученное
значение в цифровой форме и передает его по этому каналу к получателю. Преимущество коммутации каналов заключается в ее гарантированной пропускной способности:
как только канал создан, ни один сетевой процесс не
уменьшит пропускной способности этого канала. Недостатком при коммутации каналов является ее стоимость:
платы за каналы являются фиксированными и независимыми от трафика. Сеть с коммутацией сообщений является
вариацией сети с выделенным каналом, но с уплотнением
нескольких сообщений в одном канале.
Сети с коммутацией пакетов – тип сетей, применяемый в компьютерных сетях, в которых используется совершенно другой подход. В сетях с коммутацией пакетов
трафик сети делится на небольшие части, называемые пакетами (кадрами, ячейками), которые объединяются в высокоскоростных межмашинных соединениях. Пакет, который обычно содержит только несколько сотен байтов данных, имеет идентификатор, позволяющий компьютерам в
сети узнавать, предназначен ли он им и, если нет, помогает
определить, по какому адресу его послать. Главным преимуществом коммутации пакетов является то, что большое
число соединений между компьютерами может работать
16
одновременно, так как межмашинные соединения разделяются между всеми парами взаимодействующих машин.
При этом применяются следующие методы «продвижения
пакетов»:
1) «дейтаграммный» метод передачи, когда соединение между компьютерами не устанавливается, каждый
пакет рассматривается как совершенно независимая единица передачи и передается в соответствии с записанным в
нем адресом. Процедура обработки пакета определяется
только значениями параметров, которые он несет в себе, и
текущим состоянием сети (например, в зависимости от загрузки сети пакет может стоять в очереди на обслуживание);
2) метод установления логического соединения, когда передача распадается на так называемые сеансы, при
этом процедура обработки определяется не для отдельного
пакета, а для всего множества пакетов, передаваемых в
рамках этого сеанса, Для реализации этого метода используется идентификатор соединения. Характерно, что фиксированный маршрут в данном случае не является обязательным параметром соединения;
3) метод установления виртуального канала – заранее проложенного и указанного в параметрах пакета фиксированного маршрута.
Учет типов коммутации и методов продвижения пакетов по сети крайне важен при решении вопросов защиты
информации.
Сети с коммутацией пакетов стали широко применяться практически во всех областях деятельности, некоторые из них разрослись до больших географических размеров (например, сеть Internet). Чтобы охарактеризовать
масштаб сетей, зарубежные специалисты часто делят их на
следующие категории:
17
PAN (Personal Area Network) — персональная сеть,
предназначенная
для
взаимодействия
различных
устройств, принадлежащих одному владельцу;
LAN (Local Area Network) — локальные сети, имеющие замкнутую инфраструктуру до выхода на поставщиков услуг. Термин «LAN» может описывать и маленькую
офисную сеть, и сеть уровня большого завода, занимающего несколько сотен гектаров. Зарубежные источники дают
даже близкую оценку — не более шести миль (10 км) в радиусе;
CAN (Campus Area Network — кампусная сеть) —
объединяет локальные сети близко расположенных зданий;
MAN (Metropolitan Area Network) — городские сети
между учреждениями в пределах одного или нескольких
городов, связывающие много локальных вычислительных
сетей;
WAN (Wide Area Network) — глобальная сеть, покрывающая большие географические регионы, включающие в себя как локальные и городские сети, так и прочие
телекоммуникационные сети и устройства. Глобальные
сети являются открытыми и ориентированы на обслуживание любых пользователей.
В отечественной практике сети делятся на локальные, корпоративные, региональные и глобальные. Понятие
локальной сети примерно совпадает с понятием, используемым зарубежными специалистами. Корпоративная сеть –
это распределенная сеть предприятия, то есть ИТКС, принадлежащая и/или управляемая единой организацией в соответствии с правилами этой организации. Следует заметить, что корпоративная сеть отличается, например, от
глобальной сети тем, что правила распределения сетевых
адресов, работы с интернет-ресурсами и т.д. едины для
всей корпоративной сети, в то время как в глобальной сети
18
провайдер контролирует только магистральный сегмент
сети, позволяя своим клиентам самостоятельно управлять
их сегментами сети, которые могут являться как частью
адресного пространства провайдера, так и использовать
скрытый механизм сетевой трансляции адресов. Региональная сеть – сеть, соединяющая множество локальных и
корпоративных сетей в рамках одного района, города или
региона. Наконец, глобальная сеть – это сеть, объединяющая компьютеры разных городов, регионов и государств.
В отечественной практике иногда используют понятие и кампусной сети в той трактовке, которая введена зарубежными специалистами.
Следует отметить, что ИТКС могут разделяться и
по другим признакам, например, по применяемой сегодня
архитектуре взаимодействия. В этом случае ИТКС разделяются на системы, использующие файл-серверную и клиент-серверную архитектуру. В файл-серверных информационных системах база данных находится на файловом
сервере, а СУБД и клиентские приложения находятся на
рабочих станциях. В клиент-серверных информационных
системах база данных и СУБД находятся на сервере, а на
рабочих станциях находятся лишь клиентские приложения.
Важными элементами построения сетей являются
коммуникационные элементы, к которым относятся повторители, концентраторы, мосты и коммутаторы, маршрутизаторы и шлюзы. Рассмотрим принципы их функционирования и условия применения, в том числе с позиции обеспечения защиты информации в сетях.
Повторители являются аппаратными и программно-аппаратными устройствами физического уровня взаимодействия, обеспечивающие усиление и при необходимости разветвление электрического сигнала для увеличения
19
размера сегмента локальной сети. Под каждым сетевым
сегментом понимается часть сети, за пределами которой
распространяются только те пакеты сообщений, которые
адресованы не входящим в этот сегмент компьютерам. В
пределах сегмента реализуется метод множественного доступа, когда отправляемый пакет сообщения доставляется
всем остальным компьютерам в этом сегменте, а принимается только тем компьютером, которому он адресован. При
топологии «Общая шина» повторители применяются для
подключения отдельных участков с общей шиной и для
увеличения длины участка. Такие повторители называют
линейными повторителями, так как они содержат один
входной и один выходной порт. Повторители относятся к
«прозрачным» и неадресуемым сетевым устройствам, работающим с той же скоростью, что и связываемые ими
участки сети. Помимо усиления и разветвления электрического сигнала повторители обеспечивают выполнение
функций восстановления сигналов и обработки ошибок.
Если сигналы являются искаженными или зашумленными,
но все еще различимыми для повторителя, то перед ретрансляцией другим портам повторитель восстанавливает
эти сигналы. В случае, когда поступают ошибочные сигналы, повторитель блокирует их дальнейшее распространение.
Повторители могут выполнять также функции избирательного шифрования пакетов в интересах парирования возможности наблюдения сетевого трафика в мониторном режиме работы сетевого адаптера любого из компьютеров сегмента (режим запускается с любого компьютера сегмента путем запуска специальной программы сетевого анализатора при поиске ошибок и анализе производительности сети). При этом пакет, ретранслируемый портом, к которому подключен получатель этого пакета, не
20
шифруется и, таким образом, получатель принимает пакеты незашифрованными, а все другие компьютеры видят их
в зашифрованном виде.
Кроме того, повторителями может осуществляться
фильтрация физических адресов (MAC-адресов1) в интересах обеспечение приема только подлинных пакетов сообщений и защиты от подстановки МАС-адресов (об адресации более подробно см. в разделе 1.3). Цель такой подстановки – обман операционной системы и другого связанного с канальным уровнем программного обеспечения, чтобы
выполнить несанкционированные действия. Фильтрация
заключается в отбрасывании всех пакетов, в которых
МАС-адреса не зарегистрированы в повторителе. При обнаружении пакета с незарегистрированным адресом повторитель полностью отключает порт, с которым этот
компьютер соединен.
При топологиях «Кольцо» и «Звезда» роль повторителей выполняют активные концентраторы или, как их еще
называют, хабы (от англ. hub – центр), объединяющие
группы компьютеров в сетевом сегменте. Хабы реализуют
функции коммутации и усиления сигнала. Пассивные концентраторы реализуют только функции разветвления сигнала.
Мосты – это сетевые устройства, которые применяются для разбиения локальной сети на сегменты, а также
объединения полученных сегментов и небольших локальных сетей. По сути дела, мост – это компьютер с двумя и
более сетевыми адаптерами. Самая простая схема моста с
тремя портами приведена на рис. 1.7.
От англ. Media Access Control – управление доступом к среде, уникальный идентификатор, присваиваемый каждому сетевому адаптеру
(сетевой карте)
1
21
Процессор
Порт №1
Память
Порт №3
Порт №2
Рис. 1.7. Схема моста с тремя портами
Объединяемые сегменты локальной сети подсоединяются к портам моста, в качестве которых выступают сетевые адаптеры. Каждый сегмент подсоединяется к сетевому адаптеру, тип которого совпадает с типом этого сегмента (тип сегмента соответствует реализуемой в нем сетевой технологии).
Мост либо ретранслирует принятые пакеты, если
получатель находится в другом сегменте, либо фильтрует
их, если находится в одном сегменте, в соответствии с
МАС-адресом. Решение о ретрансляции или фильтрации
принимается самим мостом на основе постоянно обновляемой таблицы адресации, записываемой в память моста.
Для каждого адреса таблица имеет три поля записи: сам
адрес, номер порта, на котором адрес наблюдался в последний раз, а также возраст МАС-адреса. Возраст адреса с
0 увеличивается каждую секунду на 1. При достижении
границы возраста информация об МАС – адресе стирается
из таблицы (поле обнуляется), оно обнуляется и при получении пакета с таким же МАС-адресом. Это гарантирует
поддержание информации о сети в актуальном состоянии.
Кроме того, при отключении компьютеров от сети ненужная информации стирается.
22
Коммутаторы, как и мосты, применяются для разбиения локальной сети на сегменты, а также для объединения этих сегментов и небольших локальных сетей. В отличие от мостов коммутаторы содержат большее количество портов, имеют более высокую производительность и
могут не только разделять сеть на сегменты, но и разграничивать потоки сообщений между различными узлами
сети друг от друга. Первые коммутаторы имели лишь 6
или 8 портов. С развитием технологии появились коммутаторы с 16, 24 и более портами. Конструктивно коммутатор
выполнен в виде сетевого концентратора. Коммутатор может обрабатывать много пакетов одновременно, проверять
пакеты, управлять таблицей адресов и принимать решение
об одновременной или параллельной ретрансляции для
всех своих портов. Каждый порт коммутатора, подобно
порту сетевого адаптера, имеет принимающую и передающую части. Каждая часть порта связана с перекрестной
матрицей, реализованной аппаратным способом на основе
специализированных интегральных схем. Принимающая
часть каждого порта связана с горизонтальной линейкой
перекрестной матрицы, а передающая - с вертикальной
(рис. 1.8).
Так можно коммутировать любую пару портов. Поскольку между портами может быть много логических путей, то одновременно можно ретранслировать много кадров. В этом суть технологии коммутации пакетов. В результате сеть превращается в совокупность параллельно
работающих высокоскоростных каналов.
Следует отметить, что каждый порт коммутатора
работает как конечный узел своего сегмента, за одним
важным исключением – порт коммутатора не имеет собственного MAC-адреса. Порт принимает весь трафик в
присоединенном к нему сегменте.
23
Прием
Порт №1
Порт №2
Порт №3
Порт №4
Порт №5
Порт №6
Порт
№1
Порт
№2
Порт
№3
Порт
№4
Порт
№5
Передача
Порт
№6
Рис. 1.8. Логическая схема коммутатора
Мосты и коммутаторы не реализуют функцию выбора оптимального маршрута передачи пакета, а лишь пересылают пакеты сообщений из одного локального сегмента сети в другой. Данная функция возложена на маршрутизаторы.
Маршрутизатор, как и мост, представляет собой
специализированный компьютер с двумя или более сетевыми адаптерами, выступающими в качестве портов
маршрутизатора. Он обеспечивает оптимальный трафик по
сложным маршрутам в разветвленных объединенных сетях, имеющих избыточные связи. В дополнение он отфильтровывает ненужный поток широковещательных сообщений, повышая тем самым пропускную способность
24
каналов связи. Специализированное программное обеспечение маршрутизатора проверяет каждый принятый пакет,
определяет наилучший маршрут его дальнейшей передачи
и ретранслирует в соответствующий порт маршрутизатора.
В отличие от мостов и коммутаторов маршрутизаторы
имеют следующие особенности функционирования:
для принятия решения о ретрансляции пакета
маршрутизаторы анализируют не МАС-адрес получателя пакета, а сетевой адрес получателя (см.
раздел 1.3), то есть IP – адрес, включающий в отличие от МАС-адреса номер сети, к которой подсоединен компьютер, а также номер самого компьютера в пределах данной сети;
маршрутизаторы имеют свой сетевой адрес и не
являются «прозрачными» устройствами; при
необходимости отправки сообщения через маршрутизатор требуется обратиться именно к маршрутизатору;
при использовании маршрутизаторов должны
применяться маршрутизируемые протоколы (см.
раздел 1.4), такие как IP (Internet Protocol); в случае использования немаршрутизируемого протокола, например, NetBIOS, пакеты которого не
включают информацию об адресе сети, передаваемые через маршрутизатор пакеты должны быть
инкапсулированы (спрятаны) в пакеты маршрутизируемого протокола (например, IP).
Если локальная сеть (или сегмент) не поддерживает
протоколы, используемые в сети (или сегменте), с которой
организуется взаимодействие, то для объединения таких
сетей (или сегментов) должны использоваться специализированные компьютеры, называемые шлюзами. Шлюз обеспечивает маршрутизацию передаваемой информации и
25
Коммутатор №2
Тран
к
№4
Коммутатор №4
Коммутатор №5
Тр
а
№ нк
3
Коммутатор №1
Тр
а
№ нк
5
Тр
а
№ нк
1
Тр
а
№ нк
2
протокольное преобразование. Обычно шлюзы позволяют
пользоваться такими сервисами как электронная почта, пересылка файлов, доступ к базе данных т.п.
Для повышения производительности сетей за счет
использования избыточных связей применяется так называемое агрегирование линий связи, когда несколько физических каналов между двумя коммуникационными устройствами (например, коммутаторами) объединяются в один
логический канал, который часто называют транком [1].
При этом решаются и вопросы защиты информации, так
как при отказе одной из составляющих логического канала
трафик распределяется между оставшимися линиями
(рис. 1.9).
Коммутатор №3
Коммутатор №6
Рис. 1.9. Агрегирование физических каналов
Агрегирование каналов используется как между
портами коммутаторов сети, так и для связей между компьютером и коммутатором. Чаще всего этот вариант выби26
рают для высокоскоростных и важных серверов. В этом
случае все сетевые адаптеры, входящие в транк, принадлежат одному компьютеру и разделяют один и тот же сетевой адрес.
Важным свойством коммутаторов является способность контролировать передачу кадров между сегментами
сети. По различным причинам (например, из-за отсутствия
прав доступа) передачу некоторых кадров необходимо
блокировать. Применение для этого пользовательских
фильтров позволяет блокировать кадры только применительно к конкретным адресам, при этом широковещательный трафик должен быть передан всем сегментам сети, а
это приводит к снижению защищенности сети. Для преодоления такого ограничения используют технологию
виртуальных сетей.
Виртуальная сеть или VLAN (Virtual Local Area
Network) — это группа устройств, имеющих возможность
взаимодействовать между собой напрямую на канальном
уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. VLAN как логическая структура имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. При этом устройства, находящиеся в разных
виртуальных сетях, невидимы друг для друга, даже если
они подключены к одному коммутатору.
Основное назначение технологии VLAN состоит в
обеспечении процесса создания изолированных сетей, которые затем обычно связываются между собой с помощью
маршрутизаторов. Такое построение сети создает мощные
барьеры на пути нежелательного трафика из одной сети в
другую.
27
При построении VLAN возможны несколько решений.
1. На базе портов коммутатора (Port-based): порту
коммутатора «вручную» назначается одна VLAN. Это обусловлено тем, что, если через порт проходит трафик разных виртуальных сетей, коммутатор должен его как-то
различать. Для этого каждый кадр трафика должен быть
помечен каким-то особым образом. Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE2 802.1Q. При этом для коммутатора VLAN это просто метка в кадре, который передается по
сети. Метка содержит номер VLAN (его называют
VLAN ID или VID), на который отводится 12 бит, то есть
VLAN могут нумероваться от 0 до 4095. На портах коммутаторов указывается, в какой VLAN они находятся. В зависимости от этого весь трафик, который выходит через
порт, помечается меткой, то есть меткой VLAN. Трафик
может в дальнейшем проходить через другие порты коммутатора или коммутаторов, которые находятся в этой
VLAN, но не сможет пройти через все остальные порты. В
итоге, создается изолированная среда (подсеть), которая
без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями. В случае если одному порту должны соответствовать несколько
VLAN (например, если соединение VLAN проходит через
несколько сетевых коммутаторов), то этот порт должен
быть членом транка.
2. С опознаванием принадлежности устройства к
VLAN по его MAC-адресу (MAC-based): членство в VLAN
Институт инженеров по электротехнике и электронике (Institute of
Electrical and Electronics Engineers, IEEE), организация, занимающаяся
стандартизацией всех сетевых стандартов
2
28
основывается на MAC-адресе рабочей станции. В таком
случае сетевой коммутатор имеет таблицу MAC-адресов
всех устройств вместе с VLAN, к которым они принадлежат.
3. Построение по протоколу (Protocol-based): данные в заголовке пакета используются, чтобы определить
принадлежность к VLAN. Основной недостаток этого построения в том, что оно нарушает независимость уровней
взаимодействия, поэтому, например, переход с версии протокола IPv4 на версию IPv6 приведет к нарушению работоспособности сети.
4. Построение с аутентификацией пользователей
устройств, входящих в VLAN.
Пример построения VLAN на одном коммутаторе
приведен на рис. 1.10.
Виртуальная сеть №1
Виртуальная сеть №2
Виртуальная сеть №3
Рис. 1.10. Виртуальная сеть, построенная на одном
коммутаторе
29
Виртуальные сети позволяют обеспечить:
построение сети независимо от географического
расположения составляющих компонентов сети;
разбиение одного широковещательного домена
на несколько широковещательных доменов, при
этом уменьшается нагрузка на сетевые устройства;
применение единой политики безопасности на
группу устройств, которые находятся в одной
VLAN;
использование виртуальных интерфейсов для
маршрутизации.
Развитием технологии виртуальных сетей стало появление частных виртуальных сетей, о которых изложено в
разделе 4.
1.2. Базовые сетевые технологии и их характеристика
Базовые сетевые технологии – это технологии передачи данных по сети на физическом уровне. Их интенсивная разработка разными производителями, начавшаяся еще
в 70-х годах прошлого века, привела к тому, что сегодня
имеется весьма большой набор таких технологий. Каждая
из них, по сути, определяет характеристики сетевого адаптера и заложенные в него правила (протоколы) обработки
сигналов, передаваемых по сети от компьютера к компьютеру. Если эти правила различны для двух компьютеров, то
взаимодействия между ними не получится. В табл. 1.1 указаны некоторые базовые сетевые технологии, наиболее
широко используемые в компьютерных сетях. Ниже дается
краткая характеристика каждой из указанных технологий.
30
Таблица 1.1
Базовые сетевые технологии, используемые
в компьютерных сетях
Технология
Ethernet
Token Ring
FDDI
Х.25
Frame Relay
ATM
IP/ MPLS
Масштаб сети
ЛВС, корпоративные, региональные
и глобальные сети
ЛВС, корпоративные сети
Корпоративные, региональные сети
Глобальные сети
ЛВС, корпоративные, региональные
и глобальные сети
Глобальные сети
Глобальные сети
Год разработки
1972
1984
1988
1974
1992
1990
1996
Технология Ethernet (от англ. ether - «эфир», net сеть) в первоначальном варианте была разработана фирмой Xerox PARC и реализована в сети ALONA в 1972 году.
Сети по этой технологии строились с использованием коаксиального кабеля приблизительно полдюйма в
диаметре и до 500 метров длиной – «толстый Ethernet».
Неудобство использования таких коммуникаций
быстро стало очевидным и скоро появился так называемый
«тонкий Ethernet» - на тонком кабеле, затем Ethernet на витой паре (экранированной и неэкранированной) и на оптоволокне. В сети «толстый Ethernet» сетевой адаптер подсоединялся к кабелю через так называемый трансивер –
устройство, необходимое для выявления факта использования кабеля компьютерами, трансляции аналоговых электрических сигналов, идущих по кабелю, преобразования
аналоговых сигналов в цифровую форму или из нее в аналоговую. В сети «тонкий Ethernet» трансивер отсутствует,
а его роль выполняют высокоскоростные цифровые микросхемы сетевого адаптера. В этом случае сеть Ethernet
может быть создана с помощью стандартного коаксиаль-
31
ного кабеля. Сегодня вместо кабелей в основном используется витая пара, оптоволоконные кабели или беспроводная
среда. Динамика развития данной технологии и достигаемые характеристики передачи данных показаны в табл. 1.2
[2].
Таблица 1.2
Развитие технологии Ethernet и достигаемые
характеристики передачи данных
Тип (стандарт)
10Base-5
Скорость передачи
10 Мбит/с (толстый коаксиал)
Длина
500 м
10Base-2
10Base-T
10Base-FL
100Base-TX
(Fast Ethernet)
100Base-T4
(Fast Ethernet)
100Base-FX
(Fast Ethernet)
1000Base-SX
(Gigabit Ethernet)
1000Base-LX
(Gigabit Ethernet)
10GBASE-LR,
10GBASE-ER,
10GBASE-SR,
10GBASE-LW и
10GBASE-LX4.
10 Мбит/с (тонкий коаксиал)
10 Мбит/с (витая пара)
10 Мбит/с (оптоволоконный кабель)
100 Мбит/с (витая пара – две пары)
185 м
100 м
2 км
100 м
100 Мбит/с (витая пара – четыре пары)
100 Мбит/с (оптоволоконный кабель)
100 м
1000 Мбит/с (многомодовый оптоволоконный кабель)
1000 Мбит/с (многомодовый оптоволоконный кабель – 9/126 мкм)
10 Гбит/с (многомодовый оптоволоконный кабель, на трех длинах волн –
850, 1310 и 1550 нм со спектральным
уплотнением)
412 м/
2 км
500 м
5 км
До 10
км
В 1979 году корпорации Didutal, Intel и Xerox создали промышленный стандарт 10-мегабитного Ethernet,
известного как Ethernet II. В 1981 году на базе него был
создан международный стандарт IEEE 802.3 (последний по
спецификациям несколько отличается от своего предшественника).
32
Схема доступа в сеть, построенную по технологии
Ethernet, называется множественным доступом с контролем несущей и обнаружением коллизий (Carrier Sense
Multiple Access with Collision Detection – CSMA/CD).
Наиболее наглядным является процесс возникновения
коллизий в сети, построенной по схеме «Общая шина». По
этой схеме несколько машин могут получить доступ к сети
одновременно и каждая машина определяет, занят ли кабель, по наличию несущей в нем. Когда интерфейс компьютера имеет пакет, который нужно передать, он «слушает»
кабель, чтобы узнать, передается ли уже чье-то сообщение
(т.е. определяет наличие несущей). Когда передачи не обнаружено, компьютер начинает свою передачу. Каждая
передача ограничена в своей продолжительности (так как
существует максимальный размер пакета).
Возможны случаи, когда два электрических сигнала
передаются одновременно, при этом они перемешиваются,
в результате чего оба становятся искаженными. Такие события называются коллизиями. В технологии Ethernet
предусмотрена обработка коллизий: когда коллизия обнаружена, компьютер в аварийном порядке завершает передачу, ждет конца работы других станций и снова пытается
повторить передачу с экспоненциальной задержкой по
времени.
Коллизии могут происходить и при построении сети
по топологии «Звезда» из-за сбоев в работе сетевого адаптера или операционной системы, когда второй кадр начинается записываться в буфер до окончания передачи первого, а также в коммуникационном оборудовании (коммутаторах, маршрутизаторах) при возникновении перегрузки
оборудования передаваемыми кадрами, что может приводить к ошибкам в адресации и наложению нескольких кадров друг на друга.
33
Чтобы позволить компьютеру определить, какие пакеты адресованы ему, сетевому адаптеру компьютера, как
было отмечено выше, назначено 48-битовое число, называемое физическим или MAC-адресом. Обычно этот адрес
фиксируется в оборудовании интерфейса компьютера. Так
как MAC-адреса принадлежат аппаратным устройствам, то
они иногда называются аппаратными адресами.
Кадры по технологии Ethernet имеют переменную
длину в пределах от 64 байтов (блок из 8 бит - октет, чаще
называемый байтом) до 1518 байтов. На рис. 1.11 показан
формат кадра Ethernet II.
Преамбула
1 байт,
признак
начала
кадра
7 байтов,
последовательность бит для
синхронизации
приема
6 байтов,
адрес получателя
6 байтов, 2 байта,
тип
адрес откадра
правителя
46 – 1500
байтов,
данные
4 байта,
циклическая контрольная
сумма
Рис. 1.11. Формат кадра по технологии Ethernet II
Появление многопортовых концентраторов дало
вторую жизнь технологии Ethernet: возникла технология
коммутируемого Ethernet, что стало толчком к созданию
виртуальных локальных вычислительных сетей (см. раздел 1.1).
Технология Token Ring ориентирована на создание сетей с топологией «кольцо» и основана на маркерном
принципе регистрации приема и передачи информации по
сети. Здесь в отличие от Ethernet, где каждое сетевое
устройство может передавать данные при отсутствии коллизии в любое время, передача и прием осуществляется
только при получении сетевым устройством (компьютером) маркера (токена). Маркер передается по кольцу в од34
ном направлении и проходит последовательно через все
рабочие станции. Если у рабочей станции нет данных для
передачи, то маркер просто повторяется адаптером и отправляется к следующему по кольцу устройству. Если
необходимо передать информацию, то к маркеру добавляется кадр, содержащий адрес источника и адрес назначения данных, а также сам блок данных. При этом в стандарте отсутствуют формальные ограничения на длину кадра.
Простейшее кольцо Token Ring обеспечивает скорость передачи до 4 Мбит/с.
Не все станции в кольце равны. Одна из станций
определяется как активный монитор, что означает дополнительную ответственность по управлению кольцом. Активный монитор осуществляет управление тайм-аутом
(временем удержания маркера, в течение которого станции
должны передавать свои кадры, если они у них имеются) в
кольце, порождает новые маркеры (если необходимо), чтобы сохранить рабочее состояние, и генерирует диагностические кадры при определенных обстоятельствах. Активный монитор выбирается, когда кольцо инициализируется,
и в этом качестве может выступить любая станция сети.
Если монитор отказал по какой-либо причине, существует
механизм, с помощью которого другие станции (резервные
мониторы) могут «договориться» (выбрать по установленному алгоритму), какая из них будет новым активным монитором.
Для построения сети по технологии Token Ring и
связывания компьютеров используются концентраторы,
называемые устройствами многостанционного доступа
(рис. 1.12) [1] или MSAU-устройства (Multi-station Access
Unit, MSAU).
35
Концентраторы
Рис. 1.12. Физическая конфигурация сети, построенной
по технологии Token Ring
Использование в ней концентраторов приводит к
тому, что сети имеют физическую топологию «Звезда», а
логическую – «Кольцо». Концентратор может быть активным и пассивным. Пассивный концентратор обеспечивает
лишь соединение станций, а активный – осуществляет регенерацию.
Концентраторы обеспечивают обход какого-либо
порта, когда подключенный к этому порту компьютер выключается.
Сеть может включать до 260 узлов, максимальное
число узлов обусловлено временем оборота маркера (токена)
по кольцу, а также тем, что время удержания токена каждым
компьютером ограничено и по умолчанию равно 10 мс.
В стандарте IEEE 802.5, определяющем технологию
Token Ring, максимальный размер кадра, передаваемого по
сети, не определен.
Для сетей со скоростью 4 Мбит/с он, как правило,
равен 4 Кбайт. Формат кадра является результатом совмещений спецификаций, определенных стандартами IEEE
36
802.5 и IEEE 802.2.
В технологии Token Ring существует три различных
формата кадров: кадр маркера, кадр данных и кадр прерывающейся последовательности [3].
Кадр маркера состоит из трех полей, каждое длиной в один байт: начального ограничителя, контроля доступа и конечного ограничителя (рис.1.13).
Начальный
разделитель
Управление
доступом
1 байт
1 байт
Конечный
разделитель
1 байт
Рис. 1.13. Формат кадра маркера
Поле начального разделителя появляется в начале
маркера, а также в начале любого кадра, проходящего по
сети. Поле состоит из уникальной серии электрических
импульсов, которые отличаются от тех импульсов, которыми кодируются единицы и нули в байтах данных. Поэтому начальный ограничитель нельзя спутать ни с какой
битовой последовательностью.
Поле управления доступом разделяется на четыре
элемента данных: PPP, T, M и RRR, где PPP - биты приоритета, T - бит маркера, M - бит монитора, RRR - резервные биты.
Каждый кадр или маркер имеет приоритет, устанавливаемый битами приоритета (значение от 0 до 7,
7 - наивысший приоритет). Станция может воспользоваться маркером, если только она получила маркер с приоритетом, меньшим или равным, чем ее собственный. Сетевой
адаптер станции, если ему не удалось захватить маркер,
помещает свой приоритет в резервные биты маркера, но
37
только в том случае, если записанный в резервных битах
приоритет ниже его собственного. Эта станция будет
иметь преимущественный доступ при последующем поступлении к ней маркера.
Поле конечного разделителя - последнее поле маркера. Так же, как и поле начального ограничителя, это поле
содержит уникальную серию электрических импульсов,
которые нельзя спутать с данными. Кроме отметки конца
маркера это поле также содержит два подполя: бит промежуточного кадра и бит ошибки. Эти поля относятся больше к кадру данных, который рассматривается ниже.
Кадр данных состоит из нескольких групп полей
(рис. 1.14).
1
1
Начальный
разделитель
1
6
6
0 …4096
Адрес получателя
Управление
доступом
4
1
1
Данные
Контрольная
сумма
Адрес отправителя
Конечный
разделитель
Контроля
кадра
Статус кадра
Рис. 1.14. Формат кадра данных (цифры – длина
полей в байтах)
Кадр данных может переносить данные либо для
управления кольцом (данные MAC-уровня3), либо пользовательские данные (LLC4-уровня) [1]. Стандарт Token Ring
определяет 6 типов управляющих кадров MAC-уровня.
Уровень межсетевого доступа (Media Access Control – MAC)
Уровень управления логическим соединением (Logical Link Control –
LLC)
3
4
38
Поле «последовательность начала кадра» определяет тип кадра (MAC или LLC) и, если он определен как
MAC, то поле также указывает, какой из шести типов кадров представлен данным кадром.
Назначение этих шести типов кадров следующее:
чтобы удостовериться, что ее адрес уникальный,
станция посылает кадр «Тест дублирования адреса», когда впервые присоединяется к кольцу;
чтобы сообщить другим станциям, что он еще
функционирует, активный монитор запускает
кадр «Активный монитор существует» так часто,
как только может;
кадр «Существует резервный монитор» отправляется любой станцией, не являющейся активным монитором;
резервный монитор отправляет «Маркеры заявки», когда подозревает, что активный монитор
отказал. Резервные мониторы затем «договариваются» (по определенному алгоритму) между
собой, какой из них станет новым активным монитором;
станция отправляет кадр «Сигнал» в случае возникновения серьезных сетевых проблем, таких
как оборванный кабель, или при обнаружении
станции, передающей кадры без ожидания маркера. Определяя, какая станция отправляет кадр
сигнала, диагностирующая программа может локализовать проблему;
кадр «Очистка» отправляется после того, как
произошла инициализация кольца, и новый активный монитор заявляет о себе.
39
Каждый кадр (MAC или LLC) начинается с «последовательности начала кадра», которая содержит три поля:
начального разделителя, такое же, как и для маркера;
управления доступом, также совпадает для кадров и для маркеров;
контроля кадра - это однобайтовое поле, содержащее два подполя - тип кадра и идентификатор
управления MAC: 2 бита типа кадра имеют значения 00 для кадров MAC и 01 для кадров LLC.
Биты идентификатора управления MAC определяют тип кадра управления кольцом из приведенного выше списка 6-ти управляющих кадров
MAC.
Адрес получателя (либо 2, либо 6 байтов). Первый
бит определяет групповой или индивидуальный адрес как
для 2-х байтовых, так и для 6-ти байтовых адресов. Второй
бит в 6-ти байтовых адресах указывает, назначен адрес локально или глобально.
Адрес отправителя имеет тот же размер и формат,
что и адрес получателя.
Поле данных кадра может содержать данные одного
из описанных управляющих кадров MAC или запись пользовательских данных, предназначенных для протокола более высокого уровня, такого как IPX или NetBIOS. Это поле не имеет определенной максимальной длины, хотя существуют практические ограничения на его размер, основанные на временных требованиях к тому, как долго некоторая станция может управлять кольцом.
Контрольная сумма кадра используется для обнаружения ошибок и состоит из четырех байтов остатка циклически избыточной контрольной суммы по модулю 32.
40
Последовательность конца кадра состоит из двух
полей: конечный разделитель и статус кадра. Конечный
разделитель в кадре данных имеет дополнительное значение по сравнению с маркером. Кроме уникальной последовательности электрических импульсов он содержит два
однобитовых поля: бит промежуточного кадра и бит обнаружения ошибки. Бит промежуточного кадра устанавливается в 1, если этот кадр является частью многокадровой
передачи, или в 0 для последнего или единственного кадра. Бит обнаружения ошибки первоначально установлен в
0; каждая станция, через которую передается кадр, проверяет его на ошибки (по контрольной сумме) и устанавливает бит обнаружения ошибки в 1, если она выявлена.
Очередная станция, которая видит уже установленный бит
обнаружения ошибки, должна просто передать кадр. Исходная станция заметит, что возникла ошибка, и повторит
передачу кадра.
Прерывающая последовательность состоит из
двух байтов, содержащих начальный ограничитель и конечный ограничитель. Прерывающая последовательность
может появиться в любом месте потока битов и сигнализирует о том, что текущая передача кадра или маркера отменяется.
В современных сетях, построенных по технологии
Token Ring, используется дополнительно протокол добавления данных к маркеру, позволяющий сразу нескольким
станциям дописывать передаваемые данные в "хвост" маркера по мере его движения по сети, при этом не существует ограничений на число добавленных кадров. Этим достигается скорость до 16 Мбит/с. Кроме того, нашли применение сложные сети с несколькими кольцами и с использованием протоколов маршрутизации, позволяющих вы-
41
брать оптимальный маршрут. Для сетей со скоростью
16 Мбит/с размер кадра составляет 16 Кбайт.
Технология FDDI (англ. Fiber Distributed Data Interface — волоконно-оптический интерфейс передачи данных) основана на использовании в качестве среды передачи данных оптоволоконного кабеля. Работы по созданию
стандартных технологий и устройств для использования
оптоволоконных каналов в компьютерных сетях начались
в 1980-е годы. Начальные версии различных составляющих частей стандарта FDDI были разработаны в 1986 1988 годах, и тогда же появилось первое оборудование сетевые адаптеры, концентраторы, мосты и маршрутизаторы, поддерживающие этот стандарт [3-5]. В настоящее
время большинство сетевых технологий поддерживают
оптоволоконные кабели в качестве одного из вариантов
физического уровня, но FDDI остается наиболее отработанной технологией, стандарты на которую прошли проверку временем и устоялись, так что оборудование различных производителей показывает хорошую степень совместимости.
Технология FDDI во многом основывается на технологии Token Ring, развивая и совершенствуя ее основные идеи. Разработчики технологии FDDI ставили перед
собой в качестве наиболее приоритетных следующие цели:
повысить битовую скорость передачи данных до
100 Мб/с.;
повысить отказоустойчивость сети за счет стандартных процедур восстановления ее после отказов различного рода - повреждения кабеля, некорректной работы узла, концентратора, возникновения высокого уровня помех на линии и т.п.;
42
максимально эффективно использовать потенциальную пропускную способность сети как для
асинхронного, так и для синхронного трафиков.
Сеть FDDI строится на основе двух оптоволоконных колец, которые образуют основной и резервный пути
передачи данных между узлами сети. Использование двух
колец - это основной способ повышения отказоустойчивости в сети FDDI. В нормальном режиме работы сети данные проходят через все узлы и все участки кабеля первичного (Primary) кольца, поэтому этот режим назван режимом «сквозным» или «транзитным». Вторичное кольцо
(Secondary) в этом режиме не используется. В случае какого-либо вида отказа, когда часть первичного кольца не может передавать данные (например, обрыв кабеля или отказ
узла), первичное кольцо объединяется со вторичным
(рис. 1.15), образуя вновь единое кольцо. Этот режим работы сети называется Wrap, то есть «свертывание» колец.
Рис. 1.15. Реконфигурация колец сети FDDI при отказе
Операция свертывания проводится с использованием концентраторов и/или сетевых адаптеров FDDI. Для
43
упрощения этой процедуры данные по первичному кольцу
всегда передаются против часовой стрелки, а по вторичному - по часовой. Поэтому при образовании общего кольца
из двух колец передатчики станций, по-прежнему, остаются подключенными к приемникам соседних станций, что
позволяет правильно передавать и принимать информацию
соседними станциями.
В стандартах FDDI отводится много внимания различным процедурам, которые позволяют определить наличие отказа в сети, а затем провести необходимую реконфигурацию. Сеть FDDI может полностью восстанавливать
свою работоспособность в случае единичных отказов ее
элементов. При множественных отказах сеть распадается
на несколько не связанных сетей.
Кольца в сетях FDDI рассматриваются как общая
разделяемая среда передачи данных, поэтому для нее
определен специальный метод доступа. Этот метод очень
близок к методу доступа сетей Token Ring и также называется методом маркерного (или токенного) доступа.
Станция может начать передачу своих собственных
кадров данных только в том случае, если она получила от
предыдущей станции специальный кадр - токен доступа
(рис. 1.16).
После этого она может передавать свои кадры, если
они у нее имеются, в течение времени, называемого временем удержания токена. После истечения времени удержания токена станция обязана завершить передачу своего
очередного кадра и передать токен доступа следующей
станции. Если же в момент принятия токена у станции нет
кадров для передачи по сети, то она немедленно транслирует токен следующей станции.
44
Рис. 1.16. Обработка кадров станциями кольца FDDI
Каждая станция в сети постоянно принимает передаваемые ей предшествующим соседом кадры и анализирует их адрес назначения. Если адрес назначения не совпадает с ее собственным, то она транслирует кадр своему последующему соседу. Нужно отметить, что, если станция
захватила токен и передает свои собственные кадры, то на
протяжении этого периода времени она не транслирует
приходящие кадры, а удаляет их из сети.
Если же адрес кадра совпадает с адресом станции,
то она копирует кадр в свой внутренний буфер, проверяет
его корректность (в основном, по контрольной сумме), передает его поле данных для последующей обработки. В
передаваемом в сеть кадре станция назначения отмечает
три признака: распознавания адреса, копирования кадра и
45
отсутствия или наличия в нем ошибок. После этого кадр
продолжает путешествовать по сети. Станция, являющаяся
источником кадра для сети, ответственна за то, чтобы удалить кадр из сети после того, как он, совершив полный
оборот, вновь дойдет до нее (см. рис. 1.16, д). При этом исходная станция проверяет признаки кадра, дошел ли он до
станции назначения и не был ли при этом поврежден. Процесс восстановления информационных кадров не входит в
обязанности протокола FDDI, этим должны заниматься
протоколы более высоких уровней.
Как и многие другие технологии, технология FDDI
использует протокол 802.2. Стек протоколов этой технологии показан на рис. 1.17. При этом услуги информационного канала реализуются через протокол IEEE 802.2
LLC (Logical Link Control).
IP/ARP
802.2 LLC
FDDI MAC
FDDI PHY
FDDI PMD
Рис. 1.17. Стек протоколов для технологии FDDI
Для преобразования 16- или 48-разрядного FDDIадреса в 32-разрядный IP-адрес используется протокол
ARP. Уровень MAC ответственен за управление доступом к сети, а также за прием и обработку кадров данных.
В нем определены следующие параметры:
протокол передачи токена;
правила захвата и ретрансляции токена;
формирование кадра;
46
правила генерации и распознавания адресов;
правила вычисления и проверки 32-разрядной
контрольной суммы.
Физический уровень разделен на два подуровня: независимый от среды подуровень PHY (Physical) и зависящий от среды подуровень PMD (Physical Media Dependent).
Работу всех уровней контролирует протокол управления
станцией SMT (Station Management).
Уровень PMD обеспечивает необходимые средства
для передачи данных от одной станции к другой по оптоволокну. В его спецификации определяются:
требования к мощности оптических сигналов и к
многомодовому
оптоволоконному
кабелю
62.5/125 мкм;
требования к оптическим обходным переключателям и оптическим приемопередатчикам;
параметры оптических разъемов MIC (Media
Interface Connector), их маркировка;
длина волны в 1300 нанометров, на которой работают приемопередатчики;
порядок представление сигналов в оптических
волокнах;
спецификации, определяющие возможность передачи данных между станциями.
Уровень PHY выполняет кодирование и декодирование данных, а также обеспечивает тактирование информационных сигналов. В его спецификации определяются:
кодирование информации;
правила тактирования сигналов;
требования к стабильности тактовой частоты
125 МГц;
47
правила преобразования информации из параллельной формы в последовательную.
Уровень SMT выполняет все функции по управлению и мониторингу всех остальных уровней стека протоколов FDDI. В управлении кольцом принимает участие
каждый узел сети FDDI. Поэтому все узлы обмениваются
специальными кадрами SMT для управления сетью. В спецификации SMT определено следующее:
алгоритмы обнаружения ошибок и восстановления после сбоев;
правила мониторинга работы кольца и станций;
управление кольцом;
процедуры инициализации кольца.
Отказоустойчивость сетей FDDI обеспечивается за
счет управления уровнем SMT другими уровнями: с помощью уровня PHY устраняются отказы сети по физическим причинам, например, из-за обрыва кабеля, а с помощью уровня MAC - логические отказы сети, например, потеря нужного внутреннего пути передачи токена и кадров
данных между портами концентратора.
Рассматривая форматы кадров, передаваемых по
сети FDDI, необходимо отметить, что в ней информация
передается в форме двух блоков данных: кадра и токена.
Формат кадра FDDI представлен на рис. 1.18, а формат токена – на рис. 1.19.
Рис. 1.18. Формат кадра протокола FDDI
48
Рис. 1.19. Формат токена
В табл. 1.3 представлены некоторые характеристики
сетей, построенных по технологии FDDI.
Таблица 1.3
Некоторые характеристики сетей, построенных
по технологии FDDI
Характеристика
Битовая скорость
Метод доступа
Среда передачи данных
Максимальная длина сети (без
мостов)
Максимальное
расстояние
между узлами
Максимальное
количество
узлов
Значение
45 – 100 Мб/с
Доля от времени оборота токена
Многомодовое оптоволокно, неэкранированная витая пара
200 км (100 км на кольцо)
2 км (-11 dB потерь между узлами)
500 (1000 соединений)
Технология X.25 была разработана для глобальных
сетей и стандартизована в 1974 г. Этот стандарт описывает
не внутреннее устройство сети Х.25, а только пользовательский интерфейс с сетью, что является характерной
особенностью глобальных сетей [1].
В X.25 реализуется концепция виртуальных каналов, которые предназначены для организации вызова и
непосредственной передачи данных между абонентами сети. Информационный обмен в сети X.25 состоит из трех
обязательных фаз:
49
установление вызова (виртуального канала);
информационный обмен по виртуальному каналу;
разрыв вызова (виртуального канала).
Компонентами сети являются устройства трех основных категорий – DTE (Data Terminal Equipment),
DCE (Data Circuit-Terminating Equipment) и PSE (Packet
Switching Exchange). Кроме того, имеется устройство
PAD (packet assembler/ disassembler), которое является специфическим для сети X.25 и предназначено для обеспечения взаимодействия неспециализированных терминалов с
сетью, для преобразования потока, поступающего от неспециализированного терминала в пакеты X.25 и выполнения обратного преобразования.
На канальном уровне используется протоколы
HDLC5/SDLC6, которые были разработаны для того, чтобы
решать задачи:
обеспечения передачи сообщений, которые могут
содержать любое количество бит и любые возможные комбинации бит (требование кодовой
прозрачности);
выполнения процедуры обнаружения ошибки на
приемной стороне;
исключения потерь и дублирования компонентов
сообщения;
обеспечения работы как двухточечных, так и
многоточечных физических цепей;
HDLC (High Level Data Link Control) - протокол управления каналом передачи данных высокого уровня для последовательных соединений
6
SDLC (Synchronous Data Link Control) - протокол синхронного
управления каналом
5
50
обеспечения подключение дуплексных и полудуплексных линий;
обеспечения информационного обмена при значительных вариациях времени распространения
сигнала.
Протоколы семейства HDLC осуществляют передачу данных в виде кадров переменной длины. Начало и конец кадра помечается специальной последовательностью
битов, которая называется флагом. В качестве флага используется комбинация из 8 бит, которая состоит из 6-ти
единиц и двух нулей, обрамляющих эту последовательность спереди и сзади (01111110). Процесс приема кадра
завершается при получении следующего флага. В том случае, если к моменту получения завершающего флага приемник получил менее 32 бит, принятый кадр считается
ошибочным и уничтожается.
Для обеспечения дисциплины управления процессом передачи данных одна из станций, которые обеспечивают информационный обмен, может быть обозначена как
первичная, а другие станции (или другая станция) могут
быть обозначены как вторичные. Кадр, который посылает
первичная станция, называется командой (command). Кадр,
который формирует и передает вторичная станция, называется ответ (response).
Вторичная станция сегмента может работать в двух
режимах: режиме нормального ответа или в режиме асинхронного ответа. Вторичная станция, которая находится в
режиме нормального ответа, начинает передачу данных
только в том случае, если она получила разрешающую команду от первичной станции. Вторичная станция, которая
находится в режиме асинхронного ответа, может по своей
инициативе начать передачу кадра или группы кадров. Кроме того, имеются станции, которые сочетают в себе функции
51
первичных и вторичных станций, называемые комбинированными. Симметричный режим взаимодействия комбинированных станций называется сбалансированным режимом.
Для передачи по сети пакеты инкапсулируются в
кадры в соответствии с протоколом LAPB (Link Access
Procedure Balanced). Протокол LAPB обеспечивает надежную доставку этих пакетов по каналу, который связывает
один компонент сети с другим.
В технологии X.25 определены два режима: основной (modulo 8, basic) и расширенный (modulo 128,
extended), отличающиеся разрядностью счетчиков, используемых для управления потоком кадров. Кадр протокола
LAPB содержит 4 поля: ADRESS, CONROL, Data, FCS.
Поле DATA в кадре может отсутствовать. Поле FCS содержит контрольную сумму кадра.
Поле ADRESS занимает в кадре один байт. В этом
поле располагается бит признака C/R (Command /Response)
В поле ADDRESS кадра управляющей команды размещается физический адрес принимающей станции. В поле
ADRESS кадра ответа на команду размещается физический адрес передающей станции.
Поле CONTROL определяет тип кадра:
информационные кадры (Information Frames,
I-кадры). В битах поля CONTROL размещаются
3-х разрядный номер передаваемого кадра и 3-х
разрядный номер кадра, который ожидается для
приема для обеспечения управления потоком;
управляющие
кадры
(Supervisory Frames,
S-кадры). В поле CONTROL размещается 3-х
разрядный номер информационного кадра, который ожидается для приема и два бита, которые
определяют тип передаваемого управляющего
кадра (табл. 1.4).
52
Таблица 1.4
Типы управляющих кадров
Обозначение
RR
RNR
REJ
Тип кадра
Приемник готов (Receiver Ready)
Приемник не готов (Receiver Not
Ready)
Отказ/переспрос (Reject)
Бит №3
0
1
Бит№4
0
0
0
1
Наиболее часто в процессе информационного взаимодействия используются управляющие кадры типа RR.
Кадры данного типа передает получатель данных для того,
чтобы обозначить готовность к приему очередного кадра, в
том случае, когда он сам не имеет информации для передачи. Кадры RNR используются устройствами DCE и DTE
для того, чтобы сообщить абоненту о возникновении аварийной ситуации, в которой дальнейший прием информационных кадров невозможен. Кадры REJ используются
устройствами DCE и DTE для того, чтобы сигнализировать
абоненту о разрешении аварийной ситуации, в которой
был невозможен прием информационных кадров. Кадр
REJ передается после кадра RNR и подтверждает факт перехода линии в нормальный режим работы.
Кроме того, по сети могут передаваться ненумерованные кадры (Unnumbered Frames, U - кадры), предназначенные для организации и разрыва логического соединения, согласования параметров линии и формирования сообщений о возникновении неустранимых ошибок в процессе передачи данных I-кадрами (табл. 1.5).
Кадр FRMR передается вторичной станцией для того, чтобы указать на возникновение аварийной ситуации,
которая не может быть разрешена путем повторной передачи аварийного кадра.
53
Таблица 1.5
Типы ненумерованных кадров
Обозначение
SABM(E)
DISC
DM
UA
FRMR
Тип кадра
Set Asynchronous Balanced Mode
Disconnect
Disconnect Mode
Unnumbered Acknowledgement
Frame Reject
Признак
Команда
Команда
Ответ
Ответ
Ответ
Один физический канал в сети Х.25 может быть использован для передачи пакетов, которые относятся к нескольким различным процессам сетевого уровня. В сети
X.25 для распределения канальных ресурсов используется
принцип динамического разделения.
Процесс сетевого уровня получает в свое распоряжение часть полосы пропускания физического канала в
виде виртуального канала. Полная полоса пропускания канала делится в равных пропорциях между виртуальными
каналами, которые активны в текущий момент. В сети X.25
существует два типа виртуальных каналов: коммутируемые (SVC) и постоянные (PVC).
На сетевом уровне пакет X.25 состоит как минимум
из трех байтов, которые определяют заголовок пакета.
Первый байт содержит 4 бита с идентификатором общего
формата и 4 бита номера группы логического канала. Второй байт содержит номер логического канала, а третий –
идентификатор типа пакета. Пакеты в сети бывают двух
типов — управляющие пакеты и пакеты данных. Тип пакета определяется значением младшего бита идентификатора
типа пакета.
Поле идентификатора общего формата содержит
признак, который устанавливает тип процедуры управления потоком пакетов (modulo 8 или modulo 128).
54
Номер логического канала задается содержимым
двух полей — номера группы логического канала от 0 до
15 и номера канала в группе от 0 до 255. Таким образом,
максимальное число логических каналов может достигать
значения 4095. Номер логического канала определяет виртуальный порт, с которым ассоциируется конкретный
пользовательский процесс.
Идентификатор типа пакета формируется в виде кода в шестнадцатеричном счислении (табл. 1.6).
Таблица 1.6
Идентификатор типа пакета
DCE DTE
Incoming Call
Call Connected
Clear Indication
Clear Confirmation
Interrupt
Interrupt Confirmation
Receiver Ready (RR)
Receiver Not Ready (RNR)
—
DTE DCE
Call Request
Call Accepted
Clear Request
Clear Confirmation
Interrupt
Interrupt Confirmation
Receiver Ready (RR)
Receiver Not Ready (RNR)
Reject (REJ)
Код
0B
0F
13
17
23
27
X1
X5
X9
Cетевые адреса получателя и отправителя пакета
размещаются в поле «данные» и предназначены для управления вызовами. Сетевой адрес состоит из двух частей: Data Network ID Code (DNIC) и Network Terminal Number.
Поле DNIC содержит 4 десятичных цифры и определяет код страны и номер провайдера. Содержимое поля
Network Terminal Number содержит 10 или 11 десятичных
цифр, которые определяет провайдер, и предназначено для
определения конкретного пользователя.
55
Для управления потоком пакетов на сетевом уровне
X.25 используются такие же процедуры и механизмы, какие используются для управления потоком кадров на канальном уровне сети X.25.
Технология Frame Relay (англ. «ретрансляция
кадров») – технология, которая была разработана в начале
1990-х годов в качестве замены технологии X.25 для быстрых надёжных каналов связи [1, 3, 6]. Она архитектурно
основывалась на X.25 и во многом сходна с этой технологией, однако в отличие от X.25, рассчитанной на линии с
достаточно высокой частотой ошибок, Frame relay (далее
FR) изначально ориентировался на физические линии с
низкой частотой ошибок, и поэтому большая часть механизмов коррекции ошибок X.25 в этой технологии не используется.
FR обеспечивает множество независимых виртуальных каналов в одной линии связи, идентифицируемых в
FR-сети по идентификаторам подключения к соединению
(Data Link Connection Identifier, DLCI). Вместо средств
управления потоком применяются функции извещения о
перегрузках в сети. Возможно назначение минимальной
гарантированной скорости для каждого виртуального канала.
Служба коммутации пакетов FR в настоящее время
широко распространена во всём мире. Максимальная скорость передачи, допускаемая FR, составляет 34,368
Мбит/сек, коммутация: «точка-точка».
FR в основном применяется при построении территориально распределённых корпоративных сетей, а также в
составе решений, связанных с обеспечением гарантированной пропускной способности канала передачи данных
(голосовая связь, мультимедийная информация, видеоконференции и т.п.).
56
Компонентами сети FR являются устройства трех
основных категорий: DTE (Data Terminal Equipment), DCE
(Data Circuit-Terminating Equipment) и FRAD (Frame Relay
Access Device).
Так же, как и в сети X.25, основу сети FR составляют виртуальные каналы (virtual circuits). Виртуальный канал в сети FR представляет собой логическое соединение,
которое создается между двумя устройствами DTE и используется для передачи данных. При этом могут создаваться два типа виртуальных каналов — коммутируемые
(SVC) и постоянные (PVC).
Коммутируемые виртуальные каналы представляют
собой временные соединения, которые предназначены для
передачи трафика между двумя устройствами DTE. Процесс передачи данных с использованием SVC состоит из
четырёх последовательных фаз:
1) установление вызова (Call Setup). В этой фазе создается виртуальное соединение между двумя DTE;
2) передача данных (Data Transfer). Фаза непосредственной передачи данных;
3) ожидание (Idle). Виртуальное соединение ещё
существует, однако передача данных через него уже не
проводится, при этом если период ожидания превысит
установленное значение тайм-аута, соединение может
быть завершено автоматически;
4) завершение вызова (Call Termination). В этой фазе
выполняются операции, которые необходимы для завершения соединения.
Несмотря на то, что использование SVC придает
определенную гибкость сетевым решениям, этот механизм
не получил большого распространения в сетях FR.
Виртуальные каналы типа PVC представляют собой
постоянное соединение, которое обеспечивает информацион57
ный обмен между двумя DTE устройствами в сети FR. Процесс передачи данных по каналу PVC имеет всего две фазы:
1) фазу непосредственной передачи данных;
2) фазу ожидания, когда виртуальное соединение существует, однако передача данных через него не производится. Постоянный канал PVC не может быть автоматически
разорван, если он не используется для передачи данных.
Каждый виртуальный канал имеет свой идентификатор. Для обозначения виртуальных каналов используется
механизм DLCI, в соответствии с которым определяется
номер виртуального порта для процесса пользователя. На
рис. 1.20 показана организация виртуальных каналов между тремя сетями LAN1, LAN2 и LAN3, при этом устройство FRAD сети LAN1 использует виртуальный канал
DLCI 101 для организации обмена данными с сетью LAN 2
и виртуальный канал DLCI 102 для организации обмена
данными с сетью LAN 3.
Рис. 1.20. Пример организации виртуальных каналов
в сети Frame Relay
58
Для организации обмена данными с сетью LAN 1
устройство FRAD сети LAN 2 использует виртуальный канал DLCI 200. Обычно идентификатор DLCI имеет только
локальное значение и не является уникальным в пределах
сети. Конкретные значения DLCI для каждого пользователя определяются провайдером сервиса Frame Relay.
Кадр протокола Frame Relay ограничен размером
8189 байтов, однако потребность в кадрах таких размеров
возникает редко, поэтому по умолчанию принято, что максимальный размер кадра составляет 1600 байтов. Кадр содержит минимально необходимое количество служебных
полей (рис. 1.21).
DLCI, 4
бита
Флаг, 1 байт
DLCI, 6 бит
C/R, 1 бит
FECN, 1
BECN, 1
DE, 1 бит
бит
бит
Пересылаемая информация
FCS
Флаг, 1 бит
EA, 1 бит
EA, 1 бит
Рис. 1.21. Структура кадра по протоколу Frame Relay
Поля «Флаг» выполняют функцию обрамления кадра. По ним сетевое оборудование определяет начало и конец кадра.
Поле DLCI (идентификатор канала передачи данных) занимает 10 бит в заголовке кадра и содержит адрес
назначения кадра (идентификатор канала). Сеть FR считывает локальный адрес из поля DLCI и сравнивает его с таблицей маршрутов для корректировки логической цепи,
обеспечивающей соединение с нужным портом (так как
адрес локальный, то у разных соединений портов могут
быть одинаковые DLCI).
59
Поле C/R (Command / Response) содержит признак
«команда-ответ», а поле EA (Extension Address) – бит расширения адреса. DLCI содержится в 10 битах, входящих в
два октета заголовка, однако возможно расширение заголовка на целое число дополнительных октетов с целью
указания адреса, состоящего более чем из 10 бит. EA устанавливается в конце каждого октета заголовка. Если он
имеет значение «1», то это означает, что данный октет в
заголовке последний.
Биты FECN и BECN (Forward/Backward Congestion
Notification – уведомление о перегрузке в прямом/ обратном направлении) обеспечивают выполнение процедуры
явного указания о возникновении перегрузки. Эта процедура является одним из двух механизмов, которые обеспечивают возможность управления процессом передачи данных в сети FR. Ситуация перегрузки может возникнуть в
том случае, когда один из компонентов (коммутатор FR)
начинает получать больше кадров, чем он способен обработать и отправить. Для предотвращения дальнейшего
усугубления этого положения коммутатор формирует в
кадрах, которые он передает в направлении основного источника входящих кадров, признак BECN. Предполагается,
что в ответ на получение этого признака источник должен
уменьшить поток формируемых кадров в данном направлении. В кадрах, которые передаются в направлении получателя пакетов, коммутатор формирует признак FECN.
Этот признак информирует получателя информации о возможности возникновения аварийной ситуации в текущем
процессе передачи данных.
Бит DE (Discard Eligibility – подлежит удалению)
используется для обеспечения функционирования второго
механизма управления потоком данных в сетях FR. Битом
DE помечаются кадры, которые при возникновении ситуа60
ции перегрузки на коммутаторе FR должны быть уничтожены в первую очередь. Перегрузка возникает тогда, когда
кадры следуют со скоростью, превышающей установленное согласованное значение CIR (Committed Information
Rate – согласованная скорость передачи). Значение CIR в
канале PVC не превышает меньшего из двух значений
пропускной способности портов. Например, если порт А
имеет пропускную способность 64 Кбит/с, а порт узла В –
384 Кбит/с, то для канала между ними устанавливается согласованная скорость передачи не более 64 Кбит/с.
Поле полезной нагрузки в кадре FR имеет переменную длину и предназначено для переноса блоков данных
протоколов верхних уровней.
Поле FCS (Frame Check Sequence – контрольная последовательность кадра) содержит 16-ти разрядную контрольную сумму всех полей кадра за исключением поля
«Флаг».
Для обеспечения связи между оборудованием пользователя и сетью FR провайдера используется интерфейс
LMI (Local Management Interface). Идентификаторы каналов DLCI с номерами 0 и 1023 резервируются для LMI.
Маршрутизаторы используют LMI:
для запроса о состоянии активных и неактивных
(или удаленных) DLCI;
для запроса о состоянии локального соединения
маршрутизатора и моста;
для загрузки сетевых адресов в интересах упрощения конфигурации сети.
Важной особенностью технологии FR стало обеспечение возможности работы с пульсирующим речевым трафиком. В первых сетях FR вместо плавной речи получалось ее механическое подобие, к тому же прерывистое.
Для устранения этого недостатка и обеспечения высокока61
чественной передачи речи были разработаны устройства
FRAD (иногда их называют голосовыми маршрутизаторами), которые выполняют функции сжатия сообщений,
форматирования их в пакеты, назначения и распределения
приоритетов кадрам, обнаружение и подавление пауз (вместо паузы в стандартном формате передается короткий пакет с указанием его длительности), подавления эхо (эхо
возникает в процессе аналого-цифрового преобразования,
например, между аналоговым телефонным аппаратом и
цифровой сетью, при этом эхо тем сильнее, чем длиннее
линия передачи).
Наконец, в современных сетях FR реализуется
управление сетью, включающее в себя:
управление конфигурацией сети (управление физической и логической связностью сети – перемещения, дополнения, изменения, а также текущие планирование и оптимизация). В настоящее
время далеко не все провайдеры предоставляют
возможность удаленного конфигурирования системы;
управление устранением неисправностей в сети
(управление аварийными сообщениями, их сбор
и реагирование на каждое из них, регистрации
условий несоответствия заранее определенному
набору характеристик);
управление характеристиками сети (сбор информации, позволяющей оценить качество обслуживания, параметры отдельных соединений и сети в
целом). Для этого используется система управления по протоколу SNMP (см. следующий раздел),
которая конфигурируется таким образом, чтобы
обеспечить прием незапрашиваемых сообщений
от агента SNMP провайдера в сети FR. В настоя62
щее время существует несколько пакетов управления сетью FR, реализованных в виде оборудования или программного обеспечения, позволяющих получать информацию о конфигурации и
характеристиках сети;
управление безопасностью сети (контроль доступа в систему и защита передаваемых данных).
Для этой цели формируются частные виртуальные сети (см. раздел 5);
управление учетной информацией (учет и управление распределением ресурсов).
Все это позволяет обеспечить достаточно высокое качество обслуживания пользователей ИТКС, построенных по
рассмотренной технологии. Однако сегодня эта технология
быстро вытесняется технологией Ethernet, поскольку последняя значительно экономичнее технологии FR.
Базовая технология АТМ (Asynchrjnjus Transfer
Mode – асинхронный режим передачи) представляет собой
высокоскоростную технология, которая находит применение в магистральных каналах глобальных сетей связи
[1, 7].
Основы технологии ATM были разработаны независимо во Франции и США в 1970-х годах двумя учеными:
Jean-Pierre Coudreuse из исследовательской лаборатории
France Telecom и Sandy Fraser из лаборатории Bell Labs,
однако в виде стандарта технология была оформлена лишь
в 1990 г.
Первоначально на эту технологию возлагали очень
большие надежды, однако c появлением Gigabit Ethernet
эти надежды рухнули. В 2000-е годы рынок оборудования
ATM еще был значительным, оно широко использовалось
в глобальных компьютерных сетях для передачи
аудио/видео потоков. Но в конце десятилетия ATM начи63
нает вытесняться новой технологией IP/MPLS (см. далее)
из-за важного недостатка, состоящего в том, что она не
позволяет использовать существующую транспортную
инфраструктуру, что обусловливает сложности с передачей контрольной и служебной информацией
Сегодня технология ATM обеспечивает передачу
мультимедийной информации на некоторых магистралях
со скоростью до 622 Мбит/с.
В технологии АТМ используются небольшие пакеты фиксированной длины, называемые ячейками. Ячейка
имеет длину 53 байта, из которых 48 отводятся под данные, а 5 байт занимает заголовок. Достоинство – в оптимальном использовании пропускной способности канала.
При упаковке используется стандарт упаковки SONET7 и
его европейский аналог SDH8. Небольшой постоянный
размер ячейки, используемый в ATM, позволяет:
совместно передавать данные с различными требованиями к задержкам в сети, причем по каналам как с высокой, так и с низкой пропускной
способностью;
работать с постоянными и переменными потоками данных;
интегрировать на одном канале любые виды информации: данные, голос, потоковое аудио- и видеовещание, телеметрию и т.п.;
поддерживать соединения типа «точка–точка»,
«точка–многоточка»
и
«многоточка–многоточка».
SONET (англ. Synchronous Optical Network) – синхронная оптическая сеть.
8
SDH (англ. Synchronous Digital Hierarchy) – синхронная цифровая
иерархия
7
64
Технология АТМ ориентирована на виртуальное
соединение, которое образуется парой «отправительполучатель» и не может быть использовано другими узлами. Слово «асинхронный» в названии технологии означает,
что ячейки могут передаваться от отправителя к получателю в любое время, а не в определенный промежуток времени (например, при приходе маркера).
Виртуальные каналы могут быть трёх видов:
постоянный виртуальный канал (Permanent Virtual
Circuit, PVC), который создаётся между двумя точками и существует в течение длительного времени,
даже в отсутствие данных для передачи;
коммутируемый виртуальный канал (Switched
Virtual Circuit, SVC), который создаётся между двумя точками непосредственно перед передачей данных и разрывается после окончания сеанса связи.
автоматически настраиваемый постоянный виртуальный канал (Soft Permanent Virtual Circuit, SPVC).
Каналы SPVC, по сути, представляют собой каналы
PVC, которые инициализируются по требованию в
коммутаторах ATM. С точки зрения каждого участника соединения SPVC выглядит как обычный PVC,
а что касается коммутаторов ATM в инфраструктуре провайдера, то для них каналы SPVC имеют значительные отличия от PVC. Канал PVC создаётся
путём статического определения конфигурации в
рамках всей инфраструктуры провайдера и всегда
находится в состоянии готовности. В канале SPVC
соединение является статическим только от конечной точки (устройство DTE) до первого коммутатора ATM (устройство DCE). А на участке от устройства DCE отправителя до устройства DCE получателя в пределах инфраструктуры провайдера соеди65
нение может формироваться, разрываться и снова
устанавливаться по требованию. Установленное соединение продолжает оставаться статическим до
тех пор, пока нарушение работы одного из звеньев
канала не вызовет прекращения функционирования
этого виртуального канала в пределах инфраструктуры провайдера сети.
Важнейшую роль в сети АТМ играет коммутатор,
представляющий собой быстродействующее специализированное вычислительное устройство, которое аппаратно
реализует функцию коммутации ячеек ATM между несколькими своими портами. Коммутатор принимает решение о возможности виртуального соединения с определенными требованиями к качеству обслуживания без негативного воздействия на другие соединения, следит за трафиком и проверяет выполнение условий, предъявляемых к
соединению. Он содержат таблицы коммутации, в которые
записываются номера портов и идентификаторы соединений, присутствующие в заголовки каждой ячейки.
Коммутатор АТМ состоит из двух частей: коммутатора виртуальных путей и коммутатора виртуальных каналов (рис. 1.22). Виртуальный канал представляет собой
фрагмент логического соединения, по которому производится передача данных одного пользовательского процесса. Виртуальный путь представляет собой группу виртуальных каналов, которые в пределах данного интерфейса
имеют одинаковое направление передачи данных.
Это обеспечивает дополнительное увеличение скорости обработки ячеек. Коммутатор ATM анализирует
значения, которые имеют идентификаторы виртуального
пути и виртуального канала у ячеек, поступающих на его
входной порт, и направляет эти ячейки на один из выходных портов. Для определения номера выходного порта
66
коммутатор использует динамически создаваемую таблицу
коммутации.
Телекоммуникационная сеть, использующая технологию АТМ, состоит из набора коммутаторов, связанных
между собой.
Коммутаторы АТМ поддерживают два вида интерфейсов: интерфейс «пользователь – сеть» (UNI - usernetwork interface) и интерфейс «сеть - узел сети» (NNI network-network interface). UNI соединяет оконечные системы АТМ (рабочие станции, маршрутизаторы и др.) с
коммутатором АТМ, тогда как NNI может быть определен
как интерфейс, соединяющий два коммутатора АТМ.
Форматы ячеек для этих двух интерфейсов несколько отличаются (рис. 1.23).
Поля для приведенных форматов имеют следующие
значения:
GFC (Generic Flow Control) – общее управление
потоком (4 бита);
VPI (Virtual Path Identifier – идентификатор виртуального пути (8 бит для UNI и 12 бит для NNI);
VCI (Virtual channel identifier) – идентификатор
виртуального канала (16 бит);
PT (Payload Type) – тип данных (3 бита);
CLP (Cell Loss Priority) – уровень приоритета при
потере пакета; указывает на то, какой приоритет
имеет ячейка и будет ли она отброшена при перегрузке канала (1 бит);
HEC (Header Error Control) – поле контроля ошибок (8 бит).
67
Коммутатор ATM
Виртуальный
канал №1
Коммутатор виртуального канала
Виртуальный
канал №2
Виртуальный
канал №3
Виртуальный
канал №4
Порт№3
Виртуальный
канал №3
Виртуальный
канал №1
Виртуальный
канал №2
Виртуальный
канал №4
Виртуальный путь
№1
Виртуальный
канал №1
Виртуальный
канал №1
Виртуальный
канал №2
Виртуальный
путь №4
Порт№1
Виртуальный
канал №2
Коммутатор виртуального пути
Порт№2
Рис. 1.22. Схема формирования виртуальных путей и каналов в коммутаторе ATM
Формат ячейки для интерфейса UNI
GFC (4 бита)
VPI (4 бита)
VPI (4 бита)
VCI (4 бита)
Формат ячейки для интерфейса NNI
VPI (8 бит)
VPI (4 бита)
VCI (8 битов)
VCI (8 битов)
VCI (3 бита)
PT (3 бита)
VCI (4 бита)
CLP(1 бит)
VCI (3 бита)
PT (3 бита)
CLP(1 бит)
Контроль ошибок заголовка - HEC (8 битов)
Контроль ошибок заголовка - HEC (8 битов)
Передаваемые сообщения (48 байт)
Передаваемые сообщения (48 байт)
Рис. 1.23. Структура ячеек ATM для интерфейсов UNI и NNI
68
В технологии ATM предусмотрено пять классов
трафика (табл. 1.7). Они отличаются:
наличием или отсутствием пульсации трафика;
требованием к синхронизации данных между передающей и принимающей сторонами;
типом протокола передачи — с установлением
или без установления соединения.
Таблица 1.7
Основные характеристики классов трафика ATM
Основные характеристики классов трафика
Класс качества
1
2
3
4
5
Тип трафика
CBR
VBR
VBR
ABR
UBR
Тип уровня
AAL1
AAL2 AAL3/4 AAL3/4
обслуживания QoS
Синхронизация
Требуется
Скорость передачи Постоянная
Режим соединения
Пример использования
Не требуется
Переменная
С установлением
(Е1, Т1)
Видео аудио
Без установления
Передача данных
Класс CBR (Constant Bit Rate) не предусматривает
контроля ошибок, управления трафиком или какой-либо
другой обработки. Он пригоден для работы с мультимедиа
в реальном масштабе времени.
Класс VBR содержит в себе два подкласса – обычный (Non-Real Time Variable Bit Rate, NRT-VBR) и для реального времени (Real Time Variable Bit Rate, RT-VBR).
ATM не вносит никакого разброса по времени доставки
ячеек. Случаи потери ячеек игнорируются.
69
Класс ABR (Available Bit Rat) предназначен для работы в условиях мгновенных вариаций трафика. Система
гарантирует некоторую пропускную способность, но в течение короткого времени может выдержать и большую
нагрузку. Этот класс предусматривает наличие обратной
связи между приёмником и отправителем, которая позволяет понизить загрузку канала, если это необходимо.
Класс UBR (Unspecified Bit Rate) хорошо пригоден
для посылки IP-пакетов (нет гарантии доставки и в случае
перегрузки - неизбежны потери).
Общая композиция протоколов, используемых в
технологии ATM, включает физический уровень, уровень
АТМ, уровень адаптации (AAL - ATM Adaptation Layer),
который зависит от вида предоставляемой услуги, и верхние уровни.
На физическом уровне определяются способы задания границ и правила упаковки ячеек АТМ в кадры физического уровня. Физический уровень АТМ функционально
делится на два подуровня:
уровень физической среды (physical medium sublayer);
уровень преобразования (transmission convergence sub-layer);
На уровне АТМ определяются процедуры и выполняются основные функции, которые обеспечивает технология ATM:
создание виртуальных соединений;
управление виртуальными соединениями;
обеспечение необходимого уровня обслуживания.
Уровень АТМ служит для мультиплексирования/
демультиплексирования ячеек, генерации заголовков ячеек, выделения информационного поля и «прозрачный» его
70
перенос. Никакая обработка информационного поля
(например, контроль наличия ошибок) на уровне АТМ не
выполняется. Граница между уровнем АТМ и уровнем
адаптации соответствует границе между функциями, относящимися к заголовку, и функциями, относящимися к информационному полю.
Назначением уровня адаптации АТМ является
определение процедур, в соответствии с которыми выполняется преобразование блоков данных верхних уровней в
поток ячеек АТМ. Для того чтобы преобразование в ячейке
оптимальным образом соответствовало типу трафика пользователя, применяется несколько стандартных уровней
адаптации АТМ: ATM Adaptation Layer1 (AAL1), ATM
Adaptation Layer3/4 (AAL3/4), ATM Adaptation Layer5
(AAL5).
Уровень адаптации AAL1 предназначен для обеспечения передачи по сетям АТМ трафика типа CBR (оцифрованный голос, видеоконференции).
Уровень адаптации AAL3/4 предназначен для обеспечения передачи по сетям АТМ блоков данных SMDS
(Switched Multi megabit Data Service).
Уровень адаптации AAL5 наиболее часто используется для передачи по сетям АТМ трафика локальных вычислительных сетей и имеет специальное название - SEAL
(Simple and Efficient Adaptation Layer).
С точки зрения защиты информации в технологии
ATM предусмотрено управление сетью в интересах обеспечения ее устойчивого функционирования, включающее
управление конфигурацией, отказами, производительностью сети, а также управление учетными записями и использование известных механизмов, таких как аутентификация и шифрование.
71
Базовая технология MPLS (англ. multiprotocol label
switching – многопротокольная коммутация по меткам) –
технология передачи данных от одного узла сети к другому с
помощью меток [1, 8, 9]. В сети, основанной на MPLS, пакетам данных присваиваются метки, при этом решение о дальнейшей передаче пакета данных другому узлу сети осуществляется только на основании значения присвоенной
метки без необходимости изучения самого пакета данных. За
счет этого возможно создание сквозного виртуального канала, независимого от среды передачи и использующего любой
протокол передачи данных. По виду коммутации MPLS относится к сетям с коммутацией пакетов.
Технология MPLS была разработана в конце 90-х
годов прошлого века. Она основана на формировании заголовка MPLS, добавляемого к каждому пакету данных.
Заголовок MPLS может состоять из одной или нескольких
«меток». Несколько записей (меток) в заголовке MPLS
называются стеком меток. Каждая запись в стеке меток состоит из следующих четырех полей:
поле значения метки (англ. Label); занимает 20 бит;
поле класса трафика (англ. Traffic Class), необходимое для реализации механизмов качества
обслуживания и явного уведомления о перегрузке (англ. Explicit Congestion Notification, ECN),
занимает 3 бита;
флаг дна стека (англ. Bottom of stack); если флаг
установлен в 1, то это означает, что текущая метка последняя в стеке, занимает 1 бит;
поле TTL (Time to live), необходимое для предотвращения петель коммутации, занимает 8 бит.
MPLS-метки включаются в заголовок пакета
MPLS, который вставляется в пересылаемый IPпакет (рис. 1.24).
72
Заголовок
канального
уровня
Заголовок
сетевого
уровня
MPLSзаголовок
Данные L3
Рис. 1.24. Структура кадра MPLS со встроенным
заголовком
Каждый маршрутизатор работает с первой меткой в
стеке, пока пакет не достигнет пункта назначения предписанного ею маршрута. Маршрутизатор, выполняющий
маршрутизацию пакетов данных, основываясь только на
значении метки, называется LSR (англ. Label Switching
Router — коммутирующий метки маршрутизатор). Маршрутизаторы, расположенные на входе или выходе сети
MPLS, называются LER (англ. Label Edge Router — граничный маршрутизатор меток). LER на входе в сеть MPLS
добавляют метки к пакетам данных, а LER на выходе из
сети MPLS удаляют метки из пакетов данных. Когда пакет
IP достигает магистрали на базе MPLS, он в первую очередь классифицируется по адресу назначения или по принадлежности к определенной клиентской сети, затем
снабжается одной или несколькими метками и направляется дальше. На каждом транзитном узле верхняя метка заменяется на новую, после чего пакет передается следующему соседу. Для взаимного информирования о назначаемых метках маршрутизаторы используют стандартизованный протокол распределения меток LDP (Label Distribution
Protocol).
Архитектура MPLS предусматривает два метода
распределения меток: по запросу и без него. В первом случае маршрутизаторы LSR запрашивают создание метки
для соединения, во втором – самостоятельно извещают соседей о назначенных метках без каких-либо запросов. Использование стека меток и протокола резервирования ре73
сурсов RSVP (Resource Reservation Protocol) обеспечивает
явную коммутацию пакетов через так называемые туннели
в сети MPLS, что повышает эффективность загрузки каналов в сети с альтернативными путями, так как определенный трафик с меткой идет по конкретному пути с заданными параметрами качества обслуживания.
Сети, построенные по технологии MPLS, работают
совместно с протоколом IP (Internet Protocol), поэтому такую технологию иногда называют IP/MPLS. Пример такой
сети MPLS показан на рис. 1.25.
IP-сеть
IP-сеть
LER 3
LER 2
MPLS-сеть
LSR 7
LSR 6
IP-сеть
LSR 8
LER 1
LER 4
LER 5
IP-сеть
Однонаправленные
виртуальные каналы
IP-сеть
Рис. 1.25. Сеть, построенная по технологии MPLS
Наиболее значимые решения в архитектуре MPLS –
возможность разделения IP-трафика и создания частных
виртуальных сетей (Virtual Private Network – VPN, см. раздел 4), а также независимость адресных пространств операторской и клиентских сетей.
74
Построенные на основе технологий MPLS сети VPN
отличаются исключительно высокой масштабируемостью,
простотой настройки и естественной интеграцией с другими сервисами.
Разделение трафика и изоляция сетей обеспечиваются автоматической фильтрацией маршрутных объявлений и применением туннелей MPLS для передачи клиентского трафика по внутренней сети провайдера.
Маршрутная информация из сети клиента с помощью протокола BGP (Borger Gateway Protocol) попадает
только в сети этого же клиента.
Маршрутизаторы разных клиентов не имеют маршрутной информации друг о друге и сети провайдера, чем и
достигается изоляция сетей. Использование маршрутизаторами MPLS-туннелей связывает сети клиентов и снимает
необходимость иметь маршрутную информацию на всех
маршрутизаторах в сети оператора. Сведения о клиентских
маршрутах имеются только на пограничных маршрутизаторах оператора, к которым непосредственно подключены
эти клиенты. Данные маршрутизаторы разделяют внутреннюю операторскую и клиентские таблицы маршрутизации
с помощью технологии VRF (VPN Routing and Forwarding),
суть которой состоит в том, что на граничном устройстве
создается по одной VRF-таблице для каждого клиента. А
ограничение маршрутной информации пределами отдельного VPN изолирует адресные пространства разных VPN.
Повышение уровня защищенности MPLS/VPN достигается
с помощью устанавливаемых в сетях клиентов или сети
провайдера традиционных средств аутентификации и
шифрования, например IPSec (см. раздел 1.3).
Основные преимущества технологии IP/MPLS: более высокая скорость продвижения IP-пакетов по сети за
счет сокращения времени обработки маршрутной инфор75
мации и возможность организации информационных потоков в каналах связи. С помощью меток каждому информационному потоку (например, несущему телефонный трафик) может назначаться требуемый класс обслуживания.
1.3. Адресация и маршрутизация в информационнотелекоммуникационных системах
Адресация и маршрутизация в ИТКС рассматривается применительно к наиболее распространенному стеку
протоколов TCP/IP9, применяемому не только в Internet, но
и в подавляющем большинстве корпоративных и локальных сетей [1 - 3].
Каждый компьютер в сети, использующей стек
TCP/IP, имеет адреса трех видов.
1. Физический или локальный адрес узла, определяемый технологией, с помощью которой построена отдельная сеть, в которую входит данный узел. Для узлов, входящих в локальные сети, - это МАС-адрес сетевого адаптера или порта маршрутизатора. Для узлов, входящих в глобальные сети, такие как Х.25 или Frame Relay, локальный
адрес назначается администратором глобальной сети;
2. Сетевой или IP-адрес, который назначается всем
узлам сети администратором во время конфигурирования
компьютеров и маршрутизаторов. IP-адрес состоит из двух
частей: номера сети и номера узла. Номер сети может быть
выбран администратором произвольно, либо назначен по
рекомендации специального подразделения Internet
Стеком протоколов называется иерархически организованная совокупность протоколов. Стек протоколов TCP/ IP назван по аббревиатурам двух основных протоколов этого стека: TCP (Transmission Control
Protocol) и IP (Internet Protocol). О протоколе TCP более подробно излагается в следующем разделе
9
76
(Network Information Center, NIC), если сеть должна работать как составная часть Internet. Обычно провайдеры
услуг Internet получают диапазоны адресов у подразделений NIC, а затем распределяют их между своими абонентами.
Номер узла в протоколе IP назначается независимо
от локального адреса узла. Деление IP-адреса на поле номера сети и номера узла - гибкое, и граница между этими
полями может устанавливаться весьма произвольно. Узел
может входить в несколько IP-сетей. В этом случае узел
должен иметь несколько IP-адресов по числу сетевых связей. Таким образом, IP-адрес характеризует не отдельный
компьютер или маршрутизатор, а одно сетевое соединение.
3. Мнемонический адрес или символьный идентификатор-имя, например, rtr.ru. Этот адрес назначается администратором и состоит из нескольких частей, например,
имени машины, имени организации, имени домена. Такой
адрес, называемый также DNS-именем10, используется
пользователями и стандартами на прикладном уровне.
MAC-адрес в соответствии со стандартами IEEE
может быть одним из трех типов:
физический адрес одного сетевого интерфейса;
широковещательный сетевой адрес;
групповой адрес.
Например, физический адрес одного сетевого интерфейса в шестнадцатеричном счислении может иметь
вид:
11-A0-17-3D-BC-01,
широковещательный
–
0xFFFFFFFFFFFF, а групповой – 01-00-5E-0F-00-00.
В соответствии с аббревиатурой названия службы Domain Name
System (DNS). Служба DNS предназначена для автоматического поиска IP-адреса по известному символьному имени узла
10
77
Физический адрес одного сетевого интерфейса содержит 48 разрядов (6 байтов), разделенных на четыре части. Первые 3 байта (в порядке их передачи по сети это
старшие 3 байта, если рассматривать их в традиционной
бит-реверсной шестнадцатеричной записи MAC-адресов)
содержат 24-битный уникальный идентификатор организации (Organizational Unique Identifier, OUI) – фирмы производителя. Младшие 3 байта содержат «номер интерфейса», который устанавливается на заводе и является уникальным для каждого выпущенного устройства. Номер интерфейса производитель получает в IEEE. При этом используются только младшие 22 разряда, два старших имеют специальное назначение:
первый бит (младший бит первого байта) указывает, для какого адресата предназначен кадр: для
одиночного (0) или группового (1);
следующий бит указывает, является ли MACадрес глобально (0) или локально (1) администрируемым.
Следующие три байта выбираются изготовителем
для каждого экземпляра устройства.
Таким образом, глобально администрируемый
MAC-адрес устройства уникален и обычно «зашит» в аппаратуру. Администратор сети имеет возможность, вместо
использования «зашитого», назначить устройству MACадрес по своему усмотрению. Такой локально администрируемый MAC-адрес выбирается произвольно и может не
содержать информации об OUI.
Существует распространенное мнение, что MACадрес жестко «вшит» в сетевую карту и сменить его нельзя
или можно только с помощью программатора. На самом
деле это не так. MAC-адрес легко меняется программным
путем, так как значение, указанное через драйвер, имеет
78
более высокий приоритет, чем зашитое в плату. Однако
всё же существует оборудование, в котором смену MACадреса произвести невозможно иначе, как воспользовавшись программатором. Обычно это телекоммуникационное оборудование, например, приставки для IP-TV.
В некоторых устройствах, оснащённых вебинтерфейсом управления, возможна смена MAC-адреса во
время настройки. Например, в операционной системе семейства Windows смену MAC-адреса можно осуществить
встроенными средствами – в свойствах сетевой платы, во
вкладке «Дополнительно» для редактирования доступно
свойство «Сетевой адрес» (англ. «Network Address», у некоторых изготовителей сетевых плат это свойство называется «Locally Administered Address»), позволяющее принудительно присвоить нужный MAC-адрес. В операционных
системах FreeBSD, OpenBSD MAC-адрес меняется одной
командой от пользователя - root.
Сетевой или IP-адрес имеет длину 4 байта и обычно
записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных
точками, например:
128.10.2.30 при традиционной десятичной форме
представления адреса;
10000000 00001010 00000010 00011110 при двоичной форме представления этого же адреса.
На рис. 1.26 показана структура IP-адреса.
79
Класс А
Номер сети
0
Номер узла
Класс В
1
Номер сети
0
Номер узла
Класс С
1
1
Номер сети
0
Номер узла
Класс D
1
1
1
адрес группы multicast
0
Класс Е
1
1
1
1
зарезервирован
0
Рис. 1.26. Структура IР-адреса
Адрес состоит из двух логических частей - номера
сети и номера узла в сети. Какая часть адреса относится к
номеру сети, а какая к номеру узла, определяется значениями первых битов адреса:
если адрес начинается с 0, то сеть относят к классу А, и номер сети занимает один байт, остальные 3 байта интерпретируются как номер узла в
сети. Сети класса А имеют номера в диапазоне от
1 до 126 (номер 0 не используется, а номер 127
зарезервирован для организации обратной связи
при тестировании работы программного обеспечения узла без реальной отправки пакета по сети.
Этот адрес имеет название loopback). В сетях
класса А количество узлов должно быть больше
216, но не превышать 224.
если первые два бита адреса равны 10, то сеть
относится к классу В и является сетью средних
размеров с числом узлов 28- 216. В сетях класса В
под адрес сети и под адрес узла отводится по 2
байта.
80
если адрес начинается с последовательности 110,
то это сеть класса С с числом узлов не больше 28.
Под адрес сети отводится 24 бита, а под адрес
узла - 8 битов;
если адрес начинается с последовательности
1110, то он является адресом класса D и обозначает особый, групповой адрес - multicast. Если в
пакете в качестве адреса назначения указан адрес
класса D, то такой пакет должны получить все
узлы, которым присвоен данный адрес.
если адрес начинается с последовательности
11110, то это адрес класса Е, он зарезервирован
для будущих применений.
В табл. 1.8 приведены диапазоны номеров сетей,
соответствующих каждому классу сетей.
Таблица 1.8
Диапазоны номеров сетей, соответствующие каждому
классу сетей
Класс
Наименьший адрес
Наибольший адрес
A
01.0.0
126.0.0.0
B
128.0.0.0
191.255.0.0
C
192.0.1.0.
223.255.255.0
D
224.0.0.0
239.255.255.255
E
240.0.0.0
247.255.255.255
Следует отметить, что с ростом сети Интернет эта
система оказалась недостаточно эффективной и была дополнена бесклассовой адресацией CIDR (англ. Classless
Inter-Domain Routing). Принцип IP-адресации в данном
случае – это выделение множества IP-адресов, в котором
некоторые битовые разряды имеют фиксированные значения, а остальные разряды пробегают все возможные значе81
ния. Блок адресов задаётся указанием начального адреса и
маски подсети. Бесклассовая адресация основывается на
переменной длине маски подсети, в то время как в классовой (традиционной) адресации длина маски строго фиксирована. Пример подсети 192.0.2.32/27 (здесь цифра 27 –
префикс, соответствующий количеству бит в маске сети) в
бесклассовой записи приведен на рис. 1.27.
Октеты IP192
0
2
32
адреса
Биты
IPадре- 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 1 0 0 0 0 0
са
Биты
маски
под- 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0
сети
Октеты
маски
255
255
255
224
подсети
Рис. 1.27. Пример записи адреса в бесклассовой записи
В протоколе IP существует несколько соглашений
об особой интерпретации IP-адресов:
если IР-адрес состоит только из двоичных нулей,
то он обозначает адрес того узла, который сгенерировал этот пакет;
если в поле номера сети стоят 0, то по умолчанию считается, что этот узел принадлежит той же
самой сети, что и узел, который отправил пакет;
82
если все двоичные разряды IP-адреса равны 1, то
пакет с таким адресом назначения должен рассылаться всем узлам, находящимся в той же сети,
что и источник этого пакета. Такая рассылка
называется ограниченным широковещательным
сообщением (limited broadcast);
если в поле адреса назначения стоят сплошные 1,
то пакет, имеющий такой адрес, рассылается
всем узлам сети с заданным номером. Такая рассылка называется широковещательным сообщением (broadcast).
Уже упомянутая форма группового IP-адреса
(multicast) означает, что данный пакет должен быть доставлен сразу нескольким узлам, которые образуют группу
с номером, указанным в поле адреса. Узлы сами идентифицируют себя, то есть определяют, к какой из групп они
относятся. Один и тот же узел может входить в несколько
групп. Такие сообщения в отличие от широковещательных
называются мультивещательными. Групповой адрес не делится на поля номера сети и узла и обрабатывается маршрутизатором особым образом.
В протоколе IP нет понятия широковещательности в
том смысле, в котором оно используется в протоколах канального уровня локальных сетей, когда данные должны
быть доставлены абсолютно всем узлам. Как ограниченный широковещательный IP-адрес, так и широковещательный IP-адрес имеют пределы распространения - они ограничены либо сетью, к которой принадлежит узел - источник пакета, либо сетью, номер которой указан в адресе
назначения. Поэтому деление сети с помощью маршрутизаторов на части локализует широковещательный шторм
пределами одной из составляющих общую сеть частей
просто потому, что нет способа адресовать пакет одновре83
менно всем узлам всех сетей составной сети.
В протоколе IP-адрес узла, то есть адрес компьютера или порта маршрутизатора, назначается произвольно
администратором сети и прямо не связан с его локальным
адресом. Подход, используемый в протоколе IP, удобно
использовать в крупных сетях и по причине его независимости от формата локального адреса, и по причине стабильности, так как в противном случае при смене на компьютере сетевого адаптера это изменение должны были бы
учитывать все адресаты всемирной сети Internet (если, конечно, сеть подключена к сети Internet).
Мнемонический адрес или символьный идентификатор были введены для удобства работы пользователей, так
как человеку крайне сложно работать с 32-разрядными IPадресами. Для хранения мнемонических адресов и информирования о них была создана распределенная база данных, поддерживающая иерархическую систему имен для
идентификации узлов в сети Internet. Эта база получила
название доменной системы имен или DNS (Domain Name
System). Как уже отмечалось, служба DNS предназначена
для автоматического поиска IP-адреса по известному символьному имени узла. Спецификация DNS определяется
документами RFC11 1034 и 1035. DNS требует статической
конфигурации своих таблиц, отображающих имена компьютеров в IP-адрес.
11
Рабочее предложение, заявка (запрос) на отзывы (англ. Request for
Comments, RFC) — документ, содержащий технические спецификации
и стандарты, широко применяемые в Internet. В настоящее время первичной публикацией документов RFC занимается IETF (Internet
Engineering Task Force) - международная организация под эгидой открытой организации «Общество Интернета» (англ. Internet Society,
ISOC). Правами на RFC обладает именно «Общество Интернета».
84
База данных DNS имеет структуру дерева, называемого доменным пространством имен, в котором каждый домен
(узел дерева) имеет имя и может содержать поддомены. Имя
домена идентифицирует его положение в этой базе данных
по отношению к родительскому домену, причем точки в
имени отделяют части, соответствующие узлам домена.
Корень базы данных DNS управляется центром
Internet Network Information Center. Домены верхнего
уровня назначаются для каждой страны, а также на организационной основе. Имена этих доменов должны следовать международному стандарту ISO12 3166. Для обозначения стран используются трехбуквенные и двухбуквенные аббревиатуры, а для различных типов организаций используются следующие аббревиатуры:
com - коммерческие организации (например,
microsoft.com);
edu - образовательные (например, mit.edu);
gov - правительственные организации (например,
nsf.gov);
org - некоммерческие организации (например,
fidonet.org);
mil – военные организации;
net - организации, поддерживающие сети
(например, nsf.net).
Каждый домен DNS администрирует отдельная организация, которая обычно разбивает свой домен на поддомены и передает функции администрирования этих поддоменов другим организациям. Каждый домен имеет уникальное имя, а каждый из поддоменов имеет уникальное
ISO (International Organization for Standardization) - международная
организация по стандартизации, при ссылках на оригинал документа
этой организации пишут – ISO, при ссылках на переводы пишут ИСО
12
85
имя внутри своего домена. Имя домена может содержать
до 63 символов. Каждый хост в сети Internet однозначно
определяется своим полным доменным именем, которое
включает имена всех доменов по направлению от хоста к
корню. Пример полного DNS-имени: citint.dol.ru.
Следует подчеркнуть, что MAC-адрес используется
только в пределах локальной сети при обмене данными между маршрутизатором и узлом этой сети. Маршрутизатор, получив пакет для узла одной из сетей, непосредственно подключенных к его портам, должен для передачи пакета сформировать кадр в соответствии с требованиями принятой в
этой сети технологии и указать в нем МАС-адрес узла. В
пришедшем пакете этот адрес не указан, поэтому перед
маршрутизатором встает задача поиска его по известному IPадресу, который указан в пакете в качестве адреса назначения. С аналогичной задачей сталкивается и конечный узел,
когда он хочет отправить пакет в удаленную сеть через
маршрутизатор, подключенный к той же локальной сети, что
и данный узел.
Для определения MAC-адреса по IP-адресу используется протокол разрешения адресов ARP (Address Resolution
Protocol). Протокол ARP работает различным образом в зависимости от того, какой протокол канального уровня используется в данной сети - протокол локальной сети
(Ethernet, Token Ring, FDDI) с возможностью широковещательного доступа одновременно ко всем узлам сети или же
протокол глобальной сети (X.25, frame relay), как правило, не
поддерживающий широковещательный доступ. Существует
также протокол, решающий обратную задачу - нахождение
IP-адреса по известному локальному адресу. Он называется
реверсивный ARP - RARP (Reverse Address Resolution
Protocol) и используется при старте бездисковых станций, не
знающих в начальный момент своего IP-адреса, но знающих
86
физический адрес своего сетевого адаптера.
В локальных сетях протокол ARP использует широковещательные кадры протокола канального уровня для поиска в сети узла с заданным IP-адресом. Узел, которому
нужно выполнить отображение IP-адреса на MAC-адрес,
формирует ARP запрос, указывая в нем известный IP-адрес,
и рассылает запрос широковещательно. Все узлы локальной
сети получают ARP-запрос и сравнивают указанный там IPадрес с собственным. В случае их совпадения узел формирует ARP-ответ, в котором указывает свой IP-адрес и свой локальный адрес и отправляет его уже направленно, так как в
ARP запросе отправитель указывает свой локальный адрес.
ARP-запросы и ответы используют один и тот же формат пакета. Так как локальные адреса могут в различных типах сетей иметь различную длину, то формат пакета протокола
ARP зависит от типа сети. На рис. 1.28 показан формат пакета протокола ARP для передачи по сети Ethernet.
Тип сети
Тип протокола
Длина локального адреса
Длина сетевого
адреса
Операция
Локальный адрес отправителя (байты
0 - 3)
Локальный адрес отправителя
(байты 4 - 5)
IP-адрес отправителя
(байты 0-1)
IP-адрес отправителя (байты 2-3)
Искомый локальный адрес
(байты 0 - 1)
Искомый локальный адрес
(байты 2-5)
Искомый IP-адрес (байты 0 - 3)
Рис. 1.28. Формат пакета протокола ARP
87
В поле «тип сети» для сетей Ethernet указывается
значение 1. Поле «тип протокола» позволяет использовать
пакеты ARP не только для протокола IP, но и для других
сетевых протоколов. Длина локального адреса для протокола Ethernet равна 6 байтам, а длина IP-адреса - 4 байтам.
В поле операции для ARP запросов указывается значение 1
для протокола ARP и 2 для протокола RARP.
Узел, отправляющий ARP-запрос, заполняет в пакете все поля, кроме поля искомого локального адреса (для
RARP-запроса не указывается искомый IP-адрес). Значение этого поля заполняется узлом, опознавшим свой IPадрес.
В глобальных сетях администратору сети часто
приходится вручную формировать ARP-таблицы, в которых он задает, например, соответствие IP-адреса адресу
узла сети X.25, который имеет смысл локального адреса. В
последнее время наметилась тенденция автоматизации работы протокола ARP и в глобальных сетях. Для этой цели
среди всех маршрутизаторов, подключенных к какой-либо
глобальной сети, выделяется специальный маршрутизатор,
который ведет ARP-таблицу для всех остальных узлов и
маршрутизаторов этой сети. При таком централизованном
подходе для всех узлов и маршрутизаторов вручную нужно задать только IP-адрес и локальный адрес выделенного
маршрутизатора. Затем каждый узел и маршрутизатор регистрирует свои адреса в выделенном маршрутизаторе, а
при необходимости установления соответствия между IPадресом и локальным адресом узел обращается к выделенному маршрутизатору с запросом и автоматически получает ответ без участия администратора.
Для того чтобы освободить администратора от утомительной работы вручную назначать IP-адреса, был разработан протокол DHCP (Dynamic Host Configuration
88
Protocol) [1]. Основным его назначением является динамическое назначение IP-адресов. Однако, кроме динамического, DHCP может поддерживать и более простые способы ручного и автоматического статического назначения
адресов. В ручной процедуре назначения адресов активное
участие принимает администратор, который предоставляет
DHCP-серверу информацию о соответствии IP-адресов физическим адресам или другим идентификаторам клиентов.
Эти адреса сообщаются клиентам в ответ на их запросы к
DHCP-серверу.
При автоматическом статическом способе DHCPсервер присваивает IP-адрес из пула наличных IP-адресов
без вмешательства оператора. Границы пула назначаемых
адресов задает администратор при конфигурировании
DHCP-сервера. Между идентификатором клиента и его IPадресом, как и при ручном назначении, существует постоянное соответствие. Оно устанавливается в момент первичного назначения DHCP-сервером IP-адреса клиенту.
При всех последующих запросах сервер возвращает тот же
самый IP-адрес.
При динамическом распределении адресов DHCPсервер выдает адрес клиенту на ограниченное время, что
дает возможность впоследствии повторно использовать IPадреса другими компьютерами. Динамическое разделение
адресов позволяет строить IP-сеть, количество узлов в которой намного превышает количество имеющихся в распоряжении администратора IP-адресов.
Протокол DHCP обеспечивает надежный и простой
способ конфигурации сети, гарантируя отсутствие конфликтов адресов за счет централизованного управления их
распределением. Примером работы протокола DHCP может служить ситуация, когда компьютер, являющийся клиентом DHCP, удаляется из подсети. При этом назначенный
89
ему IP-адрес автоматически освобождается. Когда компьютер подключается к другой подсети, то ему автоматически назначается новый адрес. Ни пользователь, ни сетевой
администратор не вмешиваются в этот процесс. Это свойство очень важно для мобильных пользователей.
В протоколе DHCP описывается несколько типов
сообщений, которые используются для обнаружения и выбора DHCP-серверов, для запросов информации о конфигурации, для продления и досрочного прекращения лицензии на IP-адрес. Все эти операции направлены на то, чтобы
освободить администратора сети от утомительных рутинных операций по конфигурированию сети. Однако использование DHCP несет в себе и некоторые проблемы. Вопервых, это проблема согласования информационной адресной базы в службах DHCP и DNS. Если IP-адреса будут
динамически изменятся сервером DHCP, то эти изменения
необходимо также динамически вносить в базу данных
сервера DNS. Хотя протокол динамического взаимодействия между службами DNS и DHCP уже реализован некоторыми фирмами (так называемая служба Dynamic DNS),
стандарт на него пока не принят. Во-вторых, нестабильность IP-адресов усложняет процесс управления сетью.
Системы управления, основанные на протоколе SNMP,
разработаны с расчетом на статичность IP-адресов. Аналогичные проблемы возникают и при конфигурировании
фильтров маршрутизаторов, которые оперируют с IPадресами.
Наконец, централизация процедуры назначения адресов снижает надежность системы: при отказе DHCPсервера все его клиенты оказываются не в состоянии получить IP-адрес и другую информацию о конфигурации. Последствия такого отказа могут быть уменьшены путем использовании в сети нескольких серверов DHCP.
90
1.4. Стандартная модель взаимодействия открытых
систем и протоколы межсетевого взаимодействия
Все устройства в сети должны общаться на одном
языке - передавать данные в соответствии с общеизвестным алгоритмом в формате, который будет «понят» другими устройствами. Самые первые сети вообще были работоспособны только при условии, когда все их компоненты поставлялись одним производителем. Два участника
сетевого обмена должны согласовывать между собой
уровни и форму электрических сигналов, способ определения длины сообщений, методы контроля сообщений,
способы интерпретации информации и т.п. Такое согласование стало осуществляться на основе специально разработанных коммуникационных протоколов. Коммуникационный протокол – это совокупность правил, регламентирующих формат и процедуры обмена информацией между
двумя или несколькими независимыми сетевыми устройствами, программами или процессами. Протоколы определяют правила передачи сообщений, не привязанные к конкретной аппаратной платформе, и оформляются в виде
стандартизованных программ. Однако, к началу 80-х годов
накопилось огромное разнообразие таких протоколов и
возникла насущная потребность в их упорядочении и систематизации. В 1984 г. с целью упорядочения описания
принципов взаимодействия устройств в сетях Международная организация по стандартизации (ISO) предложила
семиуровневую эталонную коммуникационную модель
«Взаимодействие открытых систем» (Open System Interconnection, OSI, в России ее называют также «эталонная
модель взаимодействия открытых систем», ЭМВОС).
Модель взаимодействия открытых систем стала основой для разработки стандартов на взаимодействие ком91
пьютерных сетей. Каждый уровень модели OSI выполняет
определенную задачу в процессе передачи данных по сети,
обслуживая различные части процесса взаимодействия открытых систем.
Модель OSI описывает только системные средства
взаимодействия, не касаясь приложений конечных пользователей. Приложения реализуют свои собственные протоколы взаимодействия, обращаясь к системным средствам
(рис. 1.29).
Модель OSI можно разделить на две различных модели (рис. 1.30):
горизонтальную модель на базе протоколов,
обеспечивающую механизм взаимодействия программ и процессов на различных машинах;
вертикальную модель на основе услуг, обеспечиваемых соседними уровнями друг другу на одной
машине.
Каждый уровень компьютера-отправителя взаимодействует виртуально с таким же уровнем компьютераполучателя, как будто он связан напрямую. В действительности взаимодействие осуществляется между смежными
уровнями одного компьютера. Информация на компьютере-отправителе должна пройти через все уровни. Затем она
передается по физической среде до компьютераполучателя и опять проходит сквозь все слои, пока не доходит до того же уровня, с которого она была послана на
компьютере-отправителе.
В горизонтальной модели двум программам требуется общий протокол для обмена данными. В вертикальной
модели соседние уровни обмениваются данными с использованием интерфейсов прикладных программ API
(Application Programming Interface).
92
Пользователи
Уровни модели OSI
Прикладные процессы
7
Прикладной
6
Представительский
5
Сеансовый
4
Транспортный
3
Сетевой
2
Канальный
1
Физический
Интерфейс
пользователя
Прикладной
интерфейс
Физические средства соединения
Рис. 1.29. Структура модели OSI
93
Компьютер получателя
Компьютер отправителя
Прикладной
Прикладной
Представительский
Представительский
Сеансовый
Сеансовый
Транспортный
Транспортный
Сетевой
Сетевой
Канальный
Канальный
Физический
Физический
Виртуальная
связь
Физическая среда
Рис. 1.30. Схема взаимодействия компьютеров
в соответствии с эталонной моделью OSI
94
Для описания трафика в модели предусмотрены две
характеристики: единица данных и способ упаковки.
Единицей данных может быть бит, байт, слово, сообщение, блок. Они упаковываются в файлы, пакеты, кадры, ячейки. Например, один из блоков носит название дейтаграмма – это блок информации, состоящий из заголовка
и поля данных и передаваемый только на основе адресной
информации без предварительного соединения с адресатом. При отправке сообщение проходит последовательно
через все уровни программного обеспечения.
На каждом уровне к пакету, в которое помещается
сообщение, добавляется управляющая информация данного уровня (заголовок), которая необходима для успешной
передачи данных по сети (рис. 1.31).
На принимающей стороне пакет проходит через все
уровни в обратном порядке. На каждом уровне протокол
этого уровня читает информацию пакета, затем удаляет
информацию, добавленную к пакету на этом же уровне отправляющей стороной, и передает пакет следующему
уровню. Когда пакет дойдет до прикладного уровня, вся
управляющая информация будет удалена из пакета, и данные примут свой первоначальный вид.
Отдельные уровни модели OSI удобно рассматривать как группы программ, предназначенных для выполнения конкретных функций. Каждый уровень обеспечивает
сервис для вышестоящего уровня, запрашивая в свою очередь сервис у нижестоящего уровня. Верхние уровни запрашивают сервис почти одинаково: как правило, это требование маршрутизации каких-то данных из одной сети в
другую. Практическая реализация принципов адресации
данных возложена на нижние уровни.
На рис. 1.32 приведено краткое описание функций
всех уровней.
95
Данные
Флаг
Заголовок пакета
конца
пакета
прикладн
пакета
уровня №7
ого
№7
уровня
Заголовок
пакета
уровня №6
Заголовок
пакета
уровня №5
Заголовок
пакета
уровня №4
Заголово
кпакета
уровня
№3
Заголово
кпакета
уровня
№2
Заголовок
пакета
уровня №1
Данные пакета
представительского уровня
(уровня №6)
Флаг
конца
пакета №6
Данные пакета сеансового уровня (уровня №5)
Данные пакета транспортного уровня (уровня №4)
Данные пакета сетевого уровня (уровня №3)
Данные пакета канального уровня (уровня №2)
Флаг
конца
пакета №
5
Флаг
конца
пакета №
4
Флаг конца
пакета №3
Флаг
конца
пакета №2
Данные пакета физического уровня (уровня №1)
Рис. 1.31. Формирование пакета каждого уровня семиуровневой модели
96
Флаг конца
пакета №1
7. Прикладной уровень. Предоставляет набор интерфейсов для доступа к сетевым службам
6. Представительский уровень. Преобразует данные в общий формат для передачи по сети
5. Сеансовый уровень. Поддерживает взаимодействие (сеанс) между
удаленными процессами
4. Транспортный уровень. Управляет передачей данных по сети,
обеспечивает подтверждение передачи
3. Сетевой уровень. Обеспечивает маршрутизацию, управление потоками данных, адресацию сообщений
2. Канальный уровень. Обеспечивает контроль логической связи
(подуровень LLC) и контроль доступа к среде передачи (MAC)
1. Физический уровень. Обеспечивает выполнение битовых протоколов передачи данных
Рис. 1.32. Функции уровней модели OSI
Рассматриваемая модель определяет взаимодействие открытых систем разных производителей в одной
сети. Поэтому она направлена на координацию, касающуюся:
взаимодействия прикладных процессов;
форм представления данных;
единообразного хранения данных;
управления сетевыми ресурсами;
безопасности данных и защиты информации;
диагностики программ и технических средств.
Вместе с тем, эта модель не стала реальным стеком
протоколов межсетевого взаимодействия, а лишь используется для систематизации представлений о множестве
97
существующих коммуникационных протоколов. Сегодня
основным стеком протоколов считается стек TCP/ IP.
Этот стек был разработан до появления модели взаимодействия открытых систем OSI, он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP
уровням модели OSI с распределением некоторых основных протоколов межсетевого взаимодействия по уровням
показано на рис. 1.33.
7
6
WWW,
Gopher, SNMP FTP Telnet TFTP SMTP I–прикладной
WAIS
5
TCP
4
3
2
1
IP
ICMP RIP
UDP
OSPF
II -транспортный
ARP III-сетевой
не регламентируется: Ethernet, Gigabit
Ethernet,
IV-канальный
Token Ring, PPP, FDDI, X.25, SLIP, frame
relay ...
Уровни
модели
OSI
Уровни стека TCP/IP
Рис. 1.33. Соответствие уровней стека TCP/IP
и модели OSI
Рассматривая многоуровневую архитектуру стека
TCP/IP, можно выделить в ней, подобно архитектуре модели OSI, уровни, функции которых зависят от конкретной
технологической реализации сети, и уровни, функции которых ориентированы на работу только с приложениями и
не зависят от сетевой технологии. Следует отметить, что в
стеке имеет место 4 уровня с обратной их нумерацией:
98
первым считается прикладной уровень, вторым – транспортный, третьим – сетевой и четвертым – канальный.
Рассмотрим кратко функции каждого уровня модели OSI, некоторые соответствующие этим уровням протоколы межсетевого взаимодействия, а также особенности их
реализации в стеке протоколов TCP/IP.
Прикладной уровень служит пользовательским
интерфейсом (совокупностью правил и услуг) с сетью.
Этот уровень непосредственно взаимодействует с пользовательскими прикладными программами, предоставляя им
доступ в сеть. Прикладной уровень – это, по сути, набор
разнообразных протоколов, с помощью которых пользователи сети получают доступ к разделяемым ресурсам, таким
как файлы, принтеры или гипертекстовые Web-страницы,
электронная почта и др. Специальные элементы прикладного сервиса обеспечивают сервис для конкретных прикладных программ, таких как программы пересылки файлов и эмуляции терминалов. В модели OSI прикладная
программа, которой нужно выполнить конкретную задачу
(например, обновить базу данных на компьютере), посылает конкретные данные в виде дейтаграммы на прикладной
уровень. Одна из основных задач этого уровня – определить, как следует обрабатывать запрос прикладной программы, другими словами, какой вид должен принять данный запрос.
Единица данных, которой оперирует прикладной
уровень, обычно называется сообщением (message).
Прикладной уровень выполняет следующие функции:
передачи файлов;
управления заданиями;
управления системой;
99
идентификации13, аутентификации14 и авторизации15 пользователей по их паролям, адресам,
электронным подписям;
определения функционирующих абонентов и
возможности доступа к новым прикладным процессам;
определения достаточности имеющихся ресурсов;
организации запросов на соединение с другими
прикладными процессами;
передачи заявок нижестоящему уровню на необходимые методы описания информации;
выбора процедур планируемого диалога процессов;
управления данными, которыми обмениваются
прикладные процессы и синхронизация взаимодействия прикладных процессов;
определения качества обслуживания (время доставки блоков данных, допустимой частоты ошибок);
соглашения об исправлении ошибок и определении достоверности данных;
Идентификация (от лат. Identifico — отождествлять) - присвоение
субъектам и объектам идентификатора (имени) и/или сравнение идентификатора с перечнем присвоенных идентификаторов
14
Аутентифика́ция (англ. authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
15
Авторизация (англ. authorisation): Процесс предоставления определенному лицу прав на выполнение некоторых действий, подтверждения (проверки) прав пользователей на выполнение некоторых действий. Авторизация — это и идентификация, и аутентификация, и
процедура предоставления прав
13
100
согласования ограничений, накладываемых на
синтаксис (наборы символов, структура данных).
Указанные функции определяют виды сервиса, которые прикладной уровень предоставляет прикладным
процессам. Кроме этого, прикладной уровень передает
прикладным процессам сервис, предоставляемый физическим, канальным, сетевым, транспортным, сеансовым и
представительским уровнями.
На прикладном уровне необходимо предоставить в
распоряжение пользователей уже переработанную информацию. С этим может справиться системное и пользовательское программное обеспечение.
К числу наиболее распространенных протоколов
верхних трех уровней относятся:
FTP (File Transfer Protocol) – протокол передачи
файлов;
TFTP (Trivial File Transfer Protocol) – простейший
протокол пересылки файлов;
SFTP (Simple File Transfer Protocol) – простейший
протокол пересылки файлов;
X.400 – протокол для международного обмена
электронной почтой;
TELNET (TErminaL NETwork) – работа с удаленным терминалом;
SMTP (Simple Mail Transfer Protocol) – простой
протокол почтового обмена;
SLIP (Serial Line IP) IP – протокол последовательной посимвольной передачи данных;
SNMP (Simple Network Management Protocol) –
протокол для мониторинга сети и сетевых компонентов в сети Internet;
101
FTAM (File Transfer, Access, and Management) –
протокол передачи, доступа и управления файлами.
Рассмотрим некоторые протоколы, которые широко
используются для реализации сетевых атак.
Протокол TELNET - один из самых старых коммуникационных протоколов Internet, предназначенный для
реализация доступа к ресурсам удаленного компьютера.
Протокол TELNET обеспечивает двунаправленный восьмибитный канал передачи данных. Его главной задачей
является создание стандартного метода взаимодействия
терминальных устройств. Схема соединения терминала
пользователя с сервером TELNET приведена на рис. 1.34.
Internet
Компьютер пользователя
Терминал
Данные и управляющая
информация
Сервер Telnet
Рис. 1.34. Схема соединения терминала пользователя
с сервером TELNET
TELNET использует TCP-соединение для передачи
данных совместно с управляющей информацией протокола. В принципе, для работы протокола передавать какуюлибо управляющую информацию не обязательно. Таким
образом, протокол может использоваться для соединения с
любым сервисом, использующим TCP в качестве транспортного протокола.
Протокол TELNET находится на сеансовом уровне
стандартной модели OSI. Для обеспечения удаленного доступа к терминалу сервера стандартом резервируется порт
23. Основу протокола составляют три базовых положения:
102
концепция «Сетевого Виртуального Терминала»;
использование принципа согласования параметров;
симметрия терминалов и процессов.
Концепция «Сетевого Виртуального Терминала» состоит в следующем. Когда устанавливается соединение,
предполагается, что оно начинается и завершается на «Сетевом Виртуальном Терминале» (Network Virtual Terminal,
NVT). NVT – это воображаемое устройство, которое создает промежуточное стандартное представление канонического терминала. NVT является стандартным описанием
наиболее широко используемых возможностей реальных
физических терминальных устройств. Терминальная программа и реализуемый в ней процесс преобразовывают характеристики физических устройств в спецификацию
NVT, что позволяет, с одной стороны, унифицировать характеристики физических устройств, а с другой – обеспечить совместимость устройств с различными возможностями.
Характеристики диалога определяются устройством
с меньшими возможностями. В результате, «пользовательскому» и «серверному» узлам не нужно хранить информацию о характеристиках терминалов друг друга. Все узлы
отображают характеристики своих устройств так, чтобы
другой стороне казалось, что она имеет дело с NVT.
Обычно, под «пользовательским» понимают узел, к которому подключен реальный терминал или который инициирует соединение по протоколу TELNET, а под «серверным» - который предоставляет некоторый сервис.
Принцип согласования параметров состоит в следующем. NVT - это минимально необходимый набор параметров, который позволяет работать даже самым примитивным устройствам. Многие современные устройства об103
ладают гораздо большими возможностями представления
информации по сравнению с примитивными. Принцип согласования параметров позволяет использовать эти возможности. Например, NVT является терминалом, который
не может использовать функции управления курсором, а
реальный терминал, с которого осуществляется работа,
возможно, умеет это делать. Используя согласование параметров, терминальная программа предлагает обслуживающему процессу использовать управляющие последовательности для управления выводом информации. Получив
такую команду, процесс начинает вставлять управляющие
последовательности в данные, предназначенные для отображения.
В протоколе предлагаются дополнительные параметры «DO, DON'T, WILL, WON'T», позволяющие пользователю и серверу более точно договориться об используемых в соединении соглашениях.
Команда WILL XXX указывает на предложение отправляющей стороны использовать параметр XXX, при
этом DO XXX и DON'T XXX являются, соответственно,
положительным и отрицательным ответом.
В отличие от других протоков, таких как FTP или
SMTP, команды передаются не английскими словами (или
их сокращениями), а в виде восьмибитных последовательностей (байтов).
Симметрия терминалов и процессов отражает тот
факт, что все управляющие команды протокола могут даваться любой стороной, участвующей в соединении. Разделения на «клиент» и «сервер» здесь нет.
Протокол TELNET позволяет обслуживающей машине рассматривать все удаленные терминалы как стандартные «сетевые виртуальные терминалы» строчного ти-
104
па, работающие в коде ASCII16, а также обеспечивает возможность согласования более сложных функций (например, локальный или удаленный эхо-контроль, страничный
режим, высота и ширина экрана и т.д.). TELNET работает
на базе протокола TCP. На прикладном уровне над
TELNET находится либо программа поддержки реального
терминала (на стороне пользователя), либо прикладной
процесс в обсуживающей машине, к которому осуществляется доступ с терминала. Протокол TELNET широко
распространен, создано множество реализаций для самых
разных операционных систем. Вместе с тем протокол недостаточно защищен, что позволяет его использовать при
проведении сетевых атак.
Протокол FTP (File Transfer Protocol – протокол
передачи данных) – один из старейших протоколов в
Internet и входит в его стандарты. Первые спецификации
FTP относятся к 1971 году. С тех пор FTP претерпел множество модификаций и значительно расширил свои возможности. FTP может использоваться как в программах
пользователей, так и в виде специальной утилиты операционной системы. FTP предназначен для решения задач
разделения доступа к файлам на удаленных хостах, прямого или косвенного использования ресурсов удаленных
компьютеров, обеспечения независимости клиента от файловых систем удаленных хостов, эффективной и надежной
передачи данных.
Достаточно яркая особенность протокола FTP состоит в том, что он использует множественное (как минимум — двойное) подключение. При этом один канал явля16
ASCII (англ. American Standard Code for Information Interchange) —
американская стандартная кодировочная таблица для представления
десятичных цифр, латинского и национального алфавитов, знаков препинания и управляющих символов.
105
ется управляющим, через который поступают команды
серверу и возвращаются его ответы (обычно через TCPпорт 21), а через остальные происходит собственно передача данных, по одному каналу на каждую передачу. Поэтому в рамках одной сессии по протоколу FTP можно передавать одновременно несколько файлов, причём в обоих
направлениях. Для каждого канала данных открывается
свой TCP порт, номер которого выбирается либо сервером,
либо клиентом, в зависимости от режима передачи
Обмен данными в FTP построен на технологии
«клиент-сервер». FTP не может использоваться для передачи конфиденциальных данных, поскольку не обеспечивает защиты передаваемой информации и передает между
сервером и клиентом открытый текст. FTP-сервер может
потребовать от FTP-клиента аутентификации по паролю.
Однако пароль пользователя передается от клиента на сервер открытым текстом.
В соответствии с протоколом FTP соединение инициируется интерпретатором протокола пользователя.
Управление обменом осуществляется по каналу управления в стандарте протокола TELNET. Команды FTP генерируются интерпретатором протокола пользователя и передаются на сервер, при этом используются три группы команд: команды управления доступом к системе, команды
управления потоком данных и команды FTP-сервиса.
Ответы сервера отправляются пользователю также
по каналу управления. В общем случае пользователь имеет
возможность установить контакт с интерпретатором протокола сервера и отличными от интерпретатора протокола
пользователя средствами.
Алгоритм работы протокола FTP состоит в следующем:
106
1. Сервер FTP использует в качестве управляющего
канала соединение через TCP-порт 21, который всегда
находится в состоянии ожидания соединения со стороны
пользователя FTP.
2. После того как устанавливается управляющее соединение модуля «Интерпретатор протокола пользователя» с модулем сервера «Интерпретатор протокола сервера», пользователь (клиент) может отправлять на сервер
команды. FTP-команды определяют параметры соединения
передачи данных: роль участников соединения (активный
или пассивный), порт соединения, тип передачи, тип передаваемых данных, структуру данных и управляющие директивы, обозначающие действия, которые пользователь
хочет совершить (например, сохранить, считать, добавить
или удалить данные или файл и другие).
3. После того как согласованы все параметры канала передачи данных, один из участников соединения, который является пассивным, становится в режим ожидания
открытия соединения на заданный для передачи данных
порт. После этого активный модуль открывает соединение
и начинает передачу данных.
4. После окончания передачи данных, соединение
между абонентами закрывается, но управляющее соединение «Интерпретатора протокола сервера» и «Интерпретатора протокола пользователя» остается открытым. Пользователь, не закрывая сессии FTP, может еще раз открыть
канал передачи данных.
Сервер FTP ответственен за открытие и закрытие
канала передачи данных. Сервер FTP должен самостоятельно закрыть канал передачи данных в следующих случаях:
1. Сервер закончил передачу данных в формате, который требует закрытия соединения.
107
2. Сервер получил от пользователя команду «прервать соединение».
3. Пользователь изменил параметры порта передачи
данных.
4. Было закрыто управляющее соединение.
5. Возникли ошибки, при которых невозможно возобновить передачу данных.
Протокол FTP имеет двух «младших братьев»:
TFTP – Trivial FTP и SFTP – Simple FTP.
Протокол TFTP - это простейший протокол передачи файлов. Он работает с транспортным протоколом
UDP и обеспечивает выполнение только самых элементарных операций передачи файлов: записи и чтения файлов.
Он не имеет никаких средств аутентификации, но может
передавать 8-битную информацию в соответствии со всеми
стандартами Internet.
Поскольку передача данных осуществляется поверх
UDP, протокол TFTP реализует собственные методы
надежной доставки данных – пакеты подтверждения, нумерация блоков данных и пакетов подтверждения и т.п.
Все очень похоже на упрощенный вариант эмуляции протокола TCP (см. ниже).
TFTP использует пять команд:
1. Read request (RRQ) - запрос на чтение.
2. Write request (WRQ) - запрос на запись.
3. Data (DATA) - пакет данных.
4. Acknowledgment (ACK) - подтверждение.
5. Error (ERROR) - ошибка.
Процесс передачи данных начинается с поступления от клиента TFTP на сервер запроса на чтение или запись файла. Соединение устанавливается после получения
подтверждения готовности на один из запросов, либо на
запись, либо на чтение.
108
При открытии соединения каждая из сторон выбирает (случайным образом) уникальный идентификатор, который используется и протоколом UDP как порт соединения. Каждый пересылаемый пакет ассоциирован с двумя
идентификаторами, соответствующими каждой стороне
соединения. Первоначальный запрос отправляется инициатором TFTP-соединения на UDP-порт 69 (порт инициализации), в котором указывается порт соединения. Дальнейший обмен уже происходит через порты, выбранные
участниками передачи данных.
Если сервер разрешает запрос, обмен открывается и
указанный файл передается (блоками по 512 байт). Каждый пакет передаваемых данных содержит, кроме указанного блока, номер блока в передаваемом потоке. Поступление каждого блока на хост назначения должно быть подтверждено пакетом с флагом ACK (подтверждение) с номером поступившего блока. Только после получения пакета подтверждения будет отправлен следующий пакет данных.
Если длина пакета менее 512 байтов, то это служит
сигналом для закрытия канала связи. В случае потери пакета при передаче через некоторый промежуток времени
сервер отправит этот пакет данных повторно.
Три типа ситуаций порождают отправку ошибочных пакетов:
1. Не подтвержден запрос, например, не был найден
файл, нет прав доступа и др.
2. Неправильный формат пакета, например, произошла ошибка коммутации.
3. Потеря доступа к требуемому ресурсу.
При большом количестве сообщений об ошибках
соединение может быть закрыто по инициативе одной из
сторон.
109
Протокол SFTP передачи файлов пользуется популярностью в тех случаях, когда пользователю необходим
чуть более гибкий и надежный протокол, чем TFTP, и не
такой сложный и громоздкий, как FTP. SFTP поддерживает
механизмы идентификации пользователя, передачу файлов, просмотр каталогов, изменение текущего каталога,
переименование и удаление файлов. В большинстве операций, которые пользователь проводит с удаленным FTPсервером, этого сервиса вполне достаточно. SFTP может
передавать 8-битный поток данных и использует, как
TFTP, только один канал как для команд, так и для данных.
В отличие от TFTP, SFTP работает поверх TCP, порт 115.
Протокол SMTP (Simple Mail Transfer Protocol простой протокол передачи почты) поддерживает передачу
сообщений (электронной почты) между произвольными
узлами сети Internet. Имея механизмы промежуточного
хранения почты и механизмы повышения надежности доставки, протокол SMTP допускает использование различных транспортных служб. Он может работать даже в сетях,
не использующих протоколы семейства TCP/IP. Протокол
SMTP обеспечивает как группирование сообщений в адрес
одного получателя, так и размножение нескольких копий
сообщения для передачи в разные адреса. Над модулем
SMTP располагается почтовая служба конкретных вычислительных систем. Следует отметить, что в то время как
электронные почтовые серверы и другие агенты пересылки
сообщений используют SMTP для отправки и получения
почтовых сообщений, клиентские почтовые приложения,
работающие на пользовательском уровне, обычно используют SMTP только для отправки сообщений на почтовый
сервер и для ретрансляции. Для получения сообщений
клиентские приложения обычно используют либо протоколы POP (англ. Post Office Protocol – протокол почтового
110
отделения), либо IMAP (англ. Internet Message Access Protocol - протокол прикладного уровня для доступа к электронной почте), либо патентованные системы (такие как
Microsoft Exchange и Lotus Notes/Domino) для доступа к
учетной записи своего почтового ящика на сервере.
Электронная почта поставляется почтовым клиентом (MUA, mail user agent — пользовательский почтовый
агент) на почтовый сервер (MSA, mail submission agent —
агент передачи электронной почты) с помощью SMTP по
TCP-порту 587. Оттуда MSA доставляет почту своим агентам пересылки сообщений (MTA, mail transfer agent). Часто
эти два агента являются просто различными образцами одного и того же программного обеспечения, запущенного с
разными параметрами на одном устройстве. Локальная обработка может быть проведена как на отдельной машине,
так и разделена между различными устройствами. В первом случае вовлеченные процессы имеют общий доступ к
файлам, во втором случае SMTP используется для пересылки сообщения внутренне, причем каждый хост настроен на использование следующего устройства в качестве
промежуточного хоста. Граничный MTA использует систему доменных имен (см. предыдущий раздел) для поиска
записей почтового обменника (mail exchanger — MX) домена получателя (часть адреса, находящаяся справа от
символа @). Затем MTA подключается к серверу обмена в
качестве SMTP-клиента.
После доставки на локальный почтовый сервер сообщение хранится для пакетного поиска по аутентифицированным почтовым клиентам (MUA). Сообщение извлекается приложениями конечного пользователя (почтовыми
клиентами) с использованием протокола IMAP, который
облегчает доступ к сообщениям и управляет хранящейся
почтой, или с помощью протокола POP или фирменными
111
системами Microsoft Exchange/Outlook или Lotus
Notes/Domino. SMTP – всего лишь протокол доставки, он
определяет передачу сообщения, а не его содержание.
Изначальная спецификация SMTP не включала
средства аутентификации отправителей. Затем было введено расширение (ESMTP), которое предоставляет почтовым клиентам механизм аутентификации для сервера
SASL (Simple Authentication and Security Layer). Продукты
Microsoft реализуют собственный протокол - SPA (Secure
Password Authentication) для борьбы со «спамом». Однако,
проблема спама таким образом не может быть решена в
полном объеме. Обширное изменение SMTP, так же как и
полная его замена, считаются непрактичными из-за огромной инсталлированной базы SMTP. Спам остается благодаря различным факторам, в том числе из-за уязвимостей
системного и прикладного программного обеспечения,
развития вредоносных программ и др.
Представительский уровень в модели OSI обеспечивает представление данных, передаваемых между прикладными процессами, в нужной форме. Этот уровень отвечает за преобразование протоколов и кодирование/декодирование данных. Запросы приложений, полученные с прикладного уровня, он преобразует в формат
для передачи по сети, а полученные из сети данные преобразует в формат, понятный приложениям. На этом уровне
может осуществляться сжатие/распаковка или кодирование/декодирование данных, а также перенаправление запросов другому сетевому ресурсу, если они не могут быть
обработаны локально.
На представительском уровне передаваемая по сети
информация не меняет содержания. С помощью средств,
реализованных на данном уровне, протоколы прикладных
программ преодолевают синтаксические различия в пред112
ставляемых данных или же различия в кодах символов,
например, согласовывая представления данных.
Другой функцией, выполняемой на уровне представлений, является шифрование и дешифрование данных,
обеспечивающее конфиденциальность передаваемых данных сразу для всех прикладных служб. Чтобы решить эту
задачу, процессы и коды, находящиеся на уровне представлений, должны выполнить преобразование данных.
Примером протокола, обеспечивающим конфиденциальный обмен по сети, является протокол SSL (англ. Secure
Sockets Layer).
В основу общего представления данных положена
единая для всех уровней модели система ASN.1. Эта система служит для описания структуры файлов, а также
позволяет решить проблему шифрования данных. Наконец, представительский уровень выполняет функции:
генерации запросов на установление сеансов взаимодействия прикладных процессов;
представления графического материала (чертежей, рисунков, схем).
передачи запросов на прекращение сеансов.
В стеке протоколов TCP/IP представительский уровень отсутствует, а его функции выполняет прикладной
уровень.
Сеансовый уровень – это уровень, определяющий
в модели OSI процедуру проведения сеансов между пользователями или прикладными процессами. В стеке протоколов TCP/IP сеансовый уровень отсутствует, а его функции выполняет транспортный уровень.
Он обеспечивает управление диалогом для того,
чтобы фиксировать, какая из сторон является активной в
настоящий момент, а также предоставляет средства синхронизации. Последние позволяют вставлять контрольные
113
точки в длинные передачи, чтобы в случае отказа можно
было вернуться назад к последней контрольной точке,
вместо того чтобы начинать все сначала.
Сеансовый уровень управляет передачей информации между прикладными процессами, координирует прием, передачу и выдачу одного сеанса связи. Кроме того,
сеансовый уровень содержит дополнительно функции
управления паролями, управления диалогом, синхронизации и отмены связи в сеансе передачи после сбоя вследствие ошибок в нижерасположенных уровнях. На сеансовом уровне определяется, какой будет передача между
двумя прикладными процессами:
полудуплексной (стороны будут передавать и
принимать данные по очереди);
дуплексной (стороны будут передавать данные, и
принимать их одновременно).
В полудуплексном режиме сеансовый уровень выдает тому процессу, который начинает передачу, маркер
данных. Когда второму процессу приходит время отвечать,
маркер данных передается ему. Сеансовый уровень разрешает передачу только той стороне, которая обладает маркером данных.
К функциям сеансового уровня относятся:
установление и завершение на сеансовом уровне
соединения между взаимодействующими системами;
выполнение нормального и срочного обмена
данными между прикладными процессами;
управление взаимодействием прикладных процессов;
синхронизация сеансовых соединений;
извещение прикладных процессов об исключительных ситуациях;
114
установление в прикладном процессе меток, позволяющих после отказа либо ошибки восстановить его выполнение от ближайшей метки;
прерывание в нужных случаях прикладного процесса и его корректное возобновление;
прекращение сеанса без потери данных;
передача особых сообщений о ходе проведения
сеанса.
Протоколы сеансового уровня обычно являются составной частью протоколов трех верхних уровней модели.
В стеке протоколов TCP/IP сеансовый уровень отсутствует, а его функции выполняет транспортный уровень.
Транспортный и сетевой уровни в модели OSI выполняют функции, состав и содержание которых покрываются составом и содержанием функций, выполняемых
одноименными уровнями в стеке протоколов TCP/IP. Ниже
дается краткая характеристика этих уровней.
Транспортный уровень предназначен для передачи пакетов через коммуникационную сеть. На транспортном уровне пакеты разбиваются на блоки. На пути от отправителя к получателю пакеты могут быть искажены или
утеряны. Хотя некоторые приложения имеют собственные
средства обработки ошибок, существуют и такие, которые
предпочитают сразу иметь дело с надежным соединением.
Работа транспортного уровня заключается в том, чтобы
обеспечить приложениям или верхним уровням модели
(прикладному и сеансовому) передачу данных с той степенью надежности, которая им требуется. Модель OSI определяет пять классов сервиса, предоставляемых транспортным уровнем. Эти виды сервиса отличаются качеством
предоставляемых услуг: срочностью, возможностью восстановления прерванной связи, наличием средств мультиплексирования нескольких соединений между различными
115
прикладными протоколами через общий транспортный
протокол, а главное способностью к обнаружению и исправлению ошибок передачи, таких как искажение, потеря
и дублирование пакетов.
Транспортный уровень гарантирует доставку блоков информации адресатам и управляет этой доставкой.
Его главной задачей является обеспечение эффективных,
удобных и надежных форм передачи информации между
системами. Когда в процессе обработки находится более
одного пакета, транспортный уровень контролирует очередность прохождения пакетов. Если проходит дубликат
принятого ранее сообщения, то данный уровень опознает
это и игнорирует пакет.
В функции транспортного уровня входят:
управление передачей по сети и обеспечение целостности блоков данных;
обнаружение ошибок, частичная их ликвидация и
сообщение о неисправленных ошибках;
восстановление передачи после отказов и неисправностей;
укрупнение или разделение блоков данных;
предоставление приоритетов при передаче блоков (нормальная или срочная);
подтверждение передачи;
ликвидация блоков при тупиковых ситуациях в
сети.
Начиная с транспортного уровня, все вышележащие
протоколы реализуются программными средствами, обычно включаемыми в состав сетевой операционной системы.
Наиболее распространенными протоколами транспортного уровня являются:
116
UDP (User Datagram Protocol) пользовательский
протокол дейтаграмм стека TCP/IP;
TCP (Transmission Control Protocol) протокол
управления передачей стека TCP/IP;
NCP (NetWare Core Protocol) базовый протокол
сетей NetWare;
SPX (Sequenced Packet eXchange) упорядоченный
обмен пакетами стека Novell.
При решении вопросов защиты информации крайне
важным является знание, прежде всего, протоколов UDP и
TCP и их использования в межсетевом взаимодействии.
Поэтому ниже дается краткая характеристика содержания
и использования указанных протоколов.
Протокол UDP является дейтаграммным протоколом, предназначенным для негарантированной (без установки канала связи) доставки сообщений по адресу. Связь
по этому протоколу может привести к тому, что дейтаграммы могут прийти не по порядку, дублироваться или
вовсе исчезнуть без следа. При использовании UDP подразумевается, что проверка ошибок и исправление либо не
нужны, либо должны исполняться в приложении. Чувствительные ко времени приложения часто используют UDP,
так как часто предпочтительнее отбросить пакеты, чем
ждать задержавшиеся пакеты.
Протокол UDP обеспечивает многоканальную передачу (с помощью номеров портов) и проверку целостности
(с помощью контрольных сумм) заголовка и существенных
данных. Надёжная же передача в случае необходимости
должна реализовываться пользовательским приложением.
Заголовок дейтаграммы состоит из четырёх полей,
каждое по 2 байта (рис. 1.35).
117
Биты
0-31
32-63
64-...
0–15
16 –31
Порт отправителя
Порт получателя
(Source port)
(Destination port)
Длина дейтаграм- Контрольная сумма
мы (Length)
(Checksum)
Данные (Data)
Рис. 1.35. Структура заголовка дейтаграммы
В поле «Порт отправителя» указывается номер порта отправителя. Предполагается, что это значение задаёт
порт, на который при необходимости будет посылаться
ответ. В противном же случае значение должно быть равным 0. Если хостом-источником является клиент, то номер
порта будет, скорее всего, динамическим. Если источником является сервер, то его порт будет одним из «хорошо
известных».
Поле «Порт получателя» является обязательным и
содержит номер порт получателя. Аналогично порту отправителя, если хостом-получателем является клиент, то
номер порта динамический, если получатель — сервер, то
это будет «хорошо известный» порт.
Поле «Длина дейтаграммы» задает длину всей дейтаграммы (заголовка и данных) в байтах. Минимальная
длина равна длине заголовка – 8 байтов. Теоретически,
максимальный размер поля – 65535 байтов для UDPдейтаграммы (8 байтов на заголовок и 65527 на данные).
Фактический предел для длины данных при использовании
IPv4 — 65507 (помимо 8 байтов на UDP-заголовок требуется ещё 20 на IP-заголовок).
Чтобы избежать фрагментации UDP пакетов (и возможной их потери), размер данных в UDP не должен пре118
вышать 1432 байтов. Для того чтобы быть уверенным, что
пакет будет принят любым хостом, размер данных в UDP
не должен превышать 508 байтов (определяется минимальной длиной IP пакета).
Поле «Контрольная сумма» используется для проверки заголовка и данных на ошибки. Если сумма не сгенерирована передатчиком, то поле заполняется нулями.
Поле не является обязательным для IPv4.
Протокол TCP – это один из основных протоколов
передачи данных стека TCP/IP, предназначенный для
управления передачей данных. Он основан на предварительной установке виртуального соединения, осуществляет
повторный запрос данных в случае потери данных и
устраняет дублирование при получении двух копий одного
пакета, гарантируя тем самым, в отличие от UDP, целостность передаваемых данных и уведомление отправителя о
результатах передачи. Реализация TCP, как правило,
встроена в ядро операционной системы, хотя есть и реализации TCP в контексте приложения.
Когда осуществляется передача от компьютера к
компьютеру через сеть общего пользования, TCP осуществляет надежную передачу потока байтов от одной
программы на некотором компьютере к другой программе
на другом компьютере (например, программы для электронной почты, для обмена файлами). TCP контролирует
длину сообщения, скорость обмена сообщениями, сетевой
трафик.
Структура пакета, оформленного по протоколу TCP
(TCP-пакета), приведена на рис. 1.36.
119
Структура заголовка
Бит
0
32
64
96
128
0—3
4—9
10 — 15
Порт источника
16 — 31
Порт назначения
Номер последовательности
Номер подтверждения
Длина
заголовка Зарезервировано Флаги
Контрольная сумма
Окно
Указатель важности
160
Опции (необязательное, но используется практически всегда)
160/192
Данные
Рис. 1.36. Структура пакета, оформленного
по протоколу TCP
Поля «Порт источника» и «Порт назначения» представляют собой 16-битные поля, которые содержат номера
портов – числа, которые определяются по специальному
списку.
Порт источника идентифицирует приложение клиента, с которого отправлены пакеты. Ответные данные передаются клиенту на основании этого номера. Порт назначения идентифицирует порт, на который отправлен пакет.
Номер последовательности выполняет две задачи:
1)
если установлен флаг SYN (см. ниже), то это
начальное значение номера последовательности — ISN
(Initial Sequence Number), и первый байт данных, которые
будут переданы в следующем пакете, будут иметь номер
последовательности, равный ISN + 1;
2)
в противном случае, если SYN не установлен, первый байт данных, передаваемый в данном пакете,
120
имеет этот номер последовательности.
Поскольку поток пакетов TCP в общем случае может быть длиннее, чем число различных состояний этого
поля. Это накладывает практическое ограничение на использование TCP. Если скорость передачи коммуникационной системы такова, чтобы в течение максимального
времени жизни сегмента произошло переполнение номера
последовательности, то в сети может появиться два сегмента с одинаковым номером, относящихся к разным частям потока, и приёмник получит некорректные данные.
Поле «Номер подтверждения» содержит номер последовательности, ожидаемый получателем в следующий
раз, если установлен флаг ACK (см. ниже про флаги).
Поле «Длина заголовка (смещение данных)» определяет размер заголовка пакета TCP в 4-байтных словах.
Минимальный размер составляет 5 слов, а максимальный –
15, что составляет 20 и 60 байтов соответственно. Смещение считается от начала заголовка TCP.
Поле «Зарезервировано» зарезервировано (6 бит)
для будущего использования и должно устанавливаться в
ноль.
Поле «Флаги» содержит 6 битовых флагов:
URG (англ. Urgent pointer field is significant) – поле «Указатель важности» задействовано;
ACK (англ. Acknowledgement field is significant) –
поле «Номер подтверждения» задействовано;
PSH (англ. Push function) –инструктирует получателя протолкнуть данные, накопившиеся в
приемном буфере, в приложение пользователя;
RST (англ. Reset the connection) – оборвать соединения, сбросить буфер (очистка буфера);
SYN (англ. Synchronize sequence numbers) – синхронизация номеров последовательности;
121
FIN (англ. Final) – флаг, будучи установлен, указывает на завершение соединения.
В поле «Размер окна» содержится число, определяющее в байтах размер данных, которые отправитель готов
принять.
Поле «Контрольная сумма – это 16-битное дополнение к сумме всех 16-битных слов заголовка и данных.
Если сегмент, по которому вычисляется контрольная сумма, имеет длину не кратную 16-ти битам, то длина сегмента увеличивается до кратной 16-ти, за счет дополнения к
нему справа нулевых битов заполнения. Биты заполнения
(нули) не передаются в сообщении и служат только для
расчёта контрольной суммы. При расчёте контрольной
суммы значение самого поля контрольной суммы принимается равным нулю.
Поле «Указатель важности» содержит 16-битовое
значение положительного смещения от порядкового номера в данном сегменте. Это поле указывает порядковый номер октета, которым заканчиваются важные (urgent) данные. Поле принимается во внимание только для пакетов с
установленным флагом URG.
Поле «Опции» содержит опции, которые могут
применяться в некоторых случаях для расширения протокола, для тестирования. Вычислить длину поля опции
можно через значение поля смещения.
В отличие от протокола UDP, который может сразу
же начать передачу пакетов, TCP устанавливает соединения, которые должны быть созданы перед передачей данных. TCP-соединение можно разделить на 3 стадии:
1) установка соединения; 2) передача данных; 3) завершение соединения. При этом возможные состояния сеанса
связи указаны табл. 1.9.
122
Таблица 1.9
Сеанса связи по протоколу TCP
Наименование
состояния сеанса
Содержание состояния
SYN-RECEIVED
Начальное состояние узла. Фактически фиктивное
Сервер ожидает запросов установления соединения от клиента
Клиент отправил запрос серверу на установление
соединения и ожидает ответа
Сервер получил запрос на соединение, отправил
ответный запрос и ожидает подтверждения
ESTABLISHED
Соединение установлено, идёт передача данных
CLOSED
LISTEN
SYN-SENT
FIN-WAIT-1
CLOSE-WAIT
FIN-WAIT-2
LAST-ACK
TIME-WAIT
CLOSING
Одна из сторон (назовём её узел-1) завершает
соединение, отправив сегмент с флагом FIN
Другая сторона (узел-2) переходит в это состояние, отправив, в свою очередь сегмент ACK и
продолжает одностороннюю передачу
Узел-1 получает ACK, продолжает чтение и ждёт
получения сегмента с флагом FIN
Узел-2 заканчивает передачу и отправляет сегмент с флагом FIN
Узел-1 получил сегмент с флагом FIN, отправил
сегмент с флагом ACK и ждёт 2*MSL секунд,
перед окончательным закрытием соединения
Обе стороны инициировали закрытие соединения
одновременно: после отправки сегмента с флагом
FIN узел-1 также получает сегмент FIN, отправляет ACK и находится в ожидании сегмента ACK
(подтверждения на свой запрос о разъединении)
Процесс начала сеанса по протоколу TCP, называемый «рукопожатием» (handshake), состоит из 3 шагов.
1. Клиент, который намеревается установить соединение, посылает серверу пакет с номером последователь-
123
ности и флагом SYN. Сервер получает сегмент, запоминает
номер последовательности и пытается создать сокет (буферы и управляющие структуры памяти) для обслуживания нового клиента.
В случае успеха сервер посылает клиенту сегмент с
номером последовательности и флагами SYN и ACK и переходит в состояние SYN-RECEIVED (см. табл. 1.9).
В случае неудачи сервер посылает клиенту сегмент
с флагом RST.
2. Если клиент получает сегмент с флагом SYN, то
он запоминает номер последовательности и посылает сегмент с флагом ACK. Если он одновременно получает и
флаг ACK (что обычно и происходит), то он переходит в
состояние ESTABLISHED.
Если клиент получает сегмент с флагом RST, то он
прекращает попытки соединиться. Если клиент не получает ответа в течение 10 секунд, то он повторяет процесс соединения заново.
3. Если сервер в состоянии SYN-RECEIVED получает сегмент с флагом ACK, то он переходит в состояние
ESTABLISHED. В противном случае после тайм-аута он
закрывает сокет и переходит в состояние CLOSED.
Этот процесс называется «трехкратным рукопожатием» («three way handshake»), так как, несмотря на то, что возможен процесс установления соединения с использованием 4
сегментов (SYN в сторону сервера, ACK в сторону клиента,
SYN в сторону клиента, ACK в сторону сервера), на практике
для экономии времени используется 3 сегмента.
Если при выполнении процедуры «трехкратного рукопожатия» SYN-сегмент был получен, SYN-ACK –
сегмент послан, но заключительное уведомление (ACKсегмент) не было получено, то возникает так называемое
полуоткрытое соединение (рис. 1.37).
124
Узел №1
Узел №2
SYN, Seq=ISN1, ACK
1
SYN-ACK, Seq=ISN2, ACK=ISN1+1
2
Повторная передача
SYN-ACK, Seq=ISN2, ACK=ISN1+1
3
Рис. 1.37. Возникновение полуоткрытого TCP-соединения
До тех пор, пока заключительное уведомление не
принято, данные не могут быть посланы по виртуальному
каналу. Поэтому спустя 3 секунды осуществляется первая
повторная передача SYN-ACK –сегмента, затем через 6
секунд – вторая повторная передача, и если через 12 секунд после последней передачи отклика не последовало, то
происходит отказ от соединения.
На основе создания полуоткрытого соединения могут реализовываться целый ряд сетевых атак.
При обмене данными приемник использует номер
последовательности, содержащийся в получаемых пакетах,
для восстановления их исходного порядка. Приемник уведомляет передающую сторону о номере последовательности, до которой он успешно получил данные, включая его
в поле «номер подтверждения». Все получаемые данные,
относящиеся к промежутку подтвержденных последовательностей, игнорируются.
125
Если полученный сегмент содержит номер последовательности больший, чем ожидаемый, то данные из сегмента буферизируются, но номер подтвержденной последовательности не изменяется. Если впоследствии будет
принят сегмент, относящийся к ожидаемому номеру последовательности, то порядок данных будет автоматически
восстановлен исходя из номеров последовательностей в
сегментах.
Для того чтобы передающая сторона не отправляла
данные интенсивнее, чем их может обработать приемник,
TCP содержит средства управления потоком. Для этого
используется поле «окно». В сегментах, направляемых от
приемника передающей стороне, в поле «Окно» указывается текущий размер приемного буфера. Передающая сторона сохраняет размер окна и отправляет данные в объеме
не более, чем указал приемник. Если приемник указал нулевой размер окна, то передача данных в направлении этого узла не происходит до тех пор, пока приемник не сообщит о большем размере окна.
В некоторых случаях передающее приложение может явно затребовать протолкнуть данные принимающему
приложению, не буферизируя их. Для этого используется
флаг PSH. Если в полученном сегменте обнаруживается
флаг PSH, то реализация TCP отдает все буферизированные на текущий момент данные принимающему приложению. «Проталкивание» используется, например, в интерактивных приложениях. В сетевых терминалах нет смысла
ожидать ввода пользователя после того, как он закончил
набирать команду. Поэтому последний сегмент, содержащий команду, обязан содержать флаг PSH, чтобы приложение на принимающей стороне смогло начать её выполнение.
126
Завершение соединения включает в себя три этапа:
1)
посылку серверу от клиента флагов FIN и
ACK на завершение соединения.
2)
посылку клиенту от сервера флагов ответа
ACK и FIN;
3)
закрытие соединение и отправка подтверждения, что соединение закрыто.
Три нижних уровня – сетевой, канальный и физический, как правило, зависят от сети: соответствующие протоколы тесно связаны с технической реализацией сети и с
используемым коммуникационным оборудованием.
Сетевой уровень обеспечивает прокладку каналов
через коммуникационную сеть, выбор наиболее быстрого
и надежного маршрута пути. Сетевой уровень устанавливает связь в ИТКС между двумя системами и обеспечивает
прокладку виртуальных каналов между ними. Кроме этого,
сетевой уровень сообщает транспортному уровню о появляющихся ошибках. Сообщения сетевого уровня принято
называть пакетами.
Прокладка наилучшего пути для передачи данных
называется маршрутизацией, и ее решение является главной задачей сетевого уровня. Эта проблема осложняется
тем, что самый короткий путь не всегда самый лучший.
Часто критерием при выборе маршрута является время передачи данных по этому маршруту; оно зависит от пропускной способности каналов связи и интенсивности трафика, которая может изменяться с течением времени. Некоторые алгоритмы маршрутизации пытаются приспособиться к изменению нагрузки, в то время как другие принимают решения на основе средних показателей за длительное время. Выбор маршрута может осуществляться и
по другим критериям, например, надежности передачи.
127
Сетевой уровень выполняет функции:
создание сетевых соединений и идентификация
их портов;
обнаружение и исправление ошибок, возникающих при передаче через коммуникационную
сеть;
управление потоками пакетов;
организация (упорядочение) последовательностей пакетов;
маршрутизация и коммутация;
сегментирование и объединение пакетов.
Внутри сети доставка данных регулируется канальным уровнем, а вот доставкой данных между сетями занимается сетевой уровень. Сети соединяются между собой
коммуникационными элементами (например, маршрутизаторами). Для того чтобы передать сообщение от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач между сетями, каждый раз, выбирая подходящий маршрут. Таким образом, маршрут
представляет собой последовательность маршрутизаторов,
по которым проходит пакет.
Сетевой уровень отвечает за деление пользователей
на группы и маршрутизацию пакетов на основе преобразования MAC-адресов в сетевые адреса. Сетевой уровень
обеспечивает также прозрачную передачу пакетов на
транспортный уровень.
На сетевом уровне определяется два вида протоколов. Первый вид относится к определению правил передачи пакетов с данными конечных узлов от узла к маршрутизатору и между маршрутизаторами. Именно эти протоколы
обычно имеют в виду, когда говорят о протоколах сетевого
уровня. Однако часто к сетевому уровню относят и другой
128
вид протоколов, называемых протоколами обмена маршрутной информацией: RIP, OSPF, а также протокол межсетевых управляющих сообщений ICMP.
Протокол RIP (Routing Information Protocol) – протокол маршрутной информации дистанционно-векторного
типа [1], применяется для построения таблиц маршрутизации. В протоколах соседние маршрутизаторы обмениваются друг с другом информацией о маршрутах. В протоколе RIP обмен новыми сведениями между соседними
маршрутизаторами происходит приблизительно через
каждые 30 с, для чего используются так называемые ответные RIP-сообщения (RIP response messages). Ответное
RIP-сообщение, посылаемое маршрутизатором или хостом, содержит список, в котором указаны до 25 сетейадресатов в пределах автономной системы, а также расстояния до каждой из этих сетей от отправителя. Ответные
RIP-сообщения
также
иногда
называют
RIPобъявлениями.
Рассмотрим применение RIP-объявлений на простом примере. На рис. 1.38 показан фрагмент ИТКС, где
линии, соединяющие маршрутизаторы, обозначают сети.
Для удобства будем рассматривать только несколько выделенных маршрутизаторов (А, В, С и D) и сетей (w,
х, у и z). Пунктирные линии означают, что ИТКС не ограничивается помеченными маршрутизаторами и сетями, а
распространяется дальше. Предположим теперь, что таблица продвижения данных маршрутизатора D выглядит
так, как показано в табл. 1.10.
129
w
x
y
D
A
B
C
Рис. 1.38. Фрагмент ИТКС
Таблица 1.10
Таблица продвижения данных маршрутизатора D
до получения им объявления маршрутизатора A
Сеть адресат
w
y
z
x
…
Следующий маршрутизатор
A
B
B
…
Количество хопов до
адресата
2
2
7
1
…
В первом столбце таблицы указана сеть-адресат, во
втором — идентификатор следующего маршрутизатора на
кратчайшем пути к сети-адресату, в третьем — количество
ретрансляционных участков (хопов) до сети-адресата на
кратчайшем пути, то есть количество сетей, отделяющих
отправителя от получателя, включая сеть-адресат.
Видно, что для отправки дейтаграммы от маршрутизатора D в сеть w дейтаграмму сначала нужно переправить соседнему маршрутизатору А. Кроме того, сеть130
адресат w находится на расстоянии двух ретрансляционных участков по самому кратчайшему пути. Аналогично,
до сети z семь ретрансляционных участков через маршрутизатор В.
Теперь предположим, что через 30 с маршрутизатор
D получает от маршрутизатора А объявление, показанное
в табл. 1.11.
Таблица 1.11
Объявления маршрутизатора A
Сеть адресат
c
w
x
…
Следующий маршрутизатор
C
…
Количество хопов
до адресата
4
1
1
…
Это объявление представляет собой не что иное, как
информацию из таблицы продвижения данных маршрутизатора А. Эта информация указывает, в частности, что сеть
z находится на расстоянии всего четырех ретрансляционных участков от маршрутизатора А. Получив это объявление, маршрутизатор D узнает, что теперь появился путь от
маршрутизатора А до сети z, который короче, чем путь через маршрутизатор В.
Таким образом, маршрутизатор D обновляет свою
таблицу продвижения данных, чтобы учесть более короткий путь, как показано в табл. 1.12.
Протокол OSPF (Open Shortest Path First) – протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала и используемый
для нахождения кратчайшего пути.
131
Таблица 1.12
Таблица продвижения данных маршрутизатора D после
получения им объявления маршрутизатора A
Сеть адресата
w
y
z
…
Следующий маршрутизатор
A
B
A
…
Количество хопов до
адресата
2
2
5
…
Он представляет собой протокол внутреннего шлюза (Interior Gateway Protocol - IGP) и распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.
OSPF является иерархическим протоколом маршрутизации с объявлением состояния о канале соединения
(link-state). Он был спроектирован как протокол работы
внутри сетевой области, которая представляет собой группу маршрутизаторов и сетей, объединенных по иерархическому принципу и находящихся под единым управлением
и совместно использующих общую стратегию маршрутизации. В качестве транспортного протокола для маршрутизации внутри системы OSPF использует IP-протокол.
Обмен информацией о маршрутах внутри сети протокол OSPF осуществляет посредством обмена сообщениями о состояниях канала соединений между маршрутизаторами. В сообщения протокола OSPF включается информация о подключенных интерфейсах, о параметрах маршрутов и других переменных. По мере накопления маршрутизаторами информации о состоянии маршрутов области
они рассчитывают наикратчайший путь к каждому узлу,
используя принятый в протоколе алгоритм. Причем расчет
оптимального маршрута осуществляется динамически в
соответствии с изменениями топологии сети. OSPF может
132
рассчитывать свои оптимальные маршруты на основании
параметров, наиболее критичных для данного вида сервиса. Например, какая-нибудь прикладная программа может
включить требование о том, что определенная информация
является срочной. Если протокол OSPF имеет в своем распоряжении каналы с высоким приоритетом, то они могут
быть использованы для транспортировки срочных дейтаграмм.
Кроме того, протокол OSPF поддерживает аутентификацию изменений маршрутов. Это означает, что только
те маршрутизаторы, которые имеют определенные права,
могут осуществлять маршрутизацию пакетов. Это позволяет, при соответствующей настройке прав системы маршрутизаторов, передавать по сети конфиденциальные сообщения, зная заранее, что они проходят только по определенным маршрутам.
Когда на какой-нибудь маршрутизатор подается питание, он инициализирует свои структуры данных о протоколе маршрутизации, а затем ожидает уведомления от протоколов низшего уровня о том, что его интерфейсы работоспособны.
После получения подтверждения о работоспособности своих интерфейсов маршрутизатор использует приветственные пакеты OSPF, чтобы приобрести соседей. Соседи
— это объекты сети с интерфейсами, предназначенными
для работы в общей с данным маршрутизатором сети.
Описываемый маршрутизатор отправляет своим соседям
приветственные пакеты и получает от них такие же пакеты. Помимо оказания помощи в приобретении соседей,
приветственные пакеты также действуют как подтверждение дееспособности, позволяя другим маршрутизаторам
узнавать о том, что другие маршрутизаторы функционируют.
133
Каждый маршрутизатор периодически, в зависимости от настройки системы, отправляет сообщение о состоянии канала (LSA-сообщение). Эти сообщения содержат
информацию о состоянии интерфейса данного маршрутизатора и смежных с ним объектов сети. Каждое такое сообщение рассылается маршрутизаторам всей области. Из
LSA-сообщений всех объектов формируется топологическая база данных (дерево маршрутов). Сообщения LSA
также отправляются в том случае, когда изменяется состояние какого-нибудь маршрутизатора.
После построения дерева маршрутов внутри сети,
протокол проверяет информацию внешних маршрутов по
отношению к данной сети. Эта информация может быть
получена с помощью других протоколов, обеспечивающих
взаимодействие OSPF с другими областями или другими
типами сетей.
Существует пять типов OSPF-пакетов:
Hello-пакет, предназначенный для установления
и поддержания отношений с соседями. Пакет периодически посылается на все интерфейсы
маршрутизатора;
пакет Database Description описывает содержание
базы данных состояния канала. Обмен пакетами
производится при установлении состояния смежности;
пакет Link State Request предназначен для запроса части базы данных соседнего маршрутизатора;
пакет Link State Update предназначен для рассылки объявлений о состоянии канала. Пакет посылается по групповому адресу на один транзитный участок;
пакет Link State Acknowledgment Подтверждает
получение пакета Link State Update.
134
Все OSPF-пакеты начинаются со стандартного 24байтного заголовка. Формат стандартного OSPF-заголовка
приведен на рис. 1.39.
Version
Type
Packet Length
Router ID
Area ID
Checksum
Autype
Authentication
Authentication Data
Рис. 1.39. Формат стандартного OSPF-заголовка
Указанные на рисунке поля означают следующее.
Поле «Version» (1 байт) содержит номер версии
OSPF-пакета протокола, использующего данный пакет.
Поле «Type» (1 байт) указывает на тип пакета, в зависимости от которого пакет выполняет те или иные
функции, в том числе:
функцию Hello, обеспечивающую отправку сообщений через регулярные интервалы времени для установления и поддержания соседских взаимоотношений. На
всех маршрутизаторах, подсоединенных к сети, должны
быть согласованы ключевые параметры пакетов этого типа
— маски сети, периоды приветствования и сигнализации
обрыва контакта. Эти и другие параметры входят в состав
Hello-пакетов;
функцию Database Description, описывающую в пакете содержимое базы данных. Обмен этими пакетами
производится при инициализации смежных маршрутизато-
135
ров, т. е. имеющих идентичные топологические базы данных. При описании базы данных может использоваться
несколько таких пакетов. Для обработки таких пакетов используется процедура «переклички» (poll-response), в которой один из маршрутизаторов определяется как master, а
другой как slave. Соответственно, master отправляет эти
пакеты, a slave должен отвечать за их получение;
функцию Link-State Request, реализующую запрос о
состоянии канала. Обмен этими пакетами производится
после того, как какой-нибудь маршрутизатор обнаруживает, например, путем проверки пакетов описания базы данных, что часть его топологической базы данных устарела;
функцию Link-State Update, обеспечивающую корректировку состояния канала. При ответах на запросы о
состоянии канала. Эти пакеты используются для регулярного тиражирования LSA. В один пакет могут быть включены несколько сообщений LSA. Каждое из них несет информацию о части сети;
функцию Router links advertisements (RLA), обеспечивающую формирование сообщений о каналах маршрутизатора. При этом описываются собранные данные о состоянии каналов, связывающих его с конкретной областью. Любой маршрутизатор отправляет сообщения RLA
для каждой области, к которой он принадлежит. RLA
направляются через всю область, но не за ее пределы;
функцию Network links advertisements (NLA), обеспечивающую формирование сообщений о сетевых каналах.
Они описывают все маршрутизаторы, которые подключены к сети с множественным доступом, и отправляются через область, содержащую данную сеть с множественным
доступом;
функцию Summary links advertisements (SLA), суммирующую сообщения о каналах. Суммируются маршруты
136
к пунктам назначения, находящимся вне какой-либо области, но в пределах данной системы. Они генерируются
маршрутизаторами границы области и отправляются через
данную область. В стержневую область посылаются сообщения только о внутренних маршрутизаторах;
функцию AS external links advertisements, формирующую сообщения о внешних каналах системы, при этом
описывается какой-либо маршрут к одному из пунктов
назначения, который является внешним для сети. Сообщения о внешних каналах генерируются граничными маршрутизаторами. Этот тип сообщений является единственным типом сообщений, которые продвигаются во всех
направлениях данной сети. Все другие типы сообщений
продвигаются только в пределах конкретных областей.
Поле Packet length содержит длину пакета, включая
заголовок.
Поле Router ID содержит идентификатор маршрутизатора, уникальное 32-битное число, идентифицирующее
маршрутизатор в пределах автономной системы.
Поле Area ID - 32-битный идентификатор зоны.
Поле Checksum - поле контрольной суммы, которая
подсчитывается для всего пакета, включая заголовок.
Поле Authentication type - тип используемой схемы
аутентификации.
Поле Authentication - поле данных аутентификации.
С помощью указанных протоколов маршрутизаторы
собирают информацию о топологии межсетевых соединений.
Протоколы сетевого уровня реализуются программными модулями операционной системы, а также программными и аппаратными средствами маршрутизаторов.
Наиболее часто на сетевом уровне используются
протоколы:
137
IP (Internet Protocol) - сетевой протокол стека
TCP/IP, предоставлющий адресную и маршрутную информацию (см. предыдущий раздел);
IPX (Internetwork Packet Exchange) - протокол
межсетевого обмена пакетами, предназначенный
для маршрутизации пакетов в сетях Novell;
X.25 международный стандарт для глобальных
коммуникаций с коммутацией пакетов;
CLNP (Connection Less Network Protocol) сетевой
протокол без организации соединений.
Протокол ICMP (англ. Internet Control Message
Protocol) – протокол межсетевых управляющих сообщений, используемый для передачи сообщений об ошибках
и других исключительных ситуациях, возникающих при
передаче данных. Хотя формально протокол ICMP использует протокол IP (ICMP-пакеты инкапсулируются в IPпакеты), он является неотъемлемой частью протокола IP и
обязателен при реализации стека TCP/IP. Текущая версия
ICMP для IPv4 называется ICMPv4, в IPv6 существует аналогичный протокол ICMPv6.
ICMP, как и UDP, является "ненадежным" (не контролирующим доставку и её правильность) протоколом.
ICMP в силу специфики применения обычно не нуждается
в реализации надёжной доставки. ICMP не используется
непосредственно в приложениях пользователей сети. Исключение составляют утилиты Ping для проверки потерь
IP-пакетов на маршруте и Traceroute для отображения пути
следования IP-пакетов. Формат пакета, оформленного по
протоколу ICMP (ICMP-пакета), приведен на рис. 1.40.
138
Октет 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0—3
…
Тип
Код
Контрольная сумма
Данные (формат зависит от значений полей «Код» и «Тип»)
Рис. 1.40. Формат ICMP-пакета
Возможные сообщения, передаваемые по протоколу ICMP, включают в себя следующие типы:
0 – ответ на запрос эхо;
12 – проблемы с параметрами;
3 – адресат недостижим;
13 – штамп времени;
4 – приостановка отправителя;
14 – ответ на запрос штампа времени;
5 – переадресация;
15 – запрос информации;
8 – эхо-запрос;
16 – ответ на запрос информации.
11 – превышение контрольного времени;
139
ICMP-сообщения (тип 12) генерируются:
при нахождении ошибок в заголовке IP-пакета
(за исключением самих ICMP-пакетов, дабы не
привести к бесконечно растущему потоку ICMPсообщений об ICMP-сообщениях);
маршрутизатором при отсутствии маршрута к
адресату;
утилитой Ping при проверке возможности доставки IP-пакетов, использует ICMP-сообщения с
типом 8 (эхо-запрос) и 0 (эхо-ответ);
утилитой Traceroute для отображения пути следования IP-пакетов, использует ICMP-сообщения
с типом 11;
маршрутизаторами с типом сообщения 5 для обновления записей в таблице маршрутизации отправителя;
получателем (или маршрутизатором) с типом сообщения 4 для управления скоростью отправки
сообщений отправителем.
ICMP-пакетов выполняются следующие правила:
при потере ICMP-пакета никогда не генерируется
новый пакет;
ICMP-пакеты никогда не генерируются в ответ на
IP-пакеты с широковещательным или групповым
адресом, чтобы не вызывать перегрузку в сети (так
называемый «широковещательный шторм»);
при повреждении фрагментированного IP-пакета
ICMP-сообщение отправляется только после получения первого повреждённого фрагмента, поскольку отправитель всё равно повторит передачу всего IP-пакета целиком.
140
Следует подчеркнуть, что протокол ICMP наиболее
широко применяется для реализации сетевых атак.
Канальный уровень предназначен для обеспечения корректной передачи кадров – логически организованных структур, в которые помещаются данные. Задача канального уровня – передавать кадры от сетевого уровня к
физическому уровню. В стеке TCP/IP четвертый уровень
также называется канальным и выполняет функции канального уровня модели OSI.
На физическом уровне просто пересылаются биты.
При этом не учитывается, что в некоторых сетях, в которых
линии связи используются попеременно несколькими парами взаимодействующих компьютеров, физическая среда
передачи может быть занята. Поэтому одной из задач канального уровня является проверка доступности среды передачи. Другой задачей канального уровня является реализация механизмов обнаружения и коррекции ошибок.
Канальный уровень обеспечивает корректность передачи каждого кадра, помещая специальную последовательность бит в начало и конец каждого кадра, чтобы отметить его, а также вычисляет контрольную сумму, суммируя все байты кадра определенным способом и добавляя
контрольную сумму к кадру. Когда кадр приходит, получатель снова вычисляет контрольную сумму полученных
данных и сравнивает результат с контрольной суммой из
кадра. Если они совпадают, кадр считается правильным и
принимается. Если же контрольные суммы не совпадают,
то фиксируется ошибка.
Задача канального уровня – брать пакеты, поступающие с сетевого уровня и готовить их к передаче, укладывая в кадр соответствующего размера. Этот уровень обязан
определить, где начинается и где заканчивается блок, а
также обнаруживать ошибки передачи.
141
На этом же уровне определяются правила использования физического уровня узлами сети. Электрическое
представление данных в ЛВС (биты данных, методы кодирования данных и маркеры) распознаются на этом и только
на этом уровне. Здесь обнаруживаются и исправляются
(путем требований повторной передачи данных) ошибки.
Этот уровень обслуживает запросы сетевого уровня и использует сервис физического уровня для приема и передачи пакетов. Канальный уровень делится на два подуровня:
LLC (Logical Link Control) – подуровень управление логическим каналом, на котором осуществляется логический контроль связи. Подуровень LLC обеспечивает обслуживание сетевого уровня и связан с передачей и приемом пользовательских сообщений.
MAC (Media Assess Control) – подуровень контроля доступа к среде. Подуровень MAC регулирует доступ к разделяемой физической среде (передачу маркера или обнаружение коллизий) и
управляет доступом к каналу связи. Подуровень
LLC находится выше подуровня МАC.
При больших размерах передаваемых блоков данных канальный уровень делит их на кадры и передает кадры в виде последовательностей. При получении кадров
уровень формирует из них переданные блоки данных. Размер блока данных зависит от способа передачи, качества
канала, по которому он передается. В локальных сетях
протоколы канального уровня используются компьютерами, мостами, коммутаторами и маршрутизаторами. В компьютерах функции канального уровня реализуются совместными усилиями сетевых адаптеров и их драйверов.
Канальный уровень может выполнять следующие
функции:
142
организации (установления, управления, расторжения) канальных соединений и идентификации
их портов;
организации и передачи кадров;
обнаружения и исправления ошибок;
управления потоками данных;
обеспечения прозрачности логических каналов.
Наиболее часто используемые протоколы на канальном уровне включают:
HDLC протокол управления каналом передачи
данных высокого уровня для последовательных
соединений (см. технологию X.25);
IEEE 802.2 LLC (тип I и тип II) обеспечивают
контроль для сред 802.x, а также рассмотренные
ранее протоколы, определяющие применяемую в
сети базовую сетевую технологию (Ethernet по
стандарту IEEE 802.3, Token ring по стандарту
IEEE 802.5, FDDI по стандарту IEEE 802.6, X.25
– международный стандарт для глобальных коммуникаций с коммутацией пакетов, Frame relay
(см. раздел 1.2).
Физический уровень предназначен для сопряжения с физическими средствами соединения. Физические
средства соединения – это совокупность физической среды, аппаратных и программных средств, обеспечивающая
передачу сигналов между системами.
Физический уровень состоит из подуровня стыковки со средой и подуровня преобразования передачи. Первый из них обеспечивает сопряжение потока данных с используемым физическим каналом связи. Второй осуществляет преобразования, связанные с применяемыми протоколами. Физический уровень обеспечивает физический ин143
терфейс с каналом передачи данных, а также описывает
процедуры приема и передачи сигналов по каналу. На этом
уровне определяются электрические, механические, функциональные и процедурные параметры для физической
связи в системах. Физический уровень получает пакеты
данных от вышележащего канального уровня и преобразует их в оптические или электрические сигналы, соответствующие 0 и 1 бинарного потока (цифро-аналоговое преобразование), и обратно (аналого-цифровое преобразование). Эти сигналы посылаются через среду передачи на
приемный узел.
Механические и электрические/оптические свойства среды передачи определяются на физическом уровне
и включают: тип кабелей и разъемов, разводку контактов в
разъемах, схему кодирования сигналов для значений 0 и 1.
Физический уровень выполняет следующие функции:
установления и разъединения физических соединений;
передачи сигналов в последовательном коде и
прием;
прослушивания, в нужных случаях, каналов;
идентификации каналов.
оповещения о появлении неисправностей и отказов.
Оповещение о появлении неисправностей и отказов
связано с тем, что на физическом уровне происходит обнаружение определенного класса событий, мешающих нормальной работе сети (столкновение кадров, посланных
сразу несколькими системами, обрыв канала, отключение
питания, потеря механического контакта и т.д.). Виды сервиса, предоставляемого канальному уровню, определяются
протоколами физического уровня. Прослушивание канала
144
необходимо в тех случаях, когда к одному каналу подключается группа систем, но одновременно передавать сигналы разрешается только одной из них. Поэтому прослушивание канала позволяет определить, свободен ли он для
передачи. В ряде случаев для более четкого определения
структуры физический уровень разбивается на несколько
подуровней.
Функции физического уровня реализуются во всех
устройствах, подключенных к сети. Со стороны компьютера функции физического уровня выполняются сетевым
адаптером. Повторители являются единственным типом
оборудования, которое работает только на физическом
уровне. На физическом уровне должна быть определена
схема кодирования для представления двоичных значений
с целью их передачи по каналу связи.
Примером протокола физического уровня может
служить спецификация 10Base-T технологии Ethernet, которая определяет в качестве используемого кабеля неэкранированную витую пару категории 3 с волновым сопротивлением 100 Ом, разъем RJ-45, максимальную длину физического сегмента 100 метров, манчестерский код для
представления данных и другие характеристики среды и
электрических сигналов.
К числу наиболее распространенных спецификаций
физического уровня относятся:
EIA-RS-232-C, CCITT V.24/V.28 – механические/электрические характеристики несбалансированного последовательного интерфейса;
EIA-RS-422/449, CCITT V.10 – механические,
электрические и оптические характеристики сбалансированного последовательного интерфейса.
В стеке протоколов TCP/IP функции физического
уровня выполняет канальный уровень.
145
2. ОБОБЩЕННАЯ ТЕХНОЛОГИЧЕСКАЯ СХЕМА
ПРОЕКТИРОВАНИЯ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ
В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
2.1. Основные направления защиты информации
в информационно-телекоммуникационных системах
Защита информации (ЗИ) в ИТКС осуществляется в
интересах решения триединой задачи: обеспечения целостности, доступности и конфиденциальности информации. До недавнего времени основное внимание уделялось в
основном защите информации пользователей и в значительно меньшей мере защите от преднамеренного воздействия на так называемую технологическую информацию,
то есть информацию, от которой зависит устойчивое
функционирование самой системы или прикладного программного обеспечения. В настоящее время и технологической информации уделяется должное внимание, особенно в ключевых системах информационной и телекоммуникационной структуры России. К таким системам относятся
системы управления опасными производствами, воздушным и железнодорожным транспортом, атомными и гидроэлектростанциями, нефте- и газокоммуникациями и т.п.
Сегодня, как правило, подавляющее большинство таких
систем
также
являются
информационнотелекоммуникационными. В них во многих случаях циркулирует информация, не составляющая какой-либо тайны, и достаточно решать задачи обеспечения только ее целостности и доступности.
Нарушения конфиденциальности, целостности и
доступности информации возникают в результате реализации угроз безопасности информации.
146
Здесь и далее под угрозой будем понимать совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения
безопасности информации [10].
Анализ состава и структуры функционирующих
ИТКС, уязвимостей их программного и аппаратного обеспечения, возможных угроз безопасности информации позволяет выделить на сегодня целый ряд основных направлений ЗИ в ИТКС, в том числе:
1) от угроз уничтожения, хищения носителей из-за
физического доступа к элементам ИТКС;
2) от утечки по побочным электромагнитным излучениям и наводкам;
3) от перехвата при передаче по проводным (кабельным) линиям связи;
4) от перехвата при передаче по каналам радио и
радиорелейной, тропосферной, космической связи;
5) от несанкционированного доступа (НСД) с применением программно-аппаратных и программных
средств;
6) от вредоносных программ;
7) от утери или модификации из-за сбоев в программном обеспечении функционирования ИТКС;
8) от непреднамеренных несанкционированных
действий пользователей при работе с защищаемой информацией;
9) от несанкционированной преднамеренной передачи информации во внешние сети;
10) от преднамеренного или непреднамеренного
электромагнитного воздействия;
11) от угроз неатропогенного характера (сбоев аппаратуры из-за ненадежности элементов, сбоев электропи-
147
тания), а также угроз стихийного характера (ударов молний, пожаров, наводнений и т.п.).
Реализация всех этих направлений обусловлена
наличием разнообразных угроз безопасности информации
в ИТКС и составляет суть комплексного подхода к ЗИ.
Именно этот подход закладывается в основу построения
систем защиты информации (СЗИ) и создания ИТКС в защищенном исполнении. При этом руководствуются целым
рядом общих принципов и основных положений по созданию и функционированию ИТКС в защищенном исполнении. Важнейшими из них являются принципы системности, комплексности, непрерывности защиты, разумной достаточности, гибкости управления, открытости алгоритмов
и механизмов защиты, простоты применения защитных
мер и средств [11].
Принцип системности определяет необходимость
учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы
обеспечения безопасности ИТКС.
При создании СЗИ необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и НСД к информации. СЗИ должна строиться с учетом не только всех известных каналов утечки и НСД к информации, но и с учетом возможности появления принципиально новых путей
реализации угроз безопасности.
Принцип комплексности указывает на необходимость согласованного применения разнородных средств
при построении целостной СЗИ, перекрывающей все существенные каналы реализации угроз и не содержащей
148
слабых мест на стыках отдельных ее компонентов. Защита
должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.
Принцип непрерывности защиты указывает на то,
что ЗИ - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих
мер на всех этапах жизненного цикла ИТКС, начиная с самых ранних стадий проектирования, а не только на этапе
ее эксплуатации. Разработка СЗИ должна вестись параллельно с разработкой самой защищаемой системы. Это
позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать
более эффективные (как по затратам ресурсов, так и по
стойкости) защищенные системы. Перерывы в работе системы или средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и
средств защиты, для внедрения специальных программных
и аппаратных «закладок» и других средств преодоления
СЗИ после восстановления ее функционирования.
Принцип разумной достаточности связан с тем,
что создать абсолютно непреодолимую СЗИ принципиально невозможно. При достаточном количестве времени и
средств можно преодолеть любую защиту. Поэтому имеет
смысл вести речь только о некотором приемлемом уровне
безопасности. Высокоэффективная система защиты стоит
дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень
149
зашиты, при котором затраты, риск и размер возможного
ущерба были бы приемлемыми (задача анализа риска).
Принцип гибкости системы защиты направлен на
обеспечение возможности варьирования уровнем защищенности. Особенно важным это свойство является в тех
случаях, когда установку средств защиты необходимо
осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того,
внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает от
необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Принцип открытости алгоритмов и механизмов
защиты указывает на то, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание
алгоритмов работы СЗИ не должно давать возможности ее
преодоления (даже автору). Однако, это вовсе не означает,
что информация о конкретной системе защиты должна
быть общедоступна.
Принцип простоты применения средств защиты
заключается в том, что механизмы защиты должны быть
интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием
специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при
обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен
и т.д.).
Изложенные принципы и направления защиты информации обусловливают состав и структуру проектируемых ИТКС в защищенном исполнении.
150
2.2. Понятие защищенной информационнотелекоммуникационной системы
Ранее было отмечено, что ИТКС может быть отнесена к защищенной, если в ней выполняются требования
нормативных документов уполномоченных органов исполнительной власти, требования государственных, международных стандартов или стандартов организаций в области защиты информации и информационных технологий, если таковые имеются. Однако это положение нуждается в раскрытии и пояснениях.
Дело в том, что, во-первых, понятие защищенности
связывается с определенным нормативным документом,
выполнение требований которого является основанием
считать, что ИТКС защищена в смысле выполнения этих
требований. При этом указанные требования могут быть
направлены:
на защиту в целом информации в ИТКС или в ее
подсистемах и компонентах (в разных документах они представляются как «требования по защите», «требования к защите», «требования о
защите» и др.);
на выбор технологии и разработку способов ЗИ в
ИТКС, если приемлемые технологии и способы
отсутствуют;
на построение СЗИ («требования к системе защиты») и могут касаться состава, структуры и характеристик системы защиты информации в
ИТКС;
на выбор мер и средств защиты информации в
ИТКС или разработку новых средств защиты, если существующие средства по своим характеристикам оказываются неприемлемыми.
151
Во-вторых, одна и та же ИТКС может относиться к
разным системам (например, к государственной информационной системе и одновременно к информационной системе персональных данных), требования к которым регламентируются разными нормативными документами,
при этом она как система персональных данных может
оказаться вполне защищенной, а как государственная информационная система – нет.
В-третьих, сегодня не все нормативные документы
«привязаны» к содержанию парируемых угроз безопасности информации, что приводит к необходимости дополнительного анализа возможностей такого парирования при
реализации тех или иных требований по ЗИ, при этом без
такого анализа зачастую весьма сложно утверждать, достаточен ли набор требований, взятых из выбранных нормативных документов, для парирования актуальных угроз в
конкретной ИТКС, и, следовательно, считать ИТКС защищенной.
В-четвертых, понятие защищенной ИТКС непосредственно связано с реализуемым уровнем (классом) защищенности, который вводится во многих нормативных
документах для обеспечения дифференцируемого подхода
к ЗИ. В связи с этим часто имеет место ситуация, когда при
реализации набора требований, соответствующих одному
из уровней (классов) защищенности, по более высокому
уровню (классу) ИТКС не может быть признана защищенной. С учетом изложенного понятие защищенности ИТКС
является относительным.
Как же относиться в этом случае к требованиям
нормативных документов, если реализация этих требований не гарантируют полную защищенность циркулирующей в ИТКС информации?! Следует подчеркнуть, что достичь абсолютной защищенности информации в функцио152
нирующей ИТКС невозможно. Можно обеспечить лишь
определенный уровень ее защищенности. В связи с этим
ИТКС можно относить к защищенной только с привязкой
к определенной номенклатуре требований по ЗИ, реализуемых в ИТКС в соответствии с тем или иным нормативным документом или со строго определенным набором таких документов.
Необходимо отметить, что используемый сегодня
подход к формированию набора требований, обеспечивающих определенный уровень защищенности информации
в ИТКС, является экспертным, поскольку пока остается
недостаточно развитой методология количественной оценки возможностей реализации угроз безопасности информации и последствий от такой реализации. При наличии же
такой методологии можно было бы установить нормативное значение показателя допустимого риска реализации
угроз безопасности информации и, если риск не превышает допустимый уровень, считать, что ИТКС относительно
набора актуальных угроз безопасности информации является защищенной. Такой подход не противоречит существующему, однако является значительно более продуктивным и обоснованным. Его реализация в последующем
позволит уточнить понятие защищенной ИТКС или ИТКС
в защищенном исполнении, количественно обосновать
требуемые уровни защищенности информации, связать в
единую технологию процедуры обоснования требований
по защите, к системе защиты, к мерам и средствам защиты.
153
2.3. Общие подходы к проектированию
информационно-телекоммуникационных
систем в защищенном исполнении
Проектирование ИТКС в защищенном исполнении
– это процесс синтеза некоторого набора мер и средств защиты, обеспечивающего выполнение установленных требований по защиты информации. Как правило, такой набор
мер и средств защиты реализуется в виде СЗИ в составе
ИТКС (более подробно о СЗИ в 6 разделе).
Сегодня известно (применяются или только прорабатываются) несколько подходов к проектирования ИТКС
в защищенном исполнении.
Первый подход – это синтез «снизу-вверх» (вариант
«восходящего проектирования»), когда меры и средства
начинают выбираться относительно каждого блока информации или каждого хоста, содержащего защищаемую
информацию пользователя, с переходом к средствам защиты узла, совокупности узлов в составе сегмента ИТКС и
т.д. Этот подход целесообразен для небольших компьютерных сетей, состоящих из одного-двух сегментов с несколькими хостами в каждом. При наличии сотен компьютеров, объединенных в большое количество сегментов с
разными доменами безопасности (например, разными правилами разграничения доступа к информации в разных
сегментах), предусмотреть возможные меры защиты при
переходе от нижестоящего уровня проектирования к вышестоящему крайне сложно. Учитывая, что гарантировать
полную защиту блоков информации на каждом уровне невозможно, приходится распределять усилия по защите на
разных уровнях, что неизбежно приводит к итеративной
процедуре проектирования и отходе от «чистого» синтеза
«снизу-вверх».
154
Второй подход – это синтез «сверху – вниз» (вариант «нисходящего проектирования»), когда сначала выбираются меры и средства ЗИ, пригодные для всей ИТКС в
целом, а затем уже подбирают при необходимости меры и
средства ЗИ для сегментов и отдельных хостов. Следует
отметить, что в научной литературе рассматривается несколько вариантов такого подхода, основанных:
1)
на формировании некой целевой функции,
определяющей желаемый результат защиты (например,
оценивающей эффективность защиты, предотвращенные
риски реализации угроз и т.п.), и выборе оптимального состава и характеристик системы защиты (например, по критерию «эффективность-стоимость»). Достоинства такого
подхода несомненны, поскольку в нем реализуются количественные процедуры поиска решений по защите информации, что существенно повышает их обоснованность.
Вместе с тем, реализация такого подхода связана с необходимостью существенного развития соответствующего методического и программного обеспечения проектирования
СЗИ, поскольку путем экспертного анализа такой подход
нереализуем;
2)
на формировании наборов мер и средств защиты информации, удовлетворяющих требованиям нормативных документов и обеспечивающих заданную защищенность информации на каждом из уровней ИТКС, и на
компоновке СЗИ в целом с использованием выбранных
мер и средств. При таком подходе, как правило, делается
допущение, что при объединении мер и средств защиты в
систему уровень защищенности информации не снижается.
Для СЗИ в составе небольших ИТКС, в которых реализуется принцип централизации в их построении, это может
оказаться вполне очевидным. Однако для больших ИТКС
или в случае применения принципа децентрализации по155
строения СЗИ (например, многоагентных систем защиты,
см. раздел 6), такой подход может привести к существенным просчетам в защите или к применению избыточного
состава мер и средств защиты. Вместе с тем, пока именно
этот вариант синтеза ИТКС в защищенном исполнении,
основанный преимущественного на опыте экспертов,
находит наибольшее применение в практике как зарубежных, так и отечественных фирм и организаций;
3)
на формировании так называемых функций
безопасности информации (например, идентификации
пользователей и процессов, аутентификации, межсетевого
экранирования и т.д., см. раздел 5) и затем выбора минимального набора мер и средств защиты, реализующих все
необходимые функции безопасности в ИТКС. Этот вариант нисходящего проектирования по сравнению с предыдущим более гибок, позволяет первоначально абстрагироваться от характеристик конкретных мер и средств защиты, однако, во-первых, связан с необходимостью формирования функций безопасности, которые в ряде отечественных нормативных документов даже не упоминаются, вовторых, основан на предположении, что функции безопасности реализуются абсолютно эффективно (при том, что
методическое обеспечение оценки такой эффективности
отсутствует), в-третьих, связан с необходимостью анализа
реализуемости в средствах защиты выбранного набора
функций безопасности.
Третий подход – это формирование защиты на основе предварительного установления приоритетов для мер
и средств защиты, когда сначала предусматриваются приоритетные меры и средства ЗИ, а затем все остальные. При
этом может вводиться целая система приоритетов, таких
как приоритеты по эффективности, стоимости, совместимости, эргономичности и т.д. Особенность такого выбора
156
заключается в том, что фактически используется либо восходящее, либо нисходящее, либо (чаще всего) смешанное
проектирование. При таком подходе угрозы безопасности
информации должны быть выстроены в приоритетный ряд
по уровню опасности, а затем для каждой угрозы, начиная
с самых опасных, подбирается необходимый состав мер и
средств защиты в соответствии с установленными приоритетами. Далее перечень мер и средств защиты корректируется путем устранения избыточности, минимизации затрат
на закупку или разработку, установку и эксплуатацию программных продуктов. Недостатками этого варианта являются, во-первых, сложность предварительного установления приоритетов, во-вторых, при ограничениях на затраты
– реализация остаточного принципа выбора мер и средств
защиты, что может привести к недостаточной эффективности ЗИ в целом в ИТКС. Вариантом этого подхода является
проектирование (выбор мер и средств защиты) по направлениям защиты ИТКС.
Четвертый подход – это комбинированный подход, при котором выбор мер и средств защиты осуществляется по направлениям ЗИ (см. раздел 2.2), то есть по
подсистемам с реализацией нисходящего (второй вариант),
восходящего или смешанного варианта проектирования
ИТКС в защищенном исполнении. Этот подход позволяет
разделить проектирование СЗИ по подсистемам, в нем, как
правило, реализуется итеративная процедура выбора, когда
осуществляется проверка соответствия выбранного варианта решения на том или ином уровне процесса проектирования решениям на других уровнях.
В отечественной практике не регламентируется ни
один из описанных вариантов проектирования, а их выбор
является прерогативой проектировщика. Чаще всего применяется четвертый вариант, что обусловлено рядом об157
стоятельств, таких как: возможность минимизации трудозатрат на проектирование, последовательный переход от
общих требований по защите информации в целом к частным требованиям к подсистемам и компонентам создаваемой СЗИ.
2.4. Основные стадии и технологическая схема
проектирования информационнотелекоммуникационной системы
в защищенном исполнении
Проектирование ИТКС в защищенном исполнении – это создание комплекта конструкторской, программной и эксплуатационной документации, необходимой для
производства (построения и развертывания) и эксплуатации данной ИТКС и СЗИ в ее составе.
На практике, как правило, имеет место два варианта
условий проектирования ИТКС в защищенном исполнении:
первый вариант - для новой ИТКС, когда СЗИ
проектируется одновременно с проектированием
этой ИТКС;
второй вариант – для модернизируемой ИТКС,
когда в ходе модернизации проектируется новая
СЗИ.
Рассмотрим порядок проектирования, регламентируемый национальными стандартами ГОСТ Р 51583-2014
«Порядок создания автоматизированных систем в защищенном исполнении» [12] и ГОСТ 34.601—90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии
создания» [13].
158
Для обоих из указанных вариантов проектирование
включает в себя три стадии (рис. 2.1): предпроектную стадию, стадию разработки проекта и стадию ввода в действие ИТКС в защищенном исполнении или СЗИ в составе
модернизированной ИТКС.
Рассмотрим первый из указанных вариантов, когда
СЗИ создается для новой ИТКС. В этом случае проводится
так называемое параллельное проектирование СЗИ и
ИТКС, то есть уже с момента выработки общего замысла
построения ИТКС предусматриваются должные роль и место мер и средств защиты информации. Проектирование
СЗИ охватывает все этапы создания ИТКС: обоснование
требований; разработку технических предложений, эскизное и техническое проектирование; выпуск рабочей документации, изготовление, испытания и сдачу системы заказчику [12]. Пояснения по некоторым этапам проектирования даны в табл. 2.1 [13].
Разработка и ввод в эксплуатацию вновь создаваемой ИТКС проводится в соответствии с техническим заданием (ТЗ). ТЗ на работы по созданию ИТКС является основным документом, определяющим требования, предъявляемые к ИТКС, порядок ее создания и приемку при вводе
в действие. Для вновь создаваемых ИТКС ТЗ разрабатывают на систему в целом. Дополнительно могут быть разработаны ТЗ на составные части ИТКС, то есть на подсистемы ИТКС. Поэтому требования по ЗИ при создании
ИТКС в защищенном исполнении должны включаться разделом в общее ТЗ на создание ИТКС или могут быть изложены в виде ТЗ на составную часть или дополнения к
основному ТЗ на ИТКС.
159
Оценка условий функционирования ИТКС
Определение защищаемой информации, подлежащей обработке в
ИТКС, видов тайн, содержащихся в ней, уровня конфиденциальности, состава программных и аппаратных средств обработки
Обоснование требуемого уровня (класса) защищенности ИТКС,
Предпроектная
стадия
Определение предварительного перечня и характеристик угроз безопасности информации в ИТКС
Обоснование требований по защите и разработка технического задания на создание СЗИ
Разработка задания и проекта на строительные, строительномонтажные работы (или реконструкцию) ИТКС с учетом требований
ТЗ на разработку СЗИ
Оценка возможностей реализации угроз в ИТКС, формирование
частной модели угроз, уточнение требований по защите информации
и формирование технического задания на создание СЗИ
Стадия разработки
проекта СЗИ
Концептуальное и эскизное проектирование ИТКС (СЗИ в составе
ИТКС)
Разработка технического проекта
Разработка документации
Стадия ввода в
действие ИТКС в
защищенном
исполнении (СЗИ)
Реализация проектных решений
Пуско-наладочные работы и опытная эксплуатация
Доработка ИТКС по результатам опытной эксплуатации
Аттестация ИТКС и ввод в эксплуатацию
Рис. 2.1. Стадии создания защищенной ИТКС (СЗИ в составе ИТКС)
Таблица 2.1
Типовое содержание работ по этапам создания ИТКС в защищенном исполнении
По ГОСТ 34.601
Направлен- Этапы работы
ность работ
1. Предпроект- Формирова1.1. Обследование
ная стадия
ние требова- и анализ условий
ний к СЗИ
функционирования новой ИТКС и
обоснование
необходимости
создания СЗИ
Стадия
1.2.Формирование
требований пользователя к СЗИ
Типовое содержание работ по защите информации
Сбор данных об ИТКС, касающихся состава, структуры
системы, аппаратного и программного обеспечения, характеристик обрабатываемой информации, в том числе
объемов, степени конфиденциальности и др. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275, состава и содержания возможных угроз безопасности информации.
Оценка целесообразности создания СЗИ
Установление требуемого уровня (класса) защищенности информации в ИТКС. Подготовка исходных данных
для формирования требований по ЗИ на ИТКС. Разработка предварительных требований к СЗИ, в том числе
требований к организационным мерам ЗИ
160
Продолжение табл. 2.1
Стадия
2. Разработка
проекта СЗИ
(проектная
стадия)
По ГОСТ 34.601
НаправленЭтапы работы
ность работ
1.3.Оформление
отчета о выполняемой работе и
заявки на разработку СЗИ
Разработка
2.1.Дополнитель
концепции
ное
изучение
построения
условий функСЗИ (концеп- ционирования
туальное
ИТКС
проектирование)
2.2.Проведение
необходимых
НИОКР
2.3. Разработка
вариантов концепции построения СЗИ и выбор
целесообразного
варианта
2.4.Оформление
отчета о выполненной работе
Разработка
технического
задания
Эскизное
проектирование
Техническое
проектирование
2.5.Разработка и
утверждение
технического
задания на создание
СЗИ
(ИТКС в защищенном исполнении)
2.6.Разработка
предварительных
проектных решений по системе в
целом и ее частям
2.7.Разработка
документации на
СЗИ и ее части
2.8.Разработка
проектных
решений по системе в целом и ее
частям
Типовое содержание работ по защите информации
Разработка предложений по ЗИ в виде отчетной документации. Оформление отчета о выполненных работах
по ЗИ на данных стадиях. Оформление предложений по
ЗИ в заявку на разработку СЗИ. Формирование предложений по ЗИ в ТЗ на СЗИ
Уточнение условий эксплуатации ИТКС и СЗИ и категорий важности обрабатываемой информации. Уточнение состава и содержания угроз безопасности, оценка
возможностей их реализации в ИТКС, формирование
частной модели угроз защищаемой информации. Уточнение номенклатуры требований, предъявляемых к СЗИ
и ИТКС
Поиск путей реализации требований по ЗИ в ИТКС.
Оценка возможности реализации требований по ЗИ в
ИТКС. Оформление и утверждение отчета о НИОКР по
ЗИ или разделов по ЗИ в отчет о НИОКР по созданию
СЗИ в ИТКС
Разработка альтернативных вариантов ЗИ в ИТКС и облика СЗИ и процессов ее создания. Выбор оптимального
варианта замысла построения СЗИ в ИТКС. Техникоэкономическое обоснование выбранного варианта построения СЗИ и определение путей ее создания и эксплуатации
Подготовка и оформление отчета о выполненных работах по ЗИ на данной стадии создания СЗИ в ИТКС. Согласование концепции построения СЗИ в ИТКС и предложений по путям ее создания. Предложения по ЗИ в
отчетную нормативно-техническую документацию этапа работ. Согласование и получение заключения ФСБ на
разработку шифровальных средств
Разработка требований по ЗИ в раздел ТЗ на создание
СЗИ (ИТКС в защищенном исполнении). Разработка,
оформление, согласование и утверждение ТЗ
Разработка предварительных проектных решений по
созданию СЗИ. Технико-экономическое обоснование
эффективности вариантов системы ЗИ. Разработка ТЗ на
средства ЗИ и средства контроля эффективности ЗИ
Разработка, оформление, согласование и утверждение
документации по ЗИ и разделов эскизного проекта СЗИ.
Экспертиза отчетной научно-технической документации
и технической документации
Разработка средств ЗИ и средств контроля. Разработка
предложений по ЗИ в технический проект СЗИ (ИТКС в
защищенном исполнении в части СЗИ)
161
Окончание табл. 2.1
Стадия
По ГОСТ 34.601
НаправленЭтапы работы
ность работ
2.9.Разработка
документации на
СЗИ и ее части
Разработка
рабочей документации
3.Ввод в действие
2.10.Разработка
и
оформление
документации на
поставку изделий для комплектования
СЗИ (ИТКС в
защищенном
исполнении)
2.11.Разработка
заданий на проектирование
в
смежных частях
проекта объекта
автоматизации
2.12.Разработка
рабочей
документации на систему в целом и
ее части
2.13.Разработка
или
адаптация
программ
3.1.Подготовка
СЗИ (ИТКС в
защищенном
исполнении)
к
вводу в действие
3.2.Подготовка
персонала
3.3.Комплектаци
я поставляемыми
изделиями (программными
и
техническими
средствами)
3.4.Строительномонтажные работы
3.5.Пусконаладочные
боты
ра-
3.6. Аттестация
ИТКС в защищенном исполнении
Типовое содержание работ по защите информации
Разработка рабочей документации и технического проекта системы ЗИ (ИТКС в защищенном исполнении).
Разработка разделов технической документации по ЗИ
и/или отдельных документов по ЗИ. Участие в экспертизе документации СЗИ
Подготовка и оформление технической документации
на поставку технических и программных средств для
ИТКС и СЗИ. Поставка средств ЗИ. Испытания средств
ЗИ. Сертификация средств ЗИ на соответствие требованиям по безопасности информации. Специсследования
(спецпроверки) приобретенных технических средств.
Тестирование программных средств. Экспертиза
Проектирование помещений для ИТКС в защищенном
исполнении с учетом требований нормативных документов по защите информации
Участие в разработке рабочей конструкторской документации на СЗИ (ИТКС в защищенном исполнении) в
части учета требований по ЗИ. Разработка рабочей конструкторской документации на СЗИ. Участие в экспертизе рабочей конструкторской документации
Разработка программных средств для СЗИ. Тестирование программных средств. Сертификация программных
средств по требованиям безопасности информации после адаптации
Реализация проектных решений по организационной
структуре СЗИ
Проверка способности персонала обеспечить функционирование СЗИ и ИТКС в защищенном исполнении.
Проверка специалистов службы безопасности ИТКС по
обслуживанию СЗИ
Получение комплектующих изделий для системы ЗИ.
Проверка качества поставляемых комплектующих изделий
Участие в работах по надзору за выполнением требований по ЗИ строительными организациями. Участие в
испытаниях технических средств по вопросам ЗИ. Проведение специсследований технических средств
Проведение автономных наладок технических и программных средств ЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех
средств ИТКС с точки зрения обеспечения ЗИ
Проведение аттестационных испытаний и ввод в эксплуатацию
162
Порядок утверждения и согласования ТЗ (дополнения к основному ТЗ на ИТКС) не должен отличаться от
установленного порядка утверждения и согласования ТЗ
на ИТКС по ГОСТ 34.602 [14].
Организации-участники работ по созданию СЗИ
(ИТКС в защищенном исполнении) должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке.
Заказчик, собственник и владелец ИТКС, а также
организации-участники создания ИТКС несут ответственность за обеспечение защиты обрабатываемой информации
в ИТКС и выполняемые работы по ЗИ на всех стадиях создания ИТКС.
За обеспечение создания ИТКС несут ответственность:
заказчик - в части включения в ТЗ (ТЗ на составную часть) на ИТКС и ее компонентов, а также в
техническую, программную, конструкторскую и
эксплуатационную;
документацию обоснованных требований по защите обрабатываемой информации и контроля их
выполнения в процессе экспертизы документации, испытаний и приемки как ИТКС в целом,
так и ее компонентов;
предприятие - разработчик - в части обеспечения
соответствия разрабатываемой ИТКС и системы
ЗИ требованиям ТЗ по защите обрабатываемой
информации, действующим стандартам, нормам
и другим нормативным документам;
предприятие - изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и
163
программной продукции заданным требованиям
по защите обрабатываемой информации, реализованным в конструкторской и программной документации.
Общее руководство работами по ЗИ при создании
ИТКС в целом осуществляет главный конструктор ИТКС
или его заместители, а при создании компонентов ИТКС главные конструктора этих компонентов или их заместители.
Ввод ИТКС в эксплуатацию осуществляется только
после выполнения всех мероприятий по ЗИ и проведения
испытаний испытательным центром (лабораторией) на соответствие требованиям нормативных документов по защите информации и ее аттестации.
В случае, когда для создания новой ИТКС необходимо провести исследования по изысканию новых технических решений, предварительно может проводиться одна
или цикл НИР и опытно-конструкторских работ (ОКР)
[12].
Возможно объединение НИР и ОКР, если необходимо ускорить процесс разработки, то есть ставится
НИОКР, в ходе которой отрабатываются требования к
ИТКС, в том числе к СЗИ в ИТКС, определяются целесообразные технические решения по ЗИ. По результатам
НИОКР разрабатывается ТЗ на создание ИТКС. Если проводится НИР, ОКР или НИОКР, то говорят, что имеет место полный цикл разработки ИТКС в защищенном исполнении. В ходе НИР исследуются возможные и целесообразные способы ЗИ и отрабатывается ТЗ на ОКР по созданию элементов ИТКС в защищенном исполнении и специализированных средств ЗИ для данной ИТКС. При этом в
НИР, наряду с вопросами построения самой ИТКС:
164
анализируются ожидаемые потоки информации в
ИТКС и определяется информация ограниченного доступа, то есть содержащая сведения, составляющие государственную и другие виды тайны;
определяются элементы ИТКС, где будет циркулировать информация ограниченного доступа;
проводится анализ возможных уязвимостей ПО
ИТКС по ее эскизному проекту;
определяются возможные угрозы безопасности
информации, оценивается опасность этих угроз и
выбираются актуальные из них. Выделяются
угрозы утечки информации ограниченного доступа;
применительно к выбранным угрозам обосновываются требования по ЗИ, которые необходимо
предъявить к ИТКС;
определяется замысел ЗИ в ИТКС, который позволяет реализовать обоснованные требования;
формируются возможные меры ЗИ, реализуемые
административным путем (меры администратора
сети);
определяются эффективные и целесообразные по
критерию «эффективность-стоимость» дополнительные меры (способы) ЗИ от выбранных угроз;
анализируется возможность реализации способов
ЗИ с привлечением ранее разработанных программных и программно-аппаратных средств,
определяется необходимость разработки нового
программного или программно-аппаратного
обеспечения;
определяются основные вопросы управления защитой информации.
165
Рассмотрим некоторые из этих аспектов (рис. 2.2).
Анализ потоков информации в ИТКС и определение информации, содержащей сведения, составляющие
государственную и другие виды тайн, проводится на основе утвержденных перечней сведений, составляющих эти
виды тайн. В результате анализа устанавливается, есть ли в
информации, циркулирующей в ИТКС, сведения, составляющие тот или иной вид тайны. Особое внимание при
этом уделяется сведениям, составляющим государственную тайну. Дело в том, что к элементам ИТКС, в которых
циркулирует информация, содержащая указанные сведения, предъявляются специальные требования по ЗИ. Эти
элементы выделяются в отдельный перечень, а затем и в
отдельную подсистему, отделенную от других элементов
ИТКС, и для них формируется в последующем своя подсистема защиты информации, отделенная от системы защиты
информации, составляющей другие виды тайн.
По результатам анализа устанавливается требуемый
класс защищенности ИТКС (см. раздел 4).
Далее определяется состав и характеристики возможных угроз безопасности информации в ИТКС и с учетом выбранного класса защищенности обосновываются
требования по ЗИ, которые необходимо предъявить к
ИТКС.
В соответствии с [10] замысел защиты – это основная идея, раскрывающая состав, содержание, взаимосвязь
и последовательность осуществления технических и организационных мероприятий, необходимых для достижения
цели защиты информации.
Замысел защиты должен включать в себя (рис. 2.3):
1)
цель защиты;
2)
класс (уровень) защищенности и основные
требования по ЗИ, которые необходимо выполнить;
166
Оценка обстановки, обследование условий функционирования ИТКС
Выявление перечня охраняемых сведений, состава
защищаемой информации
и мест обработки ее в СВТ
Определение выделенных
помещений,
возможных
каналов утечки информации
Определение источников
возможных угроз
Аналитическое
обоснование необходимости создания СЗИ
Разработка задания и проекта на строительные,
строительно-монтажные работы (или реконструкцию) объекта информатизации с учетом требований ТЗ на разработку СЗИ
Характеристика условий
функционирования ИТКС
Разработка предложений в техническое
задание на создание СЗИ
Характеристика
угроз
безопасности
информации, в том числе каналов
утечки
Разработка технического (тактикотехнического) задания на разработку СЗИ
Обоснование
перечня
основных мероприятий по
парированию угроз
Данные об ИТКС и обоснование разработки СЗИ
Оценка класса защищенности ИТКС
Оценка
ИТКС
уязвимостей
Определение
перечня
возможных угроз, оценка
их опасности и составление перечня актуальных
угроз
Обоснование перечня предлагаемых к использованию
сертифицированных средств
защиты информации
Обоснование необходимости
привлечения специализированных организаций для
создания СЗИ
Оценка материальных, трудовых и финансовых затрат
на разработку и внедрение
СЗИ,
Формулирование требований к СЗИ на
основе нормативно-методических документов и установленного класса
защищенности ИТКС
Определение перечня предполагаемых
к использованию сертифицированных
средств защиты, обоснование проведения разработок собственных средств
защиты информации
Проведение при необходимости НИОКР (составной части НИОКР) по разработки новых
средств ЗИ
Концептуальное
проектирование СЗИ
Уточнение
условий
функционирования
ИТКС и СЗИ и угроз
безопасности информации
Уточнение содержания требований
и документации
Уточнение цели и формулирование задач ЗИ
Техническое проектирование СЗИ в
составе ИТКС
Определение замысла
ЗИ или концепции создания СЗИ
Выбор целесообразных
способов и средств ЗИ
для СЗИ
Обоснование требований к новым средствам
ЗИ для СЗИ
Определение сроков, этапов разработки
СЗИ, состава подрядных организаций,
состава документации
ориентировочных
сроков
разработки и внедрения СЗИ
Рис. 2.2. Технологическая схема проектирования системы защиты информации
для новой информационно-телекоммуникационной системы
167
Эскизное проектирование СЗИ
Разработка документации, в том
числе программы и методики испытаний
Развертывание СЗИ. Проведение
предварительных испытаний. Доработка СЗИ по результатам предварительных испытаний
Проведение приемосдаточных и
аттестационных испытаний
Определение замысла защиты информации
По подразделениям
Определение направления сосредоточения
усилий по защите
По уязвимостям, направлениям защиты
По категорированным информационным ресурсам и т.д.
По направлениям защиты
Выбор способов, мер и средств защиты
По актуальным угрозам
По возможности реализации с допустимыми
затратами и т.д.
Организация охраны
Решение основных вопросов управления
защитой
Организация служебной связи и сигнализации
Организация взаимодействия
Организация резервирования программного
и аппаратного обеспечения
Организация управления администрированием, распределения ключевой информации и т.д.
Финансового
Решение основных вопросов обеспечения
Технического и программного
Информационного
Кадрового и др.
Рис. 2.3. Порядок определения замысла защиты информации в информационнотелекоммуникационной системе
168
3)
направления, на которых должны быть сосредоточены усилия по ЗИ (элементы объекта информатизации, блоки защищаемой информации, угрозы, которые
должны быть парированы в первую очередь);
4)
основные способы защиты информации и
контроля ее эффективности;
5)
предложения по распределению задач ЗИ между подразделениями организации, должностными лицами;
6)
перечень программных и программноаппаратных средств защиты и контроля, подлежащих разработке или закупке;
7)
основные вопросы управления, взаимодействия и обеспечения решения задач ЗИ.
Важнейшим элементом замысла защиты является отработка общих вопросов управления защитой информации в
ИТКС. Под управлением защитой информации в ИТКС понимается целенаправленная деятельность по изменению состава и характеристик мер и средств защиты, порядка их
применения в соответствии со складывающейся обстановкой в интересах обеспечения эффективной ЗИ в ИТКС.
Целенаправленные действия включают в себя как
обязательный компонент, без которого невозможно адекватное управление, оценку ситуации, то есть:
состояния ИТКС;
состава и характеристик угроз безопасности информации и динамики их проявлений;
состояния СЗИ и вспомогательных систем обеспечения ЗИ (например, системы сигнализации);
состояния ресурса мер и средств ЗИ и др. На основе замысла защиты выбираются целесообразные способы ЗИ, с помощью которых можно реализовать требования по ЗИ.
Разработкой замысла защиты завершается, по сути,
169
этап концептуального проектирования СЗИ. По результатам выбора разрабатывается эскизный проект СЗИ и ИТКС
в защищенном исполнении. Эскизный проект рассматривается Заказчиком и по результатам такого рассмотрения
уточняются требования по ЗИ, предлагаемые разработчиком способы ЗИ и средства их реализации.
С учетом замечаний Заказчика после получения согласующих подписей на эскизном проекте начинается техническое проектирование, по результатам которого формируется рабочая документация, а также программы и методики испытаний СЗИ (ИТКС в защищенном исполнении).
Если при разработке СЗИ создаются новые технические, программные и программно-технические средства
защиты информации разработчиком ИТКС или по его заказу организацией, имеющей соответствующие лицензии,
то конструкторская и эксплуатационная документация на
их изготовление и эксплуатацию включается в состав документации на ИТКС отдельными документами или разделами основных документов.
В больших организациях и предприятиях может
разрабатываться вместо замысла концепция защиты. В соответствии с энциклопедическим словарем концепция (от
латинского conceptio - понимание, система) - это определенный способ понимания, трактовки каких-либо явлений,
основная точка зрения, руководящая идея для их освещения; ведущий замысел, конструктивный принцип различных видов деятельности.
Под концепцией защиты информации в ИТКС понимается система взглядов на защиту информации в
ИТКС, определяющую состав и характеристики возможных угроз безопасности информации в ИТКС, оценку состояния защищенности информации в ИТКС, предлагаемую для реализации стратегию защиты, основные задачи и
170
возможные (целесообразные) способы защиты информации, основные вопросы организации и обеспечения защиты информации. Любая концепция разрабатывается на
определенный период времени, в течение которого ее положения остаются состоятельными. Концепция часто разрабатывается в произвольной форме. Однако некоторая
типизация имеет место. На рис. 2.4 показана типовая
структура концепции.
Теперь остановимся еще на одном понятии, которое
широко применяется в практике защиты информации, в
том числе при решении вопросов проектирования систем
защиты информации в ИТКС, – понятии «политика безопасности».
В соответствии с [15] политика безопасности информации – это совокупность документированных правил,
процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Это понятие пришло в Россию из международных стандартов.
Сегодня это понятие широко используется во многих национальных стандартах, являющихся аутентичными
переводами международных стандартов в области обеспечения безопасности информации.
Строгой регламентации содержания политики безопасности информации организации сегодня нет, во многом это содержание пересекается с содержанием концепции или замысла защиты и формируется в виде концентрированного выражения правил, приемов, процедур,
принципов, которыми руководствуется организация при
создании СЗИ и которые прямо или косвенно учитываются
в замысле или концепции защиты.
В ряде случаев политики безопасности формируются, по сути дела, как возможные пути реализации требова171
ний по защите информации, то есть представляют собой в
некотором роде замыслы защиты.
Краткая оценка состояния и обоснование необходимости
ЗИ
Характеристика объектов защиты и актуальных угроз безопасности информации
Цель или цели ЗИ
Основные стратегии или принципы ЗИ
Замысел защиты или основные направления деятельности
по ЗИ (способы реализации выбранных стратегий)
Основные (концептуальные) вопросы организации управления, связи и взаимодействия при выполнении мероприятий по ЗИ
Систему взглядов на правовое, материальное, техническое,
финансовое, научное, программное, кадровое и другие виды обеспечения и пути их развития в интересах достижения целей ЗИ
Порядок реализации концепции и достигаемые эффекты от
ее реализации
Рис. 2.4. Типовое содержание концепции защиты
информации в информационно-телекоммуникационной
системе
172
Для СЗИ, создаваемой применительно к действующей ИТКС, особенность проектирования заключается в том, что требуется тщательное обследование функционирующей ИТКС, максимальный учет уже применяемых в ИТКС мер и средств защиты информации. Поэтому
важнейшим аспектом является оценка обстановки в части,
касающейся защиты информации в действующей ИТКС.
Содержание такой оценки приведено на рис. 2.5.
Для создания СЗИ разрабатывается соответствующее ТЗ на
создание СЗИ, в которое включаются требования по защите информации только в части ее касающейся. В остальном
порядок проектирования остается примерно тот же, что и в
предыдущем случае. В случае разработки СЗИ или ее отдельных компонентов специализированными организациями, в организации-заказчике определяются подразделения
(или отдельные специалисты), ответственные за организацию и проведение мероприятий по защите информации.
Разработка и внедрение СЗИ осуществляется во
взаимодействии разработчика со службой безопасности
организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных
требований по ЗИ, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных
средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на
нее и предупреждению утечки и нарушения целостности
защищаемой информации, в аттестации системы или ее
элементов.
Такова в кратком изложении технологическая схема
проектирования СЗИ в ИТКС или ИТКС в защищенном
исполнении.
173
Оценка обстановки
Инвентаризация информационных и аппаратных ресурсов, определение элементов ИТКС, в
которых обрабатывается защищаемая информация
Категорирование информации по видам тайн и уровням конфиденциальности. Определение
класса (уровня) защищенности ИТКС
Анализ информационных ресурсов
Оценка времени устаревания информации
Определение условий допуска должностных лиц к информационным ресурсам и фактической их реализации
Оценка возможности физического доступа в помещения и к СВТ
Анализ уязвимостей
и возможных угроз
безопасности информации
Выявление уязвимостей применяемого системного и прикладного ПО
Оценка возможности несанкционированного доступа к информации (непосредственного и
удаленного)
Анализ возможностей внедрения вредоносных программ
Анализ возможности реализации угроз техногенного характера
Анализ рисков от реализации угроз
Анализ имеющихся в
распоряжении мер и
средств защиты информации
По направлениям защиты: от физического доступа, от утечки по ТКУИ, от НСД,, от ПМВ,
от ЭМИ, от техногенных угроз и др.
Рис. 2.5. Порядок оценки обстановки, касающейся защищенности информации в функционирующей
информационно-телекоммуникационной системе
174
2.5. Некоторые особенности проектирования систем
защиты информации в соответствии
с международными стандартами
В настоящее время в международной практике
сложилось несколько подходов к выбору мер и средств
ЗИ для распределенных вычислительных сетей открытого
типа, которые изложены в целом ряде так называемых
моделей защиты, большая часть которых представлена в
виде стандартов, разработанных различными организациями и фирмами.
Первым международным стандартом де-юре, посвященным функциональному описанию средств защиты
информации в открытых системах, стал стандарт ИСО
7498-2 [16]. Задача защиты информации рассматривается
в нем в рамках стандартной модели взаимодействия открытых систем (модели OSI, см. раздел 1.4).
1.
Защита информации в модели OSI осуществляется набором из четырнадцати (необязательных)
функций безопасности (сервисов защиты), из которых выделяются пять базовых: аутентификация, управление доступом, конфиденциальность данных, целостность данных, неотказуемость, а остальные их конкретизируют:
аутентификация парного логического объекта
происходит при установлении соединения или
обмене данными для подтверждения того, что
оконечный логический объект является тем, за
кого себя выдает;
-аутентификация источника данных подтверждает, что источником блока данных является
именно тот, кто ожидался, однако, не предотвращает дублирование или модификацию блока
данных;
175
управление доступом направлено на предотвращение несанкционированного использования ресурсов через среду вычислительной сети;
обеспечение конфиденциальности соединения
направлено на обеспечение конфиденциальности всех данных пользователя этого соединения;
обеспечение конфиденциальности в режиме без
установления соединения направлено на обеспечение конфиденциальности всех данных пользователя в отдельном сервисном блоке данных;
обеспечение конфиденциальности (выделенного) поля данных направлено на обеспечение
конфиденциальности отдельного поля в блоке
данных при установлении соединения или в
сервисном блоке в режиме без установления соединения;
обеспечение конфиденциальности трафика
направлено на предотвращение получения какой-либо информации путем наблюдения трафика;
обеспечение целостности соединения с восстановлением обеспечивает целостность всех данных пользователей соединения и позволяет
обнаружить подстановку, модификацию, изъятие или переадресацию отдельных данных или
сервисного блока данных с возможностью восстановления утраченных данных;
обеспечение целостности соединения без восстановления обеспечивает те же возможности,
но без средств восстановления;
обеспечение целостности (выделенного) поля
данных в режиме с установлением соединения
176
обеспечивает целостность отдельного поля сообщения во всем потоке сервисных блоков
данных, проходящих через соединение, и обнаруживает подстановку, изъятие или модификацию этого поля;
обеспечение целостности блока данных в режиме без установления соединения обеспечивает целостность отдельного сервисного блока
данных при работе без установления соединения и позволяет обнаружить модификацию,
некоторые формы подстановки и переадресации;
обеспечение целостности поля данных в режиме без установления соединения позволяет обнаружить модификацию отдельного поля в отдельном сервисном блоке данных;
доказательство отправки заключается в
предоставлении получателю данных информации о том, что ему посланы данные, и аутентификации отправителя, предотвращая любые
попытки отправителя отрицать впоследствии
факт передачи данных;
доказательство доставки заключается в предоставлении отправителю данных информации о
том, что переданные им для доставки данные
получены адресатом, и направлено на предотвращение любых попыток отрицать впоследствии факт приема данных получателем.
Под функцией безопасности здесь понимается действие, направленное на решение определенной задачи защиты. Функции безопасности реализуются при помощи
восьми «механизмов защиты», которые формируются на
одном или нескольких уровнях модели OSI: шифрования,
цифровой подписи, управления доступом, обеспечения
177
целостности данных, взаимной идентификации, заполнения трафика (используется для защиты от попыток анализа трафика, он эффективен только в случае сплошного и непрерывного шифрования всего трафика, когда
невозможно отличить момент передачи сообщения от передачи «пустого» заполнения), управления маршрутизацией, нотариального заверения. Понятие механизма защиты,
строгое определение которого пока отсутствует, сегодня
широко применяется практиками в области ЗИ. Оно введено для обозначения приема или определенной группы приемов защиты информации, отличающейся от других как
направленностью и содержанием действий, так и характерными особенностями реализации.
Как правило, любой механизм может использоваться для различных функций безопасности. В табл. 2.2 показана взаимосвязь функций безопасности и механизмов защиты, обеспечивающих их выполнение. В табл. 2.3 конкретизировано распределение функций и механизмов защиты информации по уровням модели OSI.
На двух нижних уровнях модели OSI применяется
только шифрование потока данных, проходящих через канал. Сетевой уровень (уровень 3) способен обеспечить выполнение значительно большего количества функций: в
нем сосредоточено управление маршрутизацией. Сервисы
сетевого уровня обеспечиваются протоколами доступа к
сети передачи данных, протоколами маршрутизации,
трансляции. Управление доступом на сетевом уровне позволяет отклонять нежелательные вызовы, дает возможность различным сетям передачи данных управлять использованием ресурсов сетевого уровня.
178
Таблица 2.2
Применимость механизмов защиты информации для обеспечения выполнения функций безопасности в модели OSI
Функции безопасности
Механизмы защиты
Шифрование Цифровая
подпись
Идентификация парного логического объекта
Идентификация источника данных
Управление доступом
Обеспечение конфиденциальности соединения
Обеспечение конфиденциальности в режиме без
установления соединения
Обеспечение конфиденциальности поля данных
Обеспечение конфиденциальности трафика
Обеспечение целостности соединения с восстановлением
Обеспечение целостности соединения без восстановления
Обеспечение целостности поля данных в режиме с
установлением соединения
Обеспечение целостности блока данных в режиме
без установления соединения
Обеспечение целостности поля данных в режиме
без установления соединения
Доказательство отправки
Доказательство доставки
Управление
доступом
Обеспечение Заполнение
целостности трафика
данных
Взаимная
идентификация
Управление
маршрутизацией
Нотариальное заверение
+
+
+
+
+
+
-
+
-
-
+
-
-
+
+
-
+
+
+
-
-
+
-
+
-
+
-
-
+
-
-
+
-
-
-
-
+
-
-
+
-
-
-
-
+
+
-
+
-
-
-
-
+
+
-
+
-
-
-
-
-
+
+
-
+
+
-
-
-
+
+
179
Таблица 2.3
Распределение функций безопасности и механизмов защиты информации по уровням модели OSI
Функции безопасности
Уровни модели OSI
Физический
Канальный
Сетевой
Идентификация парного логического
объекта
-
-
Идентификация источника данных
-
-
Управление доступом
Обеспечение конфиденциальности соединения
-
-
Шифрование
Шифрование
Обеспечение конфиденциальности в
режиме без установления соединения
-
Шифрование
Обеспечение конфиденциальности поля
данных
Обеспечение конфиденциальности трафика
-
-
-
Шифрование
-
Обеспечение целостности соединения с
восстановлением
Взаимная идентификация, управление
маршрутизацией
-
-
-
Обеспечение целостности соединения
без восстановления
-
-
Обеспечение целостности поля данных
в режиме с установлением соединения
Обеспечение целостности блока данных
в режиме без установления соединения
-
Транспортный
Шифрование, цифро- Шифрование, цифровая подпись, заполвая подпись, заполнение трафика
нение трафика
Шифрование, цифро- Шифрование, цифровая подпись
вая подпись
Управление доступом Управление доступом
Шифрование, управШифрование
ление маршрутизацией
Шифрование, управ1
ление маршрутизацией
СеансоПредставивый
тельный
Прикладной
-
-
заполнение трафика*
-
-
Цифровая подпись*
-
-
Шифрование
Управление доступом*
Шифрование
-
Шифрование
Шифрование
-
-
Шифрование
Шифрование
-
-
Шифрование
Взаимная идентификация
-
-
Шифрование обеспечение
целостности данных*
Шифрование, обеспечение целостности
данных
Шифрование, обеспечение целостности
данных
Шифрование, обеспечение целостности
данных
-
-
Шифрование, обеспечение
целостности данных*
-
-
-
-
-
-
-
Шифрование, обеспечение целостности
данных
Шифрование, обеспечение целостности
данных
-
-
Шифрование обеспечение
целостности данных*
Шифрование, обеспечение
целостности данных*
Обеспечение целостности поля данных
в режиме без установления соединения
-
-
-
-
-
-
Доказательство отправки
-
-
-
-
-
-
Доказательство доставки
-
-
-
-
-
-
180
Шифрование, обеспечение
целостности данных, нотариальное заверение*
Цифровая подпись, обеспечение целостности данных, ,
нотариальное заверение*
Цифровая подпись, обеспечение целостности данных, ,
нотариальное заверение*
На транспортном уровне (уровень 4) осуществляется защита индивидуальных транспортных соединений, которые
могут быть изолированы от других транспортных соединений. На сеансовом уровне (уровень 5) не предусмотрены
механизмы защиты информации. Уровень представления
(уровень 6) содержит механизмы, связанные с шифрованием данных и с поддержкой сервисов прикладного уровня.
Прикладной уровень (уровень 7) может обеспечить любой
сервис защиты, хотя некоторые из них обеспечиваются с
помощью механизмов, реализуемых в нижележащих уровнях (отмечены знаком *). Более того, пользователь прикладного уровня может сам предпринять дополнительные
меры по защите своей информации.
Методы управления защитой, описанные в архитектуре управления OSI, включают: управление уровнем защищенности системы, управление выполнением функциями безопасности, управление отдельными механизмами
защиты. Управление уровнем защищенности системы
включает: поддержку целостности общей политики безопасности системы, обеспечение взаимосвязи функций
безопасности, механизмов и средств управления защитой,
ведение системного журнала, управление механизмом восстановления системы и др. Управление отдельными механизмами защиты включает, в частности, управление ключами, управление контролем доступа, управление маршрутизацией, управление арбитражем и пр. Проектирование
СЗИ лучше всего из зарубежных разработок отражено в
«Общих критериях» [17]. В этом документе содержится
предельно обобщенная модель разработки СЗИ как «продукта информационных технологий». Она может быть
представлена в виде ступенчатой «модели водопада»
(рис. 2.6).
181
Рис. 2.6. Порядок («модель») разработки системы защиты
информации в соответствии со стандартом
«Общие критерии»
В ней выделяется четыре этапа разработки СЗИ:
«функциональная спецификация» (то есть определение
функций безопасности), «высокоуровневая конструкция»
(определение подсистем), «низкоуровневая конструкция»
(определение программных и программно-аппаратных модулей) и «описание реализации». Такой порядок в общем
виде отражает процесс «нисходящего проектирования» изделия или системы.
В общем случае, как и в отечественной практике,
182
здесь имеет место несколько вариантов синтеза СЗИ или,
по сути, процесса эскизного или технического проектирования: синтеза «снизу-вверх» (вариант «восходящего проектирования»), синтеза «сверху – вниз» (вариант «нисходящего проектирования»), синтеза на основе предварительного установления приоритетов для мер и средств защиты, синтеза, при котором выбор мер и средств защиты
осуществляется по направлениям защиты, и комбинированный вариант (см. раздел 2.3).
Во всех указанных вариантах, как правило, реализуется итеративная процедура выбора, когда осуществляется проверка соответствия выбранного варианта решения
на том или ином уровне процесса проектирования решениям на предыдущих уровнях.
В представленном на рис. 2.6 варианте «нисходящего проектирования» на первом этапе («функциональная
спецификации») определяются внешние интерфейсы (в
том числе API)17, а также функции, имеющие отношение к
обеспечению безопасности.
На втором этапе – составляется «проект высокого
уровня» (высокоуровневое проектирование). На этом этапе
определяются подсистемы и их интерфейсы (внешние и
внутренние), а также события, исключительные ситуации,
способы обработки ошибок на уровне подсистем.
На третьем этапе – составляется «проект низкого
уровня» (низкоуровневое проектирование). На этом этапе
определяются модули и их интерфейсы, а также события,
исключительные ситуации, способы обработки ошибок на
уровне модулей.Наконец, четвертый этап – «представAPI (Application Programming Interface) – интерфейс прикладного программирования, представляющий собой набор функций, объектов, программных компонентов, обеспечивающих связь с низкоуровневыми компонентами
операционной системы
17
183
ление реализации». На этом этапе происходит разработка
исходного кода программных модулей и электронных схем
аппаратных модулей изделия. Этот этап проектирования
служит непосредственной основой для реализации изделия.
Следует отметить, что разработка сложных изделий
почти никогда не ведется «с нуля»: всегда используются
предыдущий опыт и предыдущие наработки проектировщика и разработчика, проектирование ведется по модульной схеме, с повторным использованием в новых изделиях
ранее реализованных и апробированных модулей. Это может снизить затраты на защиту информации, изменить состав СЗИ по сравнению с вариантом, когда она проектируется «с нуля».
Таковы некоторые особенности проектирования
ИТКС в защищенном исполнении в соответствии с международными стандартами.
184
3. АНАЛИЗ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ ПРИ
ПРОЕКТИРОВАНИИ СИСТЕМ ЗАЩИТЫ
ИНФОРМАЦИИ
3.1. Понятие угрозы безопасности информации
Защита информации направлена предупреждение
возможности возникновения, предотвращение реализации
или снижение ущерба от последствий несанкционированных действий в результате реализации той или иной угрозы безопасности информации. Введение термина «угроза
безопасности информации» позволяет объединить одним
понятием все возможные негативные условия и факторы,
влияющие прямым образом на безопасность информации,
то есть на ее целостность, доступность или конфиденциальность.
В соответствии с [10] под угрозой безопасности информации понимается совокупность условий и факторов,
создающих потенциальную или реально существующую
опасность нарушения безопасности информации. Данное
определение недостаточно раскрывает содержание угрозы,
то есть то, что входит в описание угрозы. В общем случае
такое описание представляет собой фрейм из 7 слотов следующего вида:
наименование угрозы , источник угрозы , используемая уязвимость
(совокупность уязвимостей ) ,
U
способ реализации угрозы ,
несанкционированное действие, выполняемое
при реализации угрозы ,
время существования угрозы , время , необходимое на реализацию
угрозы
185
.
Некоторые из слотов такого фреймового описания
угрозы могут представлять собой фрейм со сложной
структурой или отсутствовать. Описание той или иной
угрозы может быть при необходимости расширено, то есть
добавлены новые слоты. Обязательными слотами описания
являются: наименование угрозы, источник угрозы, способ
реализации угрозы с используемой уязвимостью или совокупностью уязвимостей (понятие, классификация и пути
описания уязвимостей изложены в разделе 3.3) и выполняемое несанкционированное действие. Слот описания, касающийся используемых уязвимостей, иногда выделяют
как самостоятельный элемент описания, однако чаще уязвимости указываются при описании способа реализации
угрозы. Именуется угроза, как правило, по наименованию
несанкционированного действия.
Две угрозы, отличающиеся источником, набором
используемых уязвимостей, способом реализации или содержанием несанкционированного действия, считаются
разными (рис. 3.1).
Описание способа реализации угрозы часто сводят
к описанию канала реализации угрозы, то есть канала несанкционированного доступа (НСД) или канала несанкционированного воздействия (НСВ).
Канал НСД к информации – это совокупность субъекта НСД, объекта НСД и среды доступа. Субъект НСД –
лицо или программное (программно-аппаратное) средство,
действия или функционирование которого нарушают установленные правила разграничения доступа, то есть источник угрозы. Объект НСД – это защищаемый информационный ресурс (пользовательская или технологическая информация, зарегистрированная в ИТКС), носитель этой
информации, средство ее обработки или элемент коммуникации.
186
Программная среда
Уязвимость программного обеспечения У1(1)
Источник
угрозы И1
Уязвимость программного обеспечения Уn(1)
Уязвимость программного обеспечения У1(2)
Уязвимость программного обеспечения Уj(2)
Уязвимость программного обеспечения У1(K)
Уязвимость программного обеспечения Уm(K)
Сингулярный канал
НСД к блоку информации
Команда или
совокупность
команд операционной среды, с помощью
которых реализуются деструктивные
действия
Рис. 3.1. Структура канала несанкционированного доступа к информации
187
Блок защищаемой информации (защищаемый информационный
ресурс), относительно
которого может быть
выполнено деструктивное действие (совокупность деструктивных действий)
Среда доступа – это физическая или программная
среда, в которой реализуется доступ, при этом физическая
среда определяет условия физического доступа на территорию, в помещение, к аппаратуре, к носителям информации, а программная среда – условия виртуального НСД (то
есть наличие виртуального канала НСД).
Виртуальный канал НСД к информации состоит из
субъекта доступа, пути доступа в операционную среду
компьютера и к блоку защищаемой информации, к которому осуществляется доступ. На практике имеют место
или сингулярные, или множественные виртуальные каналы НСД. При этом сингулярный канал НСД характеризуется тем, что имеется только один путь к защищаемому
блоку информации, а множественный – наличием нескольких таких путей (имеет место полнодоступный пучок сингулярных каналов), при этом неизвестно, какой из путей
может быть использован нарушителем для реализации
угрозы
Таким образом, для множественного канала имеет
место статистическая неопределенность использования
какого-либо из составляющих его сингулярных каналов,
что в определенной мере обусловливает вероятностный
характер реализации угрозы по множественному виртуальному каналу. Следует подчеркнуть, что в подавляющем
большинстве случаев в связи с большим количеством уязвимостей программного обеспечения имеют место множественные каналы реализации угроз. В зависимости от потребностей практики канал НСД может описываться с детальностью до наименования уязвимости, до параметров
функций, команд на языке программирования высокого
уровня, которые могут быть задействованы при реализации угрозы НСД нарушителем, на уровне функций и пара-
188
метров ядра операционной системы, вплоть до самого низкого уровня физических процессов в элементах ИТКС.
В настоящее время в основном используются лишь
наименования уязвимостей в программном обеспечении,
функций и их параметров на языках программирования
высокого уровня. Это объясняется громоздкостью более
детальных описаний и, в связи с этим, сложностью их
практического использования.
Каналы НСД в операционную среду или непосредственно к информации одновременно могут быть (но не
обязательно) возможными каналами несанкционированного воздействия (НСВ), при этом канал НСВ определяется
аналогичным образом, то есть как совокупность субъекта
НСВ, объекта НСВ и среды воздействия. С учетом изложенного может быть выстроена иерархия угроз выполнения действий, направленных на получение доступа к элементам ИТКС, затем доступа к обрабатываемой в них информации и, наконец, угроз выполнения несанкционированных действий (рис. 3.2).
Таким образом, эта иерархия включает в себя: угрозы физического доступа к элементам ИТКС, угрозы непосредственного и удаленного доступа в операционную среду, угрозы воздействия по виртуальной среде, угрозы выполнения деструктивных действий с информационным ресурсом – с зарегистрированной в ИТКС информацией
(собственно угрозы безопасности информации), в том числе угрозы нарушения доступности пользовательской информации, за счет воздействия на технологическую информацию, необходимую для функционирования ИТКС
(например, угрозы отказа в обслуживании).
189
Угрозы выполнения несанкционированных действий с использованием виртуального канала
Угроза отказа в обслуживании
Угроза внедрения вредоносной программы
Угроза непосредственного
проникновения в операционную среду компьютера
Угроза удаленного доступа в
ИТКС (к хосту, к серверу, коммутатору и т.п.) с использованием протоколов межсетевого
взаимодействия
Угроза несанкционированного
воздействия по сети с помощью
штатных программ операционной системы
Угроза физического доступа к
элементам ИТКС
Рис. 3.2. Иерархия угроз, направленных на нарушения безопасности информации
190
Такая иерархия угроз обусловливает то, что защита
информации может осуществляться как непосредственно
применительно к выбранному информационному ресурсу
(блоку информации – файлу, каталогу, директории), так и
опосредовано – путем парирования угроз НСД (но не
непосредственно угроз выполнения несанкционированных
действий с информацией, то есть угроз безопасности информации).
В связи с этим возникают следующие ситуации защиты:
одной мерой (средством) защищается только
один ресурс («одна мера – один ресурс»); одной
мерой (средством) защищается много или любой
из ресурсов («одна мера – много ресурсов»);
несколькими мерами защищается один ресурс
(«несколько мер – один ресурс»);
несколькими мерами защищается много ресурсов
(«несколько мер – много ресурсов»).
В ситуациях, когда защищается несколько (много)
ресурсов, возникает неопределенность в оценке опасности
антропогенной угрозы, поскольку не известно, относительно какого ресурса и какие будут предприниматься деструктивные действия нарушителем. Такую неопределенность необходимо учитывать при создании СЗИ.
191
3.2. Источники угроз безопасности информации
Под источником угрозы безопасности информации
понимается субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. Применительно к локальным и корпоративным
ИТКС различают внутреннего и внешнего источника
угроз.
Внешний источник – это субъект (физическое лицо,
организация, служба иностранного государства и т.п.), деятельность которого извне по отношению к ИТКС (например, из-за пределов территории организации –владельца
ИТКС) направлена на нарушение безопасности циркулирующей в ней информации, или объект, расположенный за
пределами ИТКС (территории организации), функционирование которого может привести к нарушению безопасности информации в ИТКС организации.
Внутренний источник угрозы безопасности информации – это субъект, деятельность которого в пределах
территории организации направлена на нарушение безопасности информации, циркулирующей ИТКС, или непреднамеренные действия которого способствуют нанесению таких нарушений или программное или аппаратное
(программно-аппаратное) средство, возможно входящее в
состав ИТКС, функционирование которого может привести к нарушению безопасности информации.
Указанными субъектами могут быть:
нарушитель;
программная или программно-аппаратная закладка;
192
носитель с установленной на нем вредоносной
или иной программой, используемой для реализации угрозы безопасности информации в ИТКС.
Нарушитель – физическое лицо, случайно или
преднамеренно совершающее действия, следствием которых является нарушение безопасности информации при ее
обработке техническими средствами в ИТКС.
Внешними нарушителями могут быть:
представители разведывательных служб иностранных государств;
представители криминальных структур;
представители конкурентов (конкурирующих организаций);
недобросовестные партнеры;
представители обслуживающих организаций;
представители организаций (предприятий) – разработчиков аппаратных и программных средств
для ИТКС;
посторонние лица.
Внешний нарушитель имеет следующие возможности:
осуществлять НСД к информации в ИТКС путем
проникновения в операционную среду и использования команд операционной системы для несанкционированных действий;
повышать свои привилегии после проникновения
в операционную среду с последующим выполнением необходимых ему несанкционированных
действий;
скрывать следы своих действий и создавать
условия для последующего беспрепятственного
проникновения к информации;
193
внедрять вредоносные программы и осуществлять НСД к информации с их использованием
вредоносных программ;
активизировать алгоритмические или программные закладки, внедренные с использованием
устанавливаемых пользователем прикладных
программ и применяемых им отчуждаемых носителей;
осуществлять несанкционированные действия
относительно информации в ИТКС с использованием сторонних сетей и компьютеров и др.
Возможности внутреннего нарушителя существенным образом зависят от действующих в ИТКС режимных
и организационно-технических мер защиты, в том числе по
допуску физических лиц к информационным ресурсам и
контролю порядка проведения работ.
Имеются несколько классификаций внутренних
нарушителей для разных видов ИТКС с разделением на 8
категорий (например, для информационных систем персональных данных [18]), на 3 категории (для государственных информационных систем [19]).
Наиболее полно описываются внутренние нарушители при использовании восьми категорий, которые определяются в зависимости от способа доступа и полномочий
доступа к информационным ресурсам (рис. 3.3).
К первой категории относятся лица, имеющие
санкционированный доступ на территорию ИТКС, но не
имеющие доступа к информации. К этому типу нарушителей относятся охранники, энергетики, сантехники, уборщицы и другие должностные лица, обеспечивающие нормальное функционирование защищаемого объекта.
194
Источник угрозы
Нарушитель
Аппаратная
закладка
Носитель вредоносной
программы
Внутренний
5 категории – лица с полномочиями
системного администратора
Внешний
1 категории, имеющие санкционированный
доступ в контролируемую зону, но не имеющие доступа к информационным ресурсам
6 категории - лица с полномочиями
администратора безопасности
7 категории - программистыразработчики
2 категории, зарегистрированные пользователи, осуществляющие ограниченный доступ к
информационным ресурсам с рабочего места
8 категории - разработчики и лица,
обеспечивающие поставку, сопровождение и ремонт технических
средств
3 категории – лица, осуществляющие удаленный доступ к ее аппаратным или программным элементам
4 категории - лица с полномочиями администратора безопасности сегмента сети
Рис. 3.3. Классификация нарушителей в информационных системах персональных данных
195
Лицо этой категории может:
иметь доступ к фрагментам информации, распространяющейся по внутренним каналам связи защищаемого объекта;
располагать фрагментами информации о топологии сети (коммуникационной части подсети) и об
используемых коммуникационных протоколах и
их сервисах;
располагать именами и вести выявление паролей
зарегистрированных пользователей;
изменять конфигурацию технических средств
обработки информации (ТСОИ), вносить программно-аппаратные закладки в защищаемую систему и обеспечивать съем информации, используя непосредственное подключение к ТСОИ.
Ко второй категории относятся зарегистрированные пользователи ИТКС, осуществляющие ограниченный
доступ к информационным ресурсам с рабочего места.
Лицо этой категории:
обладает всеми возможностями лиц первой категории;
знает, по меньшей мере, одно легальное имя доступа;
обладает всеми необходимыми атрибутами
(например, паролем), обеспечивающими доступ к
информации;
располагает конфиденциальными данными, к которым имеет доступ.
Его доступ, аутентификация и права по доступу
должны регламентироваться соответствующими правилами разграничения доступа.
196
К третьей категории относятся зарегистрированные пользователи ИТКС, осуществляющие удаленный доступ к информации.
Лицо этой категории:
обладает всеми возможностями лиц второй категории;
располагает информацией о топологии сети, через которую осуществляет доступ, и составе
ТСОИ;
имеет возможность прямого (физического) доступа к техническим средствам сети.
К четвертой категории относятся зарегистрированные пользователи ИТКС с полномочиями администратора безопасности.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих
категорий;
обладает полной информацией о системном и
прикладном программном обеспечении (ПО), используемом в его подразделении;
обладает полной информацией о технических
средствах и конфигурации сети своего подразделения;
имеет доступ к средствам защиты информации и
протоколирования;
имеет доступ ко всем ТСОИ и данным своего
подразделения;
обладает правами конфигурирования и административной настройки некоторых ТСОИ.
К пятой категории относятся зарегистрированные
пользователи с полномочиями системного администратора
ИТКС.
197
Лицо этой категории:
обладает всеми возможностями лиц предыдущих
категорий;
обладает полной информацией о системном и
прикладном программном обеспечении объекта;
обладает полной информацией о технических
средствах и конфигурации сети;
имеет доступ ко всем ТСОИ и данным;
обладает правами конфигурирования и административной настройки ТСОИ.
Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемой ИТКС: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.
К шестой категории относятся зарегистрированные
пользователи с полномочиями администратора безопасности ИТКС.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих
категорий;
обладает полной информацией о вычислительной
сети защищаемого объекта;
имеет доступ к средствам защиты информации и
протоколирования;
не имеет прав доступа к конфигурированию технических средств сети за исключением инспекционных.
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасно-
198
сти осуществляет аудит тех же средств защиты объекта,
что и системный администратор.
К седьмой категории относятся программистыразработчики (поставщики) прикладного программного
обеспечения и лица, обеспечивающие его сопровождение
на защищаемом объекте.
Лицо этой категории:
обладает информацией об алгоритмах и программах обработки информации на объекте;
обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программном
обеспечении объекта на стадии его разработки,
внедрения и сопровождения;
может располагать любыми фрагментами информации о топологии ЛВС и технических средствах
обработки и защиты информации на объекте.
К восьмой категории относятся разработчики и лица,
обеспечивающие поставку, сопровождение и ремонт технических средств на защищаемом объекте.
Лицо этой категории:
обладает возможностями внесения закладок в
технические средства объекта на стадии их разработки, внедрения и сопровождения;
может располагать любыми фрагментами информации о топологии ИТКС и характеристиках
ТСОИ и защите информации в ИТКС.
Общая характеристика программных и программноаппаратных закладок, которые могут устанавливаться в
ИТКС, сводится к следующему.
Под аппаратной закладкой понимается элемент
средства вычислительной техники, скрытно внедряемый
или подключаемый к ИТКС, который при определенных
199
условиях обеспечивает реализацию НСД или непосредственное выполнение некоторых деструктивных действий
с информацией.
Аппаратные закладки, как правило, содержат микропрограммы, обеспечивающие взаимодействие закладки с
вычислительной системой, поэтому их часто называют
также программно-аппаратными.
Программные или программно-аппаратные закладки могут обеспечивать сбор и накопление информации,
обрабатываемой в ИТКС, формировать каналы ее утечки с
возможной ее обработкой, в том числе и стеганографическими методами (см. раздел 3.7), и передачей во внешние
сети или несанкционированную запись на отчуждаемые
носители. При активизации закладка может инициировать
предусмотренные в ходе ее разработки деструктивные
действия в ИТКС.
Программно-аппаратные закладки могут быть конструктивно встроенными и автономными.
Конструктивно встроенные аппаратные закладки
создаются в ходе проектирования и разработки аппаратного обеспечения, подлежащего применению в ИТКС и могут проявляться в виде недекларированных возможностей
аппаратного и программного обеспечения.
Возможными местами внедрения закладок могут
быть:
процессор;
микросхемы оперативной памяти;
микросхемы системной платы (микросхемы прямого доступа к памяти, флэш-памяти, шин передачи данных, портов ввода/вывода и т.п.);
микросхемы устройств, встраиваемых в системный блок (видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода маг200
нитных жестких и лазерных дисков, блока питания и т.п.);
микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Автономные аппаратные закладки являются законченными устройствами, выполняющими определенные
функции перехвата, накопления, передачи или ввода/вывода информации. Например, функции автономной
аппаратной закладки может выполнять модем или сотовый
телефон, не санкционированно подключаемый к элементам ИТКС.
Возможными местами внедрения автономных аппаратных закладок для компьютера могут быть:
технологические разъемы подключения микросхем на системных платах компьютера;
технологические разъемы подключения микросхем на системных платах внешних устройств
компьютера;
разъемы подключения устройств, встраиваемых в
системный блок;
разъемы подключения внешних устройств и линий связи.
По-иному описываются возможности нарушителей
при их разделении на три категории. При этом оцениваются возможности (потенциал, оснащенность и мотивации)
внешних и внутренних нарушителей, а сами нарушители
разделяются на нарушителей с высоким, средним и низким
потенциалом. Такое разделение приводит к необходимости
иметь соответствующее методическое обеспечение для
оценки возможностей нарушителей, которое еще подлежит
разработке.
201
3.3. Уязвимости информационнотелекоммуникационной системы, используемые
для реализации угроз безопасности информации
Уязвимость – это свойство ИТКС, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации. Аналогичным образом можно дать определение уязвимости системного и прикладного программного обеспечения как свойство этого обеспечения, предоставляющее возможность реализации угроз
безопасности обрабатываемой с использованием этого
обеспечения информации.
Сегодня различают уязвимости кода, конфигурации,
архитектурную, технологии обработки (передачи) информации, организационную и многофакторную.
Уязвимость кода – это уязвимость, появившаяся в
результате разработки программного обеспечения и технических средств ИТКС без учета требований безопасности
или в случае наличия ошибок проектирования и реализации.
Уязвимость конфигурации – это уязвимость, появившаяся в результате определения конфигурации (параметров настройки) программного обеспечения и технических средств ИТКС.
Уязвимость архитектурная (архитектурная уязвимость) – это уязвимость, появившаяся в результате выбора компонентов (элементов) ИТКС, номенклатура которых определяется с учетом технологии обработки (передачи) информации, протоколов информационного взаимодействия и особенностей аппаратной платформы.
Уязвимость технологии обработки (передачи)
информации – это уязвимость, появившаяся в результате
использования технологии обработки (передачи) информации, которая отличается возможностью компрометации
202
ИТКС, обусловленной особенностями её применения, и
приводит к реализации угроз безопасности информации и
их последствиям.
Уязвимость организационная (организационная
уязвимость) - уязвимость, появившаяся в связи с отсутствием организационных мер по защите ИТКС, либо несоблюдением инструкций по защите ИТКС, либо несвоевременном выполнении служебных обязанностей должностными лицами, отвечающих за обеспечение защиты ИТКС.
Уязвимость многофакторная – это уязвимость,
появившаяся в результате наличия ошибок различного
происхождения или их сочетания. Многофакторная уязвимость предполагает ссылку на ошибки кода, конфигурации, архитектуры, технологии обработки (передачи) информации и организационные недостатки.
Следует подчеркнуть, что описание уязвимости является составной частью описание угрозы безопасности
информации, реализуемой с использованием этой уязвимости. Отсутствие указания на используемую уязвимость
делает неопределенным описание способа реализации
угрозы, а значит и описания самой угрозы.
Вместе с тем базы данных по уязвимостям информационных систем, их программного обеспечения сегодня
ведутся преимущественно за рубежом.
Наиболее развитой системой сбора и ведения
данных об уязвимостях программного обеспечения
является система, функционирующая в США. Там сбор
данных и ведение баз данных осуществляется как
органами государственной власти, так и государственными
организациями и многими частными компаниями.
Непосредственно сбор данных и краткое описание
выявленных уязвимостей осуществляет корпорация
MITRE Corporation.
203
Перечень уязвимостей используется в Национальной базе управления уязвимостями. Несмотря на название,
это не столько база данных, сколько база знаний. Она ведется силами NIST (Национальный Институт стандартов и
технологий от англ. The National Institute of Standards and
Technology - NIST). База включает несколько инструментов, необходимых для выполнения установленных нормативными документами NIST процедур идентификации и
учета уязвимостей. Кроме того, база содержит программные средства выявления уязвимостей и проверки продуктов на соответствие нормативным документам.
Нормативные документы NIST являются обязательными для применения в государственных организациях
США. Другие (частные) организации и физические лица
могут использовать базу знаний на добровольной основе
или на основе коммерческих соглашений.
Общую правовую основу обеспечения безопасности
государственных информационных систем составляют:
FISMA - закон об управлении информационной
безопасностью государственных информационных систем;
Национальная стратегия безопасности киберпространства (в ней программа уменьшения уязвимостей имеет второй приоритет);
целый ряд подзаконных актов и организационных документов;
нормативные документы NIST.
Для единого подхода к описанию уязвимостей и
устранения неоднозначностей с их именованием еще в
1999 году компания MITRE Corporation предложила решение, независимое от различных производителей средств
поиска уязвимостей. Это решение было реализовано в виде
базы данных CVE (Common Vulnerability Enumeration), ко204
торая затем была переименована в Common Vulnerabilities
and Exposures. По сути CVE – стандарт, определяющий
единое именование уязвимостей. Его поддерживают практически все производители сканеров безопасности
Полностью CVE содержится в Национальной базе
уязвимостей США (NVD – National Vulnerabilities
Database) или на официальном сайте [20]. Данная база распространяется в нескольких форматах: xml, html, csf, xsd
schema. Из-за такой доступности, открытости и удобства к
базе CVE часто обращаются сами разработчики различного ПО (в первую очередь, нацеленного на рынок средств
защиты информации). База данных CVE накапливается за
счет сведений, поступающих в инициативном порядке от
исследователей и организаций - разработчиков программных продуктов. По составу содержащихся сведений данная
база, по сравнению с другими известными базами, является наиболее представительной.
Структура записей базы данных CVE представлена
на рис. 3.4.
Запись CVE
Идентификатор
(ID)
Описание
(Description)
Ссылки
(Reference)
Рис. 3.4. Структура записи базы данных CVE
В поле «ID» указывается код и порядковый номер
уязвимости. В поле «Reference» записываются различного
рода ссылки на так называемые «заплатки» или «патчи»,
позволяющие нейтрализовать уязвимость, рекомендатель205
ного рода документы или комментарии разработчика. Поле
«Description» отвечает за описание самой уязвимости.
Пример записи в базе данных уязвимостей CVE приведен
на рис. 3.5.
Name: CVE-1999-0003
Description:
Execute commands as root via buffer overflow in Tooltalk database
server (rpc.ttdbserverd).
Reference: NAI:NAI-29
Reference: CERT:CA-98.11.tooltalk
Reference: SGI:19981101-01-A
Reference:
URL:ftp://patches.sgi.com/support/free/security/advisories/1998110101-A
Reference: SGI:19981101-01-PX
Reference:
URL:ftp://patches.sgi.com/support/free/security/advisories/1998110101-PX
Reference: XF:aix-ttdbserver
Reference: XF:tooltalk
Reference: BID:122
Reference: URL:http://www.securityfocus.com/bid/122
Рис. 3.5. Пример записи в базе данных уязвимостей CVE
Таким образом, CVE - это система широкого профиля, которая не сосредоточивается только на клиентских
уязвимостях или исключительно на WEB-протоколе. Изначально она задумывалась как единый стандарт идентификации уязвимостей, который должен быть ориентирован
на несколько звеньев информационной системы: систему
поиска и обнаружения брешей (например, сканер безопасности), антивирусное ПО, а также исследуемое ПО.
206
Наряду со стандартов CVE, разработаны еще целый
ряд стандартов, таких как:
CCE (Common Configuration Enumeration – «Перечисление общих конфигураций») – стандарт
описания конфигураций;
CEE (Common Event Expression – «Описание общих событий») – стандарт описания, хранения и
обмена сигналами тревоги между разнородными
средствами защиты;
CWE (Common Weakness Enumeration – «Перечисление общих слабостей») – стандартизованный набор слабых мест в ПО. В этом стандарте
уделяется внимание не только уязвимостям как в
CVE, он является более высокоуровневым, описывая типы проблем, а не их конкретные имена и
проявления;
CAPEC (Common Attack Pattern Enumeration and
Classification – «Перечисление и классификация
общих образцов атак») – публичный каталог и
схема классификации шаблонов атак;
CRF (Common Result Format – «Формат общих
результатов») – стандарт описания результатов
тестирования или оценки защищенности.
Значительная работа по созданию стандартов подобного рода была проведена в Национальном институте
стандартов и технологии США (NIST). В данной организации были разработаны следующие стандарты:
SCAP (Security Content Automation Protocol –
«Протокол автоматизации содержания безопасности») – это в большей степени не стандарт, а
метод, использующий различные стандарты для
автоматизации процесса управления уязвимостями;
207
CVSS (Common Vulnerability Scoring System –
«Общая система оценки уязвимостей») – стандарт установления рейтингов уязвимостей;
XCCDF (eXtensible Configuration Checklist
Description Format – «Расширяемый формат описания контрольного списка конфигураций») –
стандартизованный язык описания отчетов проверок, тестирований и т.п.
Из этих стандартов наиболее широко используется
стандарт CVSS, предназначенный для реализации единого
подхода к оценкам уязвимостей и представляющий собой
открытую схему, которая позволяет специалистам обмениваться информацией об уязвимостях ПО. CVSS является
понятным, прозрачным и общепринятым способом оценки
уязвимостей для руководителей, производителей приложений и средств поддержания безопасности информации,
исследователей и др. Система оценки CVSS состоит из 3
групп метрик:
группа базовых метрики (base metric);
группа временных метрик (temporal metric);
группа контекстных метрик (environmental
metric).
Каждая метрика представляет собой число (оценку)
в интервале от 0 до 10 и вектор – краткое текстовое описание со значениями, которые используются для вывода
оценки.
Группа базовых метрик (рис. 3.6) отображает характеристики уязвимости, которые не меняются со временем
и не зависят от окружения.
Группа временных метрик (см. рис. 3.6) отображает
характеристики уязвимости, которые могут изменяться со
временем. Данная группа является необязательной, поэтому она не влияет на базовую оценку. Временные метрики
208
применяются только в тех случаях, когда пользователь хочет уточнить базовую оценку.
Группа контекстных метрик (см. рис. 3.6) отражает
характеристики уязвимости, которые связаны со средой
использования (программным и аппаратным обеспечением). Как и временные метрики контекстные являются необязательными и служат для уточнения базовой оценки.
Описание метрик CVSS, их значений и групп, в которые они входят, представлено в табл. 3.1 – 3.3, а их подробное описание, а также порядок получения оценок уязвимостей ПО приведены в документе «Полное руководство по общему стандарту оценки уязвимостей, версии 2»
[21].
Пример оценки по стандарту CVSS уязвимости в
SCADA18-системе RealWin, способная вызвать переполнение буфера.
Выбор значений базовых метрик:
вектор доступа (AV) – сетевой (network(N));
сложность доступа (AC) – низкая (low(L));
аутентификация (Au) – не требуется (none(N));
влияние уязвимости на конфиденциальность информации (C) – полное раскрытие (complete(C));
влияние уязвимости на целостность информации
(I)– полное нарушение (complete(C));
влияние уязвимости на доступность информации
(A) – полное нарушение (complete(C)).
SCADA (от англ. supervisory control and data acquisition)
черское управление и сбор данных
18
209
- диспет-
Стандарт CVSS
Группа временных метрик
Группа базовых метрик
Вектор доступа
Группа контекстных метрик
Возможность использования
Вероятность нанесения
ущерба
Уровень исправления
Плотность целей
Степень достоверности
отчета
Требования к безопасности
Сложность доступа
Аутентификация
Влияние на конфиденциальность
Влияние на целостность
Влияние на доступность
Рис. 3.6. Структура групп метрик CVSS
210
Таблица 3.1
Описание базовых метрик CVSS
Базовые метрики CVSS
Метрика
вектор
ступа
до-
сложность
доступа
аутентификация
влияние на
конфиденциальность
влияние на
целостность
влияние на
доступность
Значение метрики
локальный
соседняя сеть
сетевой
высокая
средняя
низкая
множественная
одиночная
отсутствует
отсутствует
частичное
полное
отсутствует
частичное
полное
отсутствует
частичное
полное
Частичное
(Partial
(P))
Полное
(Complete
(C))
Отсутствует
(None (N))
Частичное
(Partial
(P))
Полное
(Complete
(C))
Отсутствует
(None (N))
Частичное
(Partial
(P))
Полное
(Complete
(C))
C:P
C:C
I:N
I:P
I:C
A:N
A:P
A:C
Отсутствует
(None (N))
Au:N
Отсутствует
(None (N))
Одиночная
(Single
(S))
Au:S
Наименование метрики
вектор доступа
сложность доступа
аутентификация
влияние на конфиденциальность
влияние на целостность
влияние на доступность
Влияние на доступность
(Availability Impack (A))
C:N
Множественная
(Multiple
(M))
A
Низкая
(Low (L))
С:L
Au:M
Средняя
A
(Medium
(M))
С:H
V:N
V:A
V:L
Фрагмент
записи вектора
уязвимости
Комментарии к наименованиям метрик
Метрики влияния на информацию
Влияние на конфиденциальность Влияние на целостность
(Confidentiality Impact (C))
(Integrity Impact (I))
Аутентификация
(Authentication (Au))
С:M
A
Высокая
(High (H))
Сетевой
A
(Network
(N))
Значение метрики
Соседняя
сеть
A
Adjacent
network
(A))
Название метрики
Метрики доступа к уязвимости
Вектор доступа
Сложность доступа
(Access Vector (AV))
(Access Complexity (AC))
ЛокальA
ный
(Local(L))
Группа метрик
Комментарий
отображает, как эксплуатируется уязвимость
отображает сложность эксплуатации атаки, если злоумышленник получил доступ к целевой системе
отображает количество этапов аутентификации, которые злоумышленник должен пройти в целевой системе, чтобы эксплуатировать уязвимость
отображает влияние успешной эксплуатации уязвимости на сохранение конфиденциальности информации в системе
отображает влияние успешной эксплуатации уязвимости на целостность системы
отображает влияние успешной эксплуатации уязвимости на доступность системы, т.е. на доступность информационных ресурсов
Комментарии к значениям метрик
Комментарий
злоумышленник должен иметь локальный доступ, т.е. физический доступ к системе или локальную учетную запись
злоумышленник должен иметь доступ к соседней сети, т.е. такой сети, которая имеет общую среду передачи с сетью, где находится уязвимое ПО
злоумышленник должен обладать доступом к уязвимому ПО, причем этот доступ ограничен только величиной сетевого стека
для эксплуатации уязвимости нужны особые условия
для эксплуатации уязвимости нужны до некоторой степени особые условия
для эксплуатации уязвимости не требуются специальные условия и особые обстоятельства
злоумышленник должен аутентифицироваться два и более раз, даже если одни и те же учетные данные используются несколько раз
необходимо войти в систему (через командную строку, интерактивную сессию или web-интерфейс)
для эксплуатации уязвимости аутентификация не требуется
уязвимость не затрагивает конфиденциальность системы
имеется существенное разглашение данных
происходит полное разглашение данных
эксплуатация уязвимости не оказывает влияние на целостность системы
возможно изменение некоторых системных файлов или информации, но злоумышленник не получает контроль над изменяемыми данными
эксплуатация уязвимости позволяет полностью нарушить целостность системы
эксплуатация уязвимости не влияет на доступность системы
происходят сбои в доступности ресурса или уменьшение производительности
происходит полное отключение системы
211
Таблица 3.2
Описание временных метрик CVSS
C:ND
(ND))
Не определен
R
(Not
Defined
Подтвержден
R
(Confirmed (C))
C:C
Не доказан
R
(Uncorroborated
C:UR
(UR))
RC:UC
(UC))
RL:ND
(ND))
Не подтвержден
(Unconfirmed
Степень достоверности отчета (Report Confidence (RC))
Не определен
(Not
Defined
Не доступен
(Unavailable (U))
RL:U
Дополнительные
действия
(Workaround (W))
RL:W
RL:TF
Не определено
(Not Defined (ND))
E:ND
Временное
исправление
(Temporary Fix (TF))
Высокий
(High (H))
E:H
RL:OF
Функциональный
(Functional (F))
E:F
Официальное
исправление
(Official Fix (OF))
Proof-of-Concept
(POC)
E:POC
Фрагмент
записи вектора уязвимости
Непроверенный
(Unproven (U))
Значение метрики
Уровень исправления (Remediation Level (RL))
E:U
Временные метрики CVSS
Возможность использования (Exploitability (E))
Название
метрики
Комментарии к наименованиям метрик
Наименование метрики
Комментарий
возможность использования
эта метрика отображает наличие или отсутствие кода или техники эксплуатации
текущие исправления и дополнительные действия предлагаются для временного исправления уязвимости до того момента, когда будет выпущено официальное
уровень исправления
исправление или обновление
степень достоверности отчета
эта метрика отображает степень конфиденциальности информации о существовании уязвимости и достоверность известных технических деталей
Комментарии к значениям метрик
метрика
Значение метрики
Комментарий
непроверенный
эксплойт не известен, или эксплуатация возможна теоретически
proof-of-Concept
доступен эксплойт, описывающий концепцию эксплуатации, или существует демонстрация атаки, которая не применима в большинстве систем
возможность
ис- функциональный
эксплойт доступен и может быть применен в большинстве ситуаций
пользовауязвимость можно эксплуатировать с помощью легко переносимого, автономного кода, или эксплойт не нужен (эксплуатация вручную) и детали широко
высокий
ния
известны
не определено
метрика не влияет на оценку и будет пропущена в формуле
официальное исправледоступно официальное обновление или исправление от производителя
ние
временное исправление
доступно официальное временное обновление
уровень
исправления дополнительные действия
доступно неофициальное решение, которое предоставлено третьей стороной
не доступен
обновление или исправление недоступно или не может быть применено
не определен
метрика не влияет на оценку и будет пропущена в формуле
не подтвержден
существует одно неподтвержденное сообщение или несколько противоречивых сообщений (например слухи из различных кругов)
существует сообщения от множества неофициальных источников, возможно, независимых компаний в области безопасности или исследовательских
степень
не доказан
организаций
достоверности отчета
подтвержден
уязвимость подтверждена производителем или автором технологии эксплуатации уязвимости
не определен
метрика не влияет на оценку и будет пропущена в формуле
212
Таблица 3.3
Описание контекстных метрик стандарта CVSS
Высокий
(High (H))
TD:H
Не определен
(Not Defined
TD:ND
(ND))
C
R:L
Низкий
IR:L
(Low (L))
A
C
R:L
R:M
Средний
(Medium
IR:M
(M))
A
C
R:M
R:M
Высокий
IR:M
(High (H))
A
C
R:M
R:M
Не определен
(Not Defined
IR:M
(ND))
A
R:M
Средний
(Medium (M))
Низкий
(Low (L))
TD:L
Требования к безопасности
(Security Requirements (CR, IR, AR))
TD:M
Отсутствует
(None (N))
TD:N
Плотность целей
(Target Distribution (TD))
Не определен
CDP:N (Not Defined
D
(ND))
Высокий
(High (H))
CDP:H
Средний,
пониженный
CDP:L (Low-Medium
M
(LM))
Средний,
повышенный
CDP:M
(MediumH
High (MH))
Низкий
(Low (L))
CDP:L
Фрагмент
записи вектора уязвимости
Отсутствует
(None (N))
Значение
метрики
CDP:N
Контекстные метрики CVSS
Вероятность нанесения ущерба
Название
(Collateral Damage Potential (CDP))
метрики
Комментарии к метрикам
Наименование метрики
Комментарий
отображает потенциальную возможность повреждения или утраты собственности или оборудования, а также может оценивать экономические потери, связанные
вероятность нанесения ущерба
с производительностью или доходом
отображает процент уязвимых систем от всех имеющихся систем. Она используется как особый индикатор среды, чтобы приблизительно определить процент
плотность целей
систем, на которые может влиять данная уязвимость
эти метрики позволяют аналитику определить CVSS-оценку в зависимости от важности уязвимого устройства или программного обеспечения для организации,
требования к безопасности
измеренной в терминах конфиденциальности, целостности и доступности
Комментарии к значениям метрик
Метрика
Значение метрики
Комментарий
отсутствует
не существует потенциальной опасности повреждения или утраты оборудования, производительности или дохода
удачная реализация деструктивных действий с помощью данной уязвимости может привести к небольшому повреждению устройства или собственнонизкий
сти ил небольшой потере производительности или дохода в организации
вероятность
удачная реализация деструктивных действий с помощью данной уязвимости может привести к среднему повреждению устройства или собственности
средний, пониженный
нанесения
или средней потере производительности или дохода в организации
ущерба
удачная реализация деструктивных действий с помощью данной уязвимости может привести к значительному повреждению устройства или собственсредний, повышенный
ности или значительной потере производительности или дохода в организации
удачная реализация деструктивных действий с помощью данной уязвимости может привести к катастрофическому повреждению устройства или собвысокий
ственности или катастрофической потере производительности или дохода в организации
отсутствует
целевых систем нет, или цели слишком специализированы и существуют только в лабораторных условиях. 0% риска для систем среды
низкий
в указанном контексте существуют цели, но в небольшом количестве. Риску подвержены от 1% до 25% систем среды
плотность
средний
в указанном контексте существуют цели, но в среднем количестве. Риску подвержены от 26% до 75% систем среды
целей
высокий
в указанном контексте существуют цели, и их много. Риску подвержены от 76% до 100% систем среды
не определен
метрика не влияет на оценку и будет пропущена в формуле
низкий
нарушение конфиденциальности, целостности или доступности информации имеет ограниченное неблагоприятное воздействие на КС
требования
средний
нарушение конфиденциальности, целостности или доступности информации имеет серьезное ограниченное воздействие на КС
к безопасновысокий
нарушение конфиденциальности, целостности или доступности информации имеет очень серьезное воздействие на КС
сти
не определен
метрика не влияет на оценку и будет пропущена в формуле
213
Таблица 3.4
Структура векторов CVSS
Вектор
CVSS
Базовый
Временный
Окружения
Структура вектора
AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/
A:[N,P,C]
E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,N
D]
CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,
ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]
Выбор значений временных метрик:
возможность использования (E) – доступен полнофункциональный код (functional(F));
уровень устранения уязвимости (RL) – выпущено
официальное обновление разработчика (official
fix(OF));
степень достоверности отчета (RC) – уязвимость
официальна подтверждена (confirm(C)).
Выбор значений контекстных метрик:
уровень потенциального ущерба (CDP) – может
быть нанесен существенный ущерб (MediumHigh (MH));
распространенность
объекта
воздействия,
количество систем, которое может быть
подвержено риску (TD) – объекты воздействия
специфичны, тем не менее было взято
усредненное значение показателя (M).
Таким образом, стандарт CVSS дает возможность
проведения анализа уязвимостей с целью определения их
характеристик и получения оценок. Кроме того, данный
стандарт классифицирует уязвимости по различным признакам, содержащимся в векторах CVSS.
214
Следует отметить, что в отличие от CVE стандарт
CVSS не реализован в виде базы данных, а предназначен
лишь для оценки уязвимостей по формализованным зависимостям.
Проведенный анализ стандартов описания и оценки
уязвимостей показывает, что наиболее полное описание
уязвимостей может быть получено при использовании сведений из базы данных CVЕ и оценок, полученных с помощью CVSS. При этом база данных CVЕ служит в качестве
каталога существующих уязвимостей ПО, а стандарт CVSS
позволяет провести их классификацию и установить необходимые характеристики этих уязвимостей. База данных
CVE и программные средства вычисления оценок CVSS
имеют открытый доступ и поэтому могут быть использованы для получения предварительной информации об уязвимости программно-аппаратных компонентов, входящих
в состав информационных систем.
3.4. Классификация угроз безопасности информации
Для упорядочения представлений о большом разнообразии угроз предпринимались неоднократные попытки
их классификации. В результате в литературе фигурирует
множество различных классификационных схем, как правило, предназначенных для различных практических целей. Ниже рассматривается один из возможных вариантов
классификации угроз безопасности информации в ИТКС.
Классификационная схема угроз безопасности информации приведена на рис. 3.7.
Из указанного на схеме требует некоторого пояснения лишь разделение угроз на такие виды, как природные
(физические), техногенные и антропогенные, а также
угрозы, связанные с НСД.
215
Угрозы безопасности информации
По виду нарушения
По объекту воздействия
По деструктивному действию
Угрозы конфиденциальности
Угрозы информации в
базах данных
Угроза модификации
Угрозы целостности
Угрозы программным ам
Угрозы доступности
Угрозы аппаратным элементам
По фактору возникновения
Природные
Техногенные
Антропогенные
Угрозы нарушения
функционирования
По пути реализации
Угрозы, связанные с НСД
Угроза блокирования
Угроза хищения
Угроза уничтожения
Угроза разглашения
Угрозы трафику
Угрозы, направленные на
персонал ИТКС
Угрозы перехвата информации с использованием технических средств
Угроза несанкционированного запуска приложений
Угрозы воздействия по
физическим полям
По виду доступа
Угрозы, реализуемые с использованием программного обеспечения
Угрозы, реализуемые без использования программного обеспечения
По расположению нарушителя
относительно ИТКС
Угрозы кражи носителя, элементов
оборудования
Угрозы, реализуемые внутренним
нарушителем
Угрозы физического разрушения
носителей, элементов оборудования
Угрозы, реализуемые с использованием
программной, программно-аппаратной
закладки, отчуждаемого носителя
По преднамеренности
Угрозы, реализуемые непреднамеренно
(по ошибке)
Угрозы, реализуемые внешним нарушителем
Угрозы, реализуемые преднамеренно
По наличию полномочий и прав доступа
Угрозы, реализуемые авторизованным
пользователем
Угрозы, реализуемые неавторизованным пользователем
По опосредованности действий с защищаемой информацией
Угрозы непосредственных действий с защищаемой информацией с
использованием команд
операционной среды
Угрозы непосредственных действий с защищаемой информацией
с использованием специально созданных программ обеспечения
доступа и вредоносных программ
Угрозы воздействия на
технологическую информацию или программноаппаратные элементы
По источнику угрозы
Угрозы от конкурентов
Угрозы от бывших
сотрудников
Угрозы от криминальных структур и элементов
Угрозы от спецслужб
Угрозы от недобросовестных партнеров
Угрозы от разработчиков и производителей технических и программных средств
Угрозы от посторонних субъектов
Угрозы от клиентов
организации
Угрозы от представителей обслуживающих организаций
Рис. 3.7. Классификация угроз безопасности информации
216
К природным угрозам относятся различные природные или физические явления (наводнения, землетрясения,
пожары и т.п.), способные привести к нарушению безопасности информации.
К техногенными относятся угрозы, возникающие в
процессе функционирования технических средств, способные вызвать нарушение безопасности информации. Среди
техногенных угроз следует выделить два класса: угрозы
случайного помехового воздействия, связанные с воздействием физических полей, источниками которых являются
функционирующие технические средства (входящие в состав объекта информатизации или не входящие в его состав); угрозы сбоя, обусловленные дефектами, отказами
технических средств в составе ИТКС.
К антропогенным угрозам относятся угрозы, возникающие в результате непреднамеренных или умышленных действий людей, способные привести к нарушению
безопасности информации. Непреднамеренные антропогенные угрозы в свою очередь разделяются на угрозы, обусловленные неправильной организацией защиты информации в ИТКС и ошибками персонала, а также ошибками в
программном обеспечении.
Преднамеренные антропогенные угрозы включают
в себя угрозы, возникающие в результате преднамеренных
деструктивных действий физических лиц или спецслужб и
связанные с диверсионной деятельностью, несанкционированным доступом к информации, с ведением разведки,
умышленным воздействием на элементы ИТКС по физическим полям и т.д.
217
Угрозы, связанные с НСД, выделяются из всего
комплекса угроз по признаку «способ реализации». Сам
несанкционированный доступ угрозой безопасности информации как таковой еще не является. Угрозы безопасности информации могут появиться в связи с НСД. При этом
может быть несанкционированное ознакомление с информацией, несанкционированное копирование (хищение) информации и/или несанкционированное воздействие на информацию (уничтожение, блокирование и т.д.). Следует
различать несанкционированный доступ с целью ознакомления с информацией или ее хищения и утечку информации по техническим каналам, когда для хищения информации применятся специальные средства (в этом случае не
имеет смысл понятие санкционированного или несанкционированного доступа; так как ведется добывание информации - разведка).
Угрозы, связанные с несанкционированным доступом, разделяются по используемым средствам доступа
на угрозы без использования и с использованием программно-аппаратного обеспечения. При этом угрозы без использования программно-аппаратного обеспечения в свою
очередь разделяются по способу воздействия на угрозы
путем внедрения аппаратных закладок и угрозы путем физического (механического) воздействия.
Кроме того, по признаку удаленности субъекта доступа угрозы НСД с использованием программноаппаратного обеспечения разделяются на угрозы непосредственного доступа и угрозы удаленного доступа. Если
угрозы непосредственного доступа к компьютеру вполне
очевидны, то угрозы удаленного доступа (сетевых атак)
классифицируются еще по целому ряду классификационных признаков (рис. 3.8).
218
Для классификации сетевых атак, рассматриваемых
на примере сети, подключенной к глобальной сети Internet,
используется система классификационных признаков,
предложенная в [22], включающие такие признаки как: характер угрозы; цель реализации угрозы; условие начала
реализации угрозы; наличие обратной связи с атакуемым
объектом; расположение субъекта атаки относительно атакуемого объекта; уровень эталонной модели OSI, на котором реализуется угроза. При этом наиболее распространенными являются пять типовых атак (табл. 3.5), содержание которых более подробно рассмотрено в разделе 3.5.
1. По характеру воздействия атаки могут быть пассивные
(класс 1.2) и активные (класс 1.1). Пассивной атакой на
распределенную вычислительную систему называют такую атаку, которая не оказывает непосредственного влияния на работу системы, но может нарушать ее политику
безопасности. Именно отсутствие непосредственного влияния на работу ИТКС приводит к тому, что пассивную
атаку практически невозможно обнаружить. Примером
пассивной атаки служит прослушивание канала связи в сети.
Под активной атакой понимается атака, оказывающая непосредственное влияние на работу системы (изменение конфигурации сети, нарушение работоспособности
и т. д.) и нарушающая принятую политику безопасности.
219
Классификация сетевых атак в информационно-телекоммуникационных системах
По характеру воздействия
По цели воздействия
Пассивные атаки
Атаки с нарушением
конфиденциальности
информации
Активные атаки
По условию начала атаки
Атаки с нарушением
целостности информации
По наличию обратной
связи с атакуемым объектом
По расположению субъекта
атаки относительно атакуемого объекта
Атака по запросу от
атакуемого объекта
С обратной связью
Внутрисегментные
Атака по наступлению
ожидаемого события на
атакуемом объекте
Без обратной связи
(однонаправленная
атака)
Межсегментные
Безусловная атака
Атаки с нарушением
доступности информации
По уровню эталонной модели взаимодействия открытых систем
Атаки с комплексным
воздействием на информацию
Атаки на физическом уровне
Атаки на канальном уровне
Атаки на сетевом уровне
Атаки на транспортном уровне
По соотношению количества атакуемых и атакующих субъектов
Атаки на сеансовом уровне
Атаки на представительном уровне
Атака "Один к одному"
Атака "Один ко
многим"
Распределенные (скоординированные) атаки
Атаки на прикладном уровне
Рис. 3.8. Классификационная схема сетевых атак на информационно-телекоммуникационные системы
220
Таблица 3.5
Классификация типовых сетевых атак на ИТКС
Типовая
атака
Класс атаки
Анализ сетевого трафика
Подмена
доверенного
объекта сети
Внедрение в
сеть ложного
объекта путем
навязывания
ложного
маршрута
Внедрение в
сеть ложного
объекта путем
использования
недостатков
алгоритмов
удаленного
поиска
Отказ в обслуживании
Характер атаки
Условие начала осуществления атаки
Цель атаки
Наличие
обратной
связи с
атакуемым
объектом
Расположение
субъекта
атаки относительно атакуемого объекта
Уровень модели OSI
1.1
1.2
2.1
2.2
2.3
3.1
3.2
3.3
4.1
4.2
5.1
5.2
6.1
6.2
+
-
+
-
-
-
-
+
-
+
+
-
-
+
-
+
+
+
-
-
+
-
+
+
+
-
-
+
+
-
+
+
+
+
-
-
+
+
+
+
+
-
-
+
-
+
+
+
-
+
-
+
+
-
+
+
-
+
-
-
+
-
-
+
-
+
+
+
221
6.3
+
6.5
6.6
6.7
-
-
-
-
-
-
-
-
-
+
-
-
-
+
+
+
+
-
+
-
6.4
+
Практически все типы атак являются активными
воздействиями.
2. По цели воздействия атаки могут быть направлены на нарушение конфиденциальности информации (класс
2.1), нарушение целостности информации (класс 2.2),
нарушение работоспособности (доступности) системы
(класс 2.3). Нарушение конфиденциальности информации
является пассивным действием.
Возможность нарушения целостности (искажения,
модификации, уничтожения) информации означает либо
полный контроль над информационным потоком между
объектами системы, либо возможность передачи сообщений от имени другого объекта. Данное информационное
разрушающее воздействие представляет собой яркий пример активной атаки.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не
предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться,
чтобы операционная система на атакуемом объекте или
прикладная программа вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного
объекта или к прикладной программе был бы невозможен.
3. По условию начала осуществления атаки имеют место три класса атак:
Атака по запросу от атакуемого объекта (класс 3.1).
В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа (например,
TCP-запроса на соединение), который и будет условием
начала осуществления воздействия. Важно отметить, что
данный тип удаленных атак наиболее характерен для
ИТКС.
222
4. По наличию обратной связи с атакуемым объектом имеют место два класса атак с обратной связью
(класс 4.1) и без обратной связи (однонаправленная атака)
(класс 4.2). Атака, осуществляемая при наличии обратной
связи с атакуемым объектом, характеризуется тем, что на
некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно,
между атакующим и целью атаки существует обратная
связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные атаки весьма характерны для ИТКС.
В отличие от атак с обратной связью при атаках без
обратной связи не требуется реагировать на какие-либо
изменения, происходящие на атакуемом объекте. Атаки
данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную атаку можно называть однонаправленной атакой.
5. По расположению субъекта атаки относительно атакуемого объекта различают внутрисегментные (класс 5.1) и межсегментные (класс 5.2) атаки. Сегмент сети - физическое объединение хостов. Например,
сегмент сети образуют совокупность хостов, подключенных к серверу по схеме «общая шина». При такой схеме
подключения каждый хост имеет возможность подвергать
анализу любой пакет в своем сегменте. Данный классификационный признак позволяет судить о так называемой
«степени удаленности» атаки. На практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную.
6. По уровню эталонной модели взаимодействия открытых систем (модель OSI), на котором осуществляется
воздействие, различают атаки на физическом (класс 6.1),
223
канальном (класс 6.2), сетевом (класс 6.3), транспортном
(класс 6.4), сеансовом (класс 6.5), представительном
(класс 6.6) и прикладном (класс 6.7) уровнях. Классификация по этому признаку обусловлена тем, что любой сетевой протокол, используемый при реализации атаки, как и
любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель OSI.
Приведенная классификация, конечно, не является
всеобъемлющей, но дает достаточно полное представление
о возможных угрозах безопасности информации в ИТКС.
Сегодня имеются и иные подходы к классификации
угроз. В частности в соответствии с [23] угрозы безопасности персональных данных разделяются на типы. При этом
имеют место:
угрозы 1-го типа, если в ИТКС в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей
в системном программном обеспечении, используемом в ИТКС (см. раздел 2.6);
угрозы 2-го типа, если имеются недокументированные (недекларированные) возможности только в прикладном программном обеспечении, используемом в ИТКС;
угрозы 3-го типа, если имеются иные угрозы, не
связанные с наличием недокументированных
(недекларированных) возможностей в системном
и прикладном программном обеспечении, используемом в информационной системе.
Выявление таких угроз связано с анализом недекларированных возможностей системного и прикладного программного обеспечения, установленного в ИТКС.
224
3.5. Краткая характеристика типовых сетевых атак в
информационно-телекоммуникационных системах
Большинство распределенных сетей функционируют и проектируются с учетом использования в них технологии межсетевого взаимодействия, реализованной в Internet. При этом, как правило, ИТКС базируется на применении стека протоколов межсетевого взаимодействия
TCP/IP, в связи с этим в них могут реализовываться большинство атак, характерных для Internet.
Типовая атака в общем случае состоит (рис. 3.9) из
четырех этапов [24 - 26]:
сбора информации;
вторжения (проникновения в операционную
среду);
реализации деструктивных действий;
ликвидации следов атаки.
На этапе сбора информации нарушителя могут
интересовать различные сведения об атакуемой ИТКС, в
том числе:
а) о топологии сети, в которой функционирует атакуемая система. При этом может исследоваться область вокруг атакуемой сети (например, нарушителя может интересовать адреса доверенных, но менее защищенных хостов).
Сбор информации может быть также основан на запросах: 1) к DNS-серверу о списке зарегистрированных (и,
вероятно, активных) хостов;
2) к маршрутизатору на основе протокола RIP (см.
раздел 1) об известных маршрутах (информация о топологии сети);
3) к некорректно сконфигурированным устройствам, поддерживающим протокол SNMP, позволяющий
получать информацию о топологии сети.
225
Этапы атаки
Сбор информации об объекте
атаки
О топологии сети
О функционирующих сервисах (открытых портах)
О версии операционной системы
О наименее защищенных хостах и их
доступности
Вторжение (проникновение в операционную среду)
Реализация несанкционированных действий
Уничтожение
Установление связи
с атакуемым хостом
Ликвидация следов
атаки
Удаление записей
из журналов аудита
Копирование
Выявление уязвимостей и ошибок
администрирования
Модификация
Блокирование
Расширение привилегий, в том числе
за счет внедрения
вредоносных программ
Перемещение
Получение доступа к командам
операционной
системы, утилитам, исполняемым
файлам и т.п.
Восстановление
временно модифицированной информации
Подмена IP-адреса
атакующего
Несанкционированный запуск приложений
Создание фальшивых пакетов
Формирование «черного
входа»
Использование
чужих компьютеров в качестве базы
атаки
Шифрование атаки
Фрагментация атаки
Сокрытие процессов за счет применения специальных утилит и вредоносных программ
Рис. 3.9. Этапы сетевых атак
226
Если атакуемая сеть находится за межсетевым
экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии сети за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов
внутренней (защищаемой) сети;
б) о типе операционной системы (ОС) на атакуемых хостах. Например, широко применяется способ определения типа ОС хоста, основанный на том, что различные
типы ОС по-разному реализуют требования стандартов
RFC к стеку TCP/IP и реагируют на некоторые запросы.
Это позволяет нарушителю удалённо идентифицировать
тип операционной системы, установленной на хосте ИТКС
путём посылки специальным образом сформированных
запросов и анализа полученных ответов. Существуют специальные средства, реализующие данные методы, в частности, nmap и queso. Можно отметить также такой способ
определения типа операционной системы, как простейший
запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по «внешнему виду» ответа можно определить тип
операционной системы хоста. Наличие определенных сервисов также может служить дополнительным признаком
для определения типа ОС хоста;
в) о функционирующих на хостах сервисах. Определение сервисов, исполняемых на хосте, основано на способе выявления «открытых портов», направленном на сбор
информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему
порту, при этом:
если в ответ пришло сообщение ICMP port unreacheble, то соответствующий сервис не доступен;
227
если данное сообщение не поступило, то порт
«открыт» или фильтруется, например, пакетным
фильтром.
Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP. Для автоматизации сбора информации об объекте нападения разработано множество программных средств. В качестве примера можно отметить следующие из них:
1) Strobe, Portscanner – оптимизированные средства
определения доступных сервисов на основе опроса портов;
2) Nmap – средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD,
Solaris Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов;
3) Queso – высокоточное средство определения ОС
хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с
множеством известных откликов различных ОС. Данное
средство также является популярным на сегодняшний день
средством сканирования;
4) Cheops – сканер топологии сети позволяет получить топологию сети, включая картину домена, области IPадресов и т.д. При этом определяется ОС хоста, а так же
возможные сетевые устройства (принтеры, маршрутизаторы и т.д.);
5) Firewalk – сканер МЭ, использующий методы
программы traceroute для анализа отклика на IP-пакеты для
определения конфигурации сетевого фильтра и построения
топологии сети.
Кроме того, используется целый ряд стандартных
утилит, входящих в состав операционной системы, приведенных в табл. 3.6 [26].
228
Таблица 3.6
Сетевые утилиты, для сбора данных об объекте атаки
Наименование утилиты (команда)
ipconfig
nbtstat
netstat
nslookup
ping
tracert
Назначение и возможности
Позволяет выявить параметры текущей конфигурации стека протоколов TCP/IP, принудительно изменять эту конфигурацию и настраивать с применением сервера DHCP
Проверяет подключения по протоколам стека
TCP/IP, отображает статистику подключений и
настройки, касающиеся протокола NetBIOS
Отображает статистику текущих соединениях
Позволяет тестировать работу DNS-сервера,
получать информацию о ресурсных записях,
запрашивая DNS-серверы
Проверяет правильность настройки стека протоколов TCP/IP и тестирует наличие связи с
другими узлами
Применяется для трассировки маршрута IPпакета от источника до получателя
На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения (доступа к привилегированному режиму выполнения
командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей
или нарушение работоспособности атакуемого хоста.
На этапе реализации несанкционированных действий осуществляется собственно достижение цели атаки,
то есть выполнение тех действий, ради которых осуществлялась атака:
копирование;
229
уничтожение;
искажение информации;
внедрение вредоносных программ и др.
На этом же этапе, если атака не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного
уровня. Для этого могут использоваться уязвимости не
только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИТКС. После указанных
действий, как правило, формируется так называемый «черный вход» в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя. «Черный вход» оставляется в системе в интересах
обеспечения:
возможности получить доступ к хосту, даже если
администратор устранит использованную для
успешной атаки уязвимость;
возможности получить доступ к хосту как можно
более скрытно;
возможности получить доступ к хосту быстро (не
повторяя заново атаку).
«Черный вход» позволяет нарушителю внедрить в
сеть или на определенный хост вредоносную программу,
например, «анализатор паролей» (password sniffer) – программу, выделяющую пользовательские идентификаторы и
пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения
вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д.
230
Наконец, на этапе ликвидации следов атаки осуществляется попытка уничтожения следов атаки. При этом
удаляются соответствующие записи из всех возможных
журналов аудита, в том числе записи о факте сбора информации. Для успешного скрытия следов атаки применяются самые разнообразные приемы (см. рис. 3.9), при этом
в последнее время распространились способы, основанные
на использование вредоносных программ, способствующих скрытному проведению атак, такие как:
бекдоры (backdoors) – программы, устанавливающие потайной ход на компьютере пользователя,
что позволяет удаленно проникать в его операционную среду и управлять таким компьютером;
боты (bots) – программы, устанавливаемые на
компьютеры пользователей в интересах использования инфицированных компьютеров для атак
на другие компьютеры;
руткиты (rootkits) – программы, специально созданные для скрытия других вредоносных программ и т.д.
Каждая атака описывается на том или ином формальном языке. Такое описание называют сигнатурой атаки. В общем случае под сигнатурой атаки следует понимать формализованное описание атаки, включающее описание действий нарушителя, применяемых им команд и
функций, особенностей протоколов межсетевого взаимодействия, уязвимостей системного и прикладного программного обеспечения, последствий и оставляемых следов деструктивных действий, используемое для обнаружения и распознавания атаки.
Все современные системы обнаружения атак располагают базами данных сигнатур сетевых атак, для заполнения которых разработаны специальные языки описания
231
атак, такие как Snort, P-BEST, N-Code, ASD, STATL, RUSSEL, NASL и др. Различают языки, учитывающие и не
учитывающие динамику реализации атаки.
Типичный представитель языков описания атак, не
учитывающих динамику реализации атаки, разработан
для системы обнаружения атак Snort. Каждая сигнатура в
ней разделена на две части:
заголовок;
тело сигнатуры.
Заголовок сигнатуры включает в себя информацию
о типе протокола, а также сетевые адреса и номера портов
отправителя и получателя, по отношению к которому реализуется атака. Тело сигнатуры размещается в скобках и
конкретизирует условия, при которых реализуется атака.
Пример сигнатуры, идентифицирующей одну из
атак на WEB-сервер с использованием протокола межсетевого взаимодействия HTTP, приведен на рис. 3.10.
аlert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:
"WEB-ATTACKS nmap command attempt"; flags: A; content:
"nmap%20"; nocase; sid:1361; rev:1; classtype: web-application-attack;)
Рис. 3.10. Пример сигнатуры атаки на web-сервер
с использованием программы nmap
В начале заголовка сигнатуры определяется ее тип.
Описание типов сигнатур представлено в табл. 3.7.
232
Таблица 3.7
Описание типов сигнатур атак
Тип сигнатуры
Описание
alert
при обнаружении атаки с сигнатурой этого типа система обнаружения атак выдает соответствующее
предупреждение на консоль администратора
pass
при обнаружении атаки с сигнатурой этого типа пакеты данных отбрасываются и не подвергаются
дальнейшей обработке
activate
данный тип сигнатур аналогичен типу «alert», однако
он позволяет дополнительно активизировать (выполнить) другие сигнатуры типа «dynamic» (см. ниже)
dynamic
сигнатуры данного типа могут быть активизированы
сигнатурами «activate»
Кроме указания типа сигнатуры в заголовке определяется также тип протокола, к которому относится данная сигнатура – «TCP», «UDP», «ICMP», «IP» или др. Заголовок сигнатуры также содержит список IP-адресов и
номеров портов, по отношению к которым будет выполняться сигнатура. IP-адрес записывается в формате CIDR
(см. раздел 1.3). При необходимости указания нескольких
IP-адресов они могут быть определены в виде списка
(например, [194.170.3.0/24, 192.168.3.0/24]). При отсутствии необходимости указания конкретного перечня IPадресов или номеров портов, используется служебное слово «any», подразумевающее «любой» IP-адрес или номер
порта.
В случае необходимости определения диапазона
номеров портов используется символ «:», например выражение «1:1024» определяет диапазон номеров портов с 1
до 1024.
233
В заголовке сигнатуры также определяется направление передачи пакета данных, с использованием знаков
« -> », « <- », « <> ». Знак « -> » указывает, что анализируется только трафик, который поступил от отправителя с
любым IP-адресом и номером порта к получателю c IPадресами 194.170.3.0/24 и номером порта 80. Знак « <- »
соответствует обратному направлению трафика. Знак
« <> » применяется в случае, если анализируется трафик,
который передается в обоих направлениях.
Тело сигнатуры конкретизирует фрагмент пакета
данных, к которому будет применена сигнатура, а также
задает вспомогательные параметры. Тело сигнатуры размещается между открывающей и закрывающей скобкой.
Все параметры, содержащиеся в теле сигнатуры, имеют
следующий формат: «имя параметра : значение;».
В приведенном примере сигнатуры указывается,
что должно выводиться сообщение об атаке на web-сервер
(web-атаке), если нарушитель использует порт № 80 (порт
протокола HTTP), программу nmap, в пакете установлен
флаг ответа на запрос ACK (флаг А), в тексте имеется команда на использование программы nmap, при этом игнорируется регистр ее записи (nocase), указывается идентификационный номер атаки (1361), используемая версия
языка описания (версия 1) и тип атаки.
Типичным представителем языка описания атак,
учитывающего динамику их реализации, является язык
STATL, который разработан в университете г. СантаБарбара и применяется в таких системах обнаружения
атак, как STAT, USTAT и NETSTAT.
Описываемая на этом языке атака рассматривается
как множество состояний и переходов системы обнаружения. При этом для описания состояния используются переменные, определяющие объекты и события, представ234
ленные в сигнатуре атаки. Переходы ассоциируются с новыми событиями в системе, влияющими на исполнение
сценария атаки (например, запуск приложения, открытие
TCP-соединения). Пространство переходов ограничено событиями, характерными для сигнатур (например, открытие
TCP-соединения на специфичный порт).
Краткая характеристика некоторых наиболее известных типовых атак в ИТКС, функционирующих с использованием стека протоколов TCP/IP, приведена в
табл. 3.8.
235
Таблица 3.8
Характеристика некоторых типовых сетевых атак в информационно-телекоммуникационных системах
№
п/п
1
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
Атаки, направленные на выявление данных об ИТКС
Анализ сетевого трафика («Sniffing»)
Выявить содержание служебных заголовков (сетевые адреса, открытые порты, интенсивность
запросов, номера пакетов и др.), выявить пароли и идентификаторы пользователей и т.п.
Внешний
Уязвимости протоколов межсетевого взаимодействия Нарушителю необходимо пройти процедуру идентификации (по имени) и аутентификации (по паролю). Однако для аутентификации используются пароли, передаваемые по сети в открытом, незашифрованном виде.
Маршрутизатор
4U
Сервер
сети №1
Маршрутизатор
Сервер
сети №2
4 4U U
Хост
1
Хост 1
Хост 2
Хост 2
Сниффер
Хост M
Хост N
Программы, которые могут применяться при реализации атаки
Объект атаки
Нарушитель перехватывает трафик между абонентами двух сетей с использованием своего компьютера и специальной программы перехвата пакетов
Программы перехвата сетевых пакетов («снифферы») - Dsniff, Sniff Pro LAN, Winsniffer, TCPSpy,
NTsniffer, Netmon, Etherscan Analyzer, ethdump, Buttsniffer, Session Wall, Netman, Satan, ISS и др.
Сетевой трафик
236
Чаще всего используются протоколы TELNET протокол виртуального терминала, позволяющий
с удаленных хостов подключаться к серверам, и
FTP (File Transfer Protocol) - протокол передачи
файлов по сети.
Продолжение табл. 3.8
№
п/п
2
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
UDP (User Datagram Protocol) - дейтаграммный
протокол передачи данных без предварительного
соединения с абонентом
UDP-сканирование
Выявить открытые порты
Внешний
Уязвимость организации взаимодействия абонентов сети: на запросы абонентов операционная
система может давать ответ
Без данных
UDP-пакет
Есть ответ:
unreachable»
«Destination
Вывод: порт
закрыт
Программы, которые могут применяться при реализации атаки
Объект атаки
Наличие ответа
Нет ответа
Вывод: или порт открыт, или
обмен данными блокируются
пакетным фильтром
Nmap и протокол UDP операционной системы
Хост сети
Хост – элемент сети, имеющий свой сетевой адрес
237
Продолжение табл. 3.8
№
п/п
3
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
SYN – поле в служебном заголовки пакета,
оформленного в соответствии с протоколом TCP
SYN-сканирование
Выявление нумерации текущих и ответных пакетов, наличия открытых портов, факта взаимодействия абонентов и др.
Внешний
Уязвимость в организации сетевого взаимодействия
1 вариант: перехват «полуоткрытых» соединений – пакетов с флагом ACK по одному из портов
SYN, N1исх
Абонент №1
SYN2, N2исх, ACK2, N2отв=N1исх+1
Абонент №2
Перехват ответных
пакетов
«сниффером»
Осуществляется запрос на соединение по определенному порту, ответные пакеты перехватываются.
2 вариант: перехват «полуоткрытых» соединений – пакетов с флагом ACK по нескольким портам
SYN, N1-Nkисх
SYN2, Nисх2, ACK2, N2отв=Nkисх+1
Абонент №1
Абонент №2
Перехват ответных
пакетов
«сниффером»
Программы, которые могут применяться при реализации атаки
Объект атаки
Осуществляется запрос на соединение сразу по нескольким портам, ответные пакеты по каждому
открытому порту перехватываются
Nmap и протокол TCP операционной системы
Хост сети
238
ACK – поле в служебном заголовке пакета, заполняемое, если пакет является ответным на запрос абонента.
N1исх – номер исходящего пакет при запросе
соединения от первого абонента.
N2отв – номер ответного пакета (квитанции на
запрос)
Продолжение табл. 3.8
№
п/п
4
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Инверсное отображение адресов
Вывить IP-адреса сети
Внешний
Уязвимость в организации сетевого взаимодействия
Нарушитель
Атакуемый хост
ICMP-ответ на
непосланный ICMPзапрос
Сообщение
host_unreachable
(хост
недоступен),
если
хост
не
существует
Программы, которые могут применяться при реализации атаки
Объект атаки
Примечание
Нет ответа, если
хост существует
Утилита Ping
Хост сети
239
ICMP (Internet Control Message Protocol) - протокол предназначенный для обмена информацией
об ошибках между маршрутизаторами сети и ее
узлами, при этом сообщается о невозможности
доставки пакета, о превышении времени жизни
или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об
изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.
Продолжение табл. 3.8
№
п/п
5
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
FIN – поле в служебном заголовке пакета; установленный в этом поле «флаг» указывает на то,
что абонент завершает отправку данных
FIN-сканирование
Выявить версию операционной системы
Внешний
Уязвимость в организации сетевого взаимодействия
Нарушитель
Атакуемый хост
TCP-пакет с
флагом FIN
TCP-пакет с
флагом RST
Нарушитель отправляет пакет с установленным в служебном заголовке флагом FIN, в то время
как сеанс даже не начинался. Разные операционные системы по-разному реагируют на такой пакет; Windows, Free BSD и другие не посылают в ответ ничего, что позволяет ограничить перечь
возможных операционных систем
Программы, которые могут применяться при реализации атаки
Объект атаки
Nmap и протокол TCP операционной системы
Хост сети
240
RST – поле в служебном заголовке пакета, установленный а нем флаг указывает на то, что связь
экстренно прерывается
Продолжение табл. 3.8
№
п/п
6
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
ACK (Acknowledgment field significant) –поле в
заголовке TCP-пакета, фиксирующее факт ответа
на запрос о соединении с абонентом
ACK-сканирование
Выявление открытых портов сканируемого хоста
Внешний
Уязвимость в организации сетевого взаимодействия
Нарушитель
Атакуемый хост
TCP-пакет c флагом ACK cо
случайными номерами
пакетов
TCP-пакет с
флагом RST
ICMP-пакет
c сообщением о
недоступности порта
Нет ответа
Порт открыт
Порт
фильтруемый
Порт закрыт или
фильтруемый
Программы, которые могут применяться при реализации атаки
Объект атаки
Примечание
Nmap и протокол TCP операционной системы
Хост сети
241
Продолжение табл. 3.8
№
п/п
№
Наименование
характеристик
атаки
Значение характеристик атаки
Примечание
Сетевые атаки типа «Отказ в обслуживании»
7
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
«Смертельный пинг» (Ping of Death)
Нарушить функционирование хоста сети
Внешний, внутренний
Уязвимость процедуры сборки фрагментированных пакетов сообщений
Нарушитель
Сильно фрагментированные пакеты,
общая длина которых превышает
65536 байт
Атакуемый хост
Утилита Ping
Переполнение
буфера, система
зависает
Программы, которые могут применяться при реализации атаки
Объект атаки
Служба операционной системы Echo, предназначенная для тестирования сетевых соединений по
«эху сообщений», утилита Ping (Packet Internet Groper)
Хост сети
242
Продолжение табл. 3.8
№
п/п
8
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
«Шторм ICMP-пакетов» (Ping Flooding)
Нарушение функционирования хоста сети
Внешний, внутренний
Уязвимость, связанная с ограниченным объемом буфера в операционной системе для обработки
входящих сообщений
Большое количество ICMP-пакетов
Нарушитель
Атакуемый хост
Утилита Ping
Переполнение
буфера, система
зависает
Программы, которые могут применяться при реализации атаки
Объект атаки
Примечание
Утилита Ping (Packet Internet Groper)
Хост сети
243
Продолжение табл. 3.8
№
п/п
9
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
«Шторм TCP-запросов» (SYN Flooding)
Нарушение функционирования компьютера
Внешний
Уязвимость, связанная с ограниченным объемом буфера в операционной системе для обработки
входящих сообщений
Нарушитель
Атакуемый хост
SYN, N1-N1kисх
SYN2, N2исх, ACK2, N2отв=N1kисх+1
Квитанции с
заполненными
полями SYN И ACK
не выдаются
Программы, которые могут применяться при реализации атаки
Объект атаки
Из буфера не исключаются
записи об абонентах,
запросивших соединение, до
получения квитанций. Из-за
отсутствия квитанций буфер
переполняется, система
зависает
Стандартные программы, используемые для формирования сообщений, и протокол TCP операционной системы
Хост сети
244
Продолжение табл. 3.8
№
п/п
10
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
Атака Smurf , распределенная атака или DDos-атака (Distributed Denial of service)
Нарушение функционирования хоста сети
Внешний
Уязвимость, обусловленная ограниченной пропускной способностью компьютера
Маршрутизатор
Широковещательный
ICMP-запрос с
имитируемым IP-адресом
Передает ICMP-запрос
по
широковещательному
адресу
ICMP-ответы
Снижение
производительности,
зависание
Программы, которые могут применяться при реализации атаки
Объект атаки
Нарушитель делает широковещательный ICMP-запрос от имени атакуемого хоста, ответы на который приходят от множества компьютеров, до которых дошел этот запрос. Атакуемый хост не в
состоянии обработать все «ICMP-ответы» и зависает или резко замедляет свою работу
Утилита Ping (Packet Internet Groper)
Хост сети
245
Продолжение табл. 3.8
№
п/п
11
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
Сетевые атаки, направленные на получение доступа в операционную среду
Подмена доверенного объекта (атака Митника)
Получение доступа к информационным ресурсам атакуемого компьютера от имени доверенного
хоста
Внешний
Отсутствие надежной аутентификации абонентов сети, линейная зависимость нумерации пакетов
от времени
1)
SYN Flooding
Атакуемый
хост
Нарушитель
Доверенный
хост
2)
SYN, N1исх
SYN2
2о
K2, N
сх, AC
, N2и
1
1исх+
тв=N
SYN, N1kисх, ACK1, N1отв=N2исх +1
3)
RST
1)
Нарушитель проводит атаку «Шторм TCP-запросов» на доверенный хост, в результате
которой тот перестает функционировать и не мешает атаке;
2)
Нарушитель делает запрос на атакуемый хост от имени доверенного хоста;
3)
Нарушитель выдает квитанцию на атакуемый хост о том, что ему разрешено начать сеанс с ним, подбирая номера пакетов и получает доступ
Программы, которые могут применяться при реализации атаки
Объект атаки
Стандартные программы, используемые для формирования сообщений операционной системой
Хосты сети
246
Продолжение табл. 3.8
№
п/п
12
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
Парольная атака
Получение доступа в операционную среду компьютера
Внешний, внутренний
Возможность внедрения специальных программ проникновения в динамическую библиотеку
программ и замены файлов с паролями входа в систему
Нарушитель
Атакуемый хост
Внедрение программы проникновения в
динамическую библиотеку программ
Размещение внедренной программы в
директории System 32
Получение
несанкционированного доступа
в операционную среду
Программы, которые могут применяться при реализации атаки
Объект атаки
Замена файла типа FPNWCLNT.dll с
паролями на поддельный
Специально создаваемые для парольной атаки программы
Хост сети
247
Продолжение табл. 3.8
№
п/п
13
№
Наименование
характеристик
атаки
Наименование атаки
Значение характеристик атаки
Примечание
«ARP-спуффинг» - создание ложного объекта сети с использованием широковещательных запросов по протоколу ARP
Цель атаки
Перенаправление трафика через ложный объект или компьютер нарушителя
ARP (Address Resolution Protocol) – протокол
определения физического адреса сетевого адаптера по его IP-адресу
Атака реализуется только в рамках физического
сегмента сети
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Внутренний
Возможность опережения нарушителем ответа с компьютера доверенного абонента и подмены
ответа. Недостаточный уровень надежности аутентификации сообщений
Абонент
Широковещательный ARP-запрос
с указанием своего IP-адреса
Маршрутизатор
Абонент
Сниффер
Ложный ARP-ответ
Нарушитель
Перенаправлен
ный трафик
Перенаправленный трафик
Программы, которые могут применяться при реализации атаки
Объект атаки
Программы перехвата пакетов («снифферы»), стандартные программы операционных систем для
формирования запросов по ARP-протоколу
Хост сети
248
Окончание табл. 3.8
№
п/п
14
№
Наименование
характеристик
атаки
Наименование атаки
Цель атаки
Источник угрозы
Уязвимость,
используемая
при
реализации атаки
Способ реализации
(типовой сценарий)
Значение характеристик атаки
Примечание
Внедрение в распределенную сеть ложного объекта путем навязывания ложного маршрута
Перенаправление трафика по нужному нарушителю сетевому адресу
Внешний, внутренний
Недостаточный уровень надежности аутентификации сообщений
Абонент
Маршрутизатор
Замена записей
в таблице
маршрутизации
Перенаправленный
трафик
Абонент
Перенаправленный
трафик
Нарушитель
Программы, которые могут применяться при реализации атаки
Протоколы RIP, OSPF,ICMP, SNMP
Объект атаки
Маршрутизаторы сети
Протоколы RIP (Routing Internet Protocol) и OSPF
(Open Shortest Path First) предназначены для обмена информацией между маршрутизаторами
(например, об оптимальных маршрутах).
Протокол ICMP (Internet Control Message Protocol)
позволяет уведомлять о новом маршруте.
Протокол SNMP (Simple Network Management
Protocol) позволяет удаленно управлять маршрутизаторами
249
3.6. Угрозы применения вредоносных программ
Программой с потенциально опасными последствиями или вредоносной программой (ВП) называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество
следующих функций:
скрытия признаков своего присутствия в программной среде компьютера;
самодублирования, ассоциирования себя с другими программами и (или) переноса своих фрагментов в иные области оперативной или внешней
памяти;
разрушения (искажения произвольным образом)
кода программ в оперативной памяти;
выполнения без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные
функции (копирования, уничтожения, блокирования, запуска приложений и т.п.);
сохранения фрагментов информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
искажения произвольным образом, блокирования
и (или) подмены выводимый во внешнюю память
или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти
массивы данных;
подавления информационного обмена в ИТКС;
нарушения работы тестовых, графических редакторов и иных прикладных программ.
250
Под самодублированием здесь понимается процесс
воспроизведения своего собственного кода в оперативной
или внешней памяти компьютера. Ассоциирование – это
интеграция своего кода или его части в код другой программы таким образом, чтобы при некоторых условиях
управление передавалось на код вредоносной программы.
ВП могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИТКС, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, ВП могут
быть внесены в процессе эксплуатации ИТКС с внешних
носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИТКС.
Современные ВП основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых
технологий, обладают широким спектром деструктивных
возможностей (от несанкционированного исследования
параметров ИТКС без вмешательства в ее функционирование до уничтожения защищаемой информации и программного обеспечения ИТКС) и могут действовать во
всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).
Наличие в ИТКС вредоносных программ может
способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Классификация ВП представлена на рис. 3.11.
Основными видами вредоносных программ являются:
251
программные закладки;
классические программные (компьютерные) вирусы;
ВП, распространяющиеся по сети (сетевые черви);
другие ВП, предназначенные, например, для создания скрытых каналов доступа (backdoors), для
организации атак с других компьютеров (boots),
для скрытия работы других вредоносных программ (rootkits), для преодоления системы защиты путем подбора пароля, клавиатурного шпионажа и др.
Следует отметить, что ВП могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою
очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД.
252
Вредоносные программы
По характеру распространения и функционирования
Компьютерные вирусы
По среде обитания
Файловые
Программные закладки
По функциональным особенностям
Программы типа «Троянский
конь»
По способу заражения
Замещающие
Информационные бомбы
Паразитические
Ловушка
Компаньон-вирусы
Сетевые черви
По используемым сетевым средствам для
инфицирования сети
Использующие средства электронной
почты
Использующие средства удаленного
запуска задач
Использующие средства удаленного
терминала
Программная ловушка
По месту активации
Люк (логический люк)
Нерезидентные
Link-вирусы
Файловые черви
Резидентные
Заражающие объектные
модули (OBJ), библиотеки компиляторов (LIB)
и исходные тексты программ
По ассоциации
По использованию механизмов скрытия
Использующие стелс-технологии
Драйверные
В загрузочном секторе диска
(boot-секторе)
В системном загрузчике
винчестера (Master Boot
Record)
С использованием указателя
на активный boot-сектор
Программы-шпионы
Клавиатурные шпионы –кейлоггеры (keyloggers)
Программы сбора данных о компьютерах, статистике посещаемых сайтов, поисковых запросах и
т.п.
Программы, реализующие распределенные атаки с
использованием инфицированных компьютеров и
сетей – боты (bots)
Программы, предназначенные для скрытия других
вредоносных программ – руткиты (rootkits)
Программы обеспечения несанкционированного доступа за счет использования уязвимостей в программном обеспечении – эксплойты (exploits)
Полиморфные
Загрузочные вирусы
По месту записи кода
По назначению
Без модификаций сигнатуры
Программно-аппаратные
Макровирусы
Другие вредоносные программы
Имитаторные
Полуполиморфные
Анализаторы сетевого трафика – снифферы (sniffers)
Загрузочные
Полиморфные с непостоянной основной частью
Программы-«грабители» (Hijackers)
Замаскированные
Полиморфные с постоянным алгоритмом расшифровки
Прикладные
Полиморфные с меняющимся алгоритмом расшифровки
Мутирующие вредоносные программы
Рис. 3.11. Классификация вредоносных программ
253
Программы, устанавливающие потайной вход в систему – бэкдоры (backdoors)
Краткая характеристика основных ВП сводится к
следующему [27].
Файловые вирусы при своем размножении тем или
иным способом используют файловую систему какой-либо
операционной системы. По способу заражения файлов вирусы делятся на замещающие («overwriting»), паразитические («parasitic»), компаньон-вирусы («companion»),
«link»-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и
исходные тексты программ.
Метод заражения вируса «overwriting» является
наиболее простым: вирус записывает свой код вместо кода
заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают
себя, так как операционная система и приложения довольно быстро перестают работать.
К паразитическим относятся все файловые вирусы,
которые при распространении своих копий обязательно
изменяют содержимое файлов, оставляя сами файлы при
этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало, середину или конец файлов. Отдельно
следует отметить довольно незначительную группу паразитических вирусов, не имеющих «точки входа» (EPOвирусы - Entry Point Obscuring viruses). К ним относятся
вирусы, не записывающие команд передачи управления в
заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов.
Такие вирусы записывают команду перехода на
свой код в какое-либо место в середину файла и получают
управление не непосредственно при запуске зараженного
файла, а при вызове процедуры, содержащей код передачи
254
управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате
вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных
условиях.
К категории «компаньон» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается
файл-двойник, причем при запуске зараженного файла
управление получает именно этот двойник, то есть вирус.
Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением .COM, если в одном каталоге присутствуют два
файла с одним и тем же именем, но различными расширениями имени - .COM и .EXE.
Такие вирусы создают для EXE-файлов файлыспутники, имеющие то же самое имя, но с расширением
.COM, например, для файла XCOPY.EXE создается файл
XCOPY.COM. Вирус записывается в COM-файл и никак не
изменяет EXE-файл.
При запуске такого файла DOS первым обнаружит и
выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл. Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо
другое имя, запоминают его (для последующего запуска
файла-хозяина) и записывают свой код на диск под именем
заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под
именем XCOPY.EXE. При запуске управление получает
код вируса, который затем запускает оригинальный
XCOPY, хранящийся под именем XCOPY.EXD. Интересен
тот факт, что данный метод работает, по-видимому, во
255
всех операционных системах. В третью группу входят так
называемые «Path-companion» вирусы. Они либо записывают свой код под именем заражаемого файла, но «выше»
на один уровень в прописываемых путях (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо
переносят файл-жертву на один подкаталог выше и т.д.
Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или
особенности других операционных систем.
Файловые черви (worms) являются, в некотором
смысле, разновидностью компаньон-вирусов, но при этом
никоим образом не связывают свое присутствие с какимлибо выполняемым файлом. При размножении они всего
лишь копируют свой код в какие-либо каталоги дисков в
надежде, что эти новые копии будут когда-либо запущены
пользователем. Иногда эти вирусы дают своим копиям
«специальные» имена, чтобы подтолкнуть пользователя на
запуск своей копии, например, INSTALL.EXE или
WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые
вирусы записывают команду запуска зараженного файла в
BAT-файлы. Не следует путать файловые вирусы-черви с
сетевыми червями. Первые используют только функции
файловой системы в составе операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.
Link-вирусы, как и компаньон-вирусы, не изменяют
физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему
выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
256
Вирусы, заражающие библиотеки компиляторов,
объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них
свой код в формате объектного модуля или библиотеки.
Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса
в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл.
Получив управление, файловый вирус совершает
следующие общие действия:
проверяет оперативную память на наличие своей
копии и инфицирует память компьютера, если
копия вируса не найдена (в случае, если вирус
является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем
сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;
выполняет дополнительные (если они есть)
функции: деструктивные действия, графические
или звуковые эффекты и т.д. (дополнительные
функции резидентного вируса могут вызываться
спустя некоторое время после активизации в зависимости от текущего времени, конфигурации
системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов,
устанавливает свои счетчики и т.д.);
возвращает управление основной программе (если она есть). Паразитические вирусы при этом
либо лечат файл, выполняют его, а затем снова
заражают, либо восстанавливают программу (но
не файл) в исходном виде (например, у COM257
программы восстанавливается несколько первых
байт, у EXE-программы вычисляется истинный
стартовый адрес, у драйвера восстанавливаются
значения адресов программ стратегии и прерывания).
Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем
сложнее его обнаружить (если, конечно же, этот вирус неизвестен). Нерезидентные вирусы часто являются «медленными» - большинство из них при запуске заражает
один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления
новой версии антивируса, настроенной на данный вирус).
Существуют, конечно же, нерезидентные «быстрые» вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое
(иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус. Скорость распространения (инфицирования) у резидентных вирусов обычно выше, чем у нерезидентных - они заражают файлы при какихлибо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе. Скорость распространения
(инфицирования) резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и
т.д.
Таким образом, основные деструктивные действия,
выполняемые файловыми вирусами, связаны с поражением
файлов (чаще исполняемых или файлов данных), несанк258
ционированным запуском различных команд (в том числе,
команд форматирования, уничтожения, копирования и
т.п.), изменением таблицы векторов прерываний и др.
Вместе с тем, могут выполняться и многие деструктивные
действия.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot
Record), либо меняют указатель на активный boot-сектор.
Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в
память и передает на нее (т.е. на вирус) управление. После
этого начинают выполняться инструкции вируса, который:
как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и
считывает с диска свое продолжение (если оно
есть);
перехватывает необходимые вектора прерываний
(обычно – INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.
В дальнейшем загрузочный вирус перехватывает
обращения операционной системы к дискам и инфицирует
их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.
Наконец, большинство загрузочных вирусов перезаписывают себя на флоппи-диски.
Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые
системы обработки данных (текстовые редакторы, элек259
тронные таблицы и т.д.). Для своего размножения такие
вирусы используют возможности макро-языков и при их
помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для пакета прикладных
программ Microsoft Office.
Для существования вирусов в конкретной системе
(редакторе) необходимо наличие встроенного в систему
макро-языка с возможностями:
1) привязки программы на макро-языке к конкретному файлу;
2) копирования макро-программ из одного файла в
другой;
3) получения управления макро-программой без
вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макро-языки: Word Basic, Visual Basic for
Applications. При этом:
1) макро-программы привязаны к конкретному
файлу или находятся внутри файла;
2) макро-язык позволяет копировать файлы или перемещать макро-программы в служебные файлы системы и
редактируемые файлы;
3) при работе с файлом при определенных условиях
(открытие, закрытие и т.д.) вызываются макро-программы
(если таковые есть), которые определены специальным образом или имеют стандартные имена.
Данная особенность макро-языков предназначена
для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать
так называемый «автоматизированный документооборот».
260
С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.
Большинство макро-вирусов активны не только в
момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют,
однако, вирусы, использующие приемы скрытия своего
кода и хранящие свой код в виде не-макросов. Известно
три подобных приема, все они используют возможность
макросов создавать, редактировать и исполнять другие
макросы. Как правило, подобные вирусы имеют небольшой (иногда - полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает
новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть
следы присутствия вируса). Основной код таких вирусов
присутствует либо в самом макросе вируса в виде текстовых строк (иногда - зашифрованных), либо хранится в области переменных документа.
К сетевым червям относятся вирусы, которые для
своего распространения активно используют протоколы и
возможности локальных и глобальных сетей. Основным
принципом работы сетевого червя является возможность
самостоятельно передать свой код на удаленный сервер
или рабочую станцию. «Полноценные» сетевые черви при
этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней
мере, «подтолкнуть» пользователя к запуску зараженного
файла.
Программная закладка – это программа, скрытно
внедренная в систему, или дописанный фрагмент прикладной программы, позволяющие нарушителю осуществлять
261
несанкционированные действия. К программным закладкам относятся программы типа «Троянский конь», «информационные бомбы», программно-аппаратные и программные ловушки и люки в программном коде.
Программы типа «Троянский конь» – наиболее распространенные сегодня и весьма опасные программные
закладки (их называют еще «троянские программы», «трояны», «троянцы»). Такая закладка представляет собой программу, которая, являясь частью другой программы (не
декларированной в ее документации), позволяет скрытно
от основной программы выполнять некоторые дополнительные несанкционированные вредоносные действия. Таким образом, такие программы реализуют недекларированные возможности полезного программного продукта.
Принципиальное их отличие от классических вирусов состоит в том, что вирус представляет собой самостоятельно
размножающуюся программу, а «трояны» не имеют возможности самостоятельного распространения. Следует отметить, что вредоносные программы быстро развиваются и
сегодня встречаются смешанные программы (гибриды),
вместе с которыми распространяются и «трояны».
Программы типа «Информационная бомба» – это
несаморазмножающаяся вредоносная программа одноразового действия, срабатывающая при определенных условиях (по команде извне, при запуске определенной программы и др.) и осуществляющая крупномасштабное уничтожение системной информации и информации пользователей.
Ловушка – это несаморазмножающаяся программа,
осуществляющая несанкционированный перехват информации и ее запись в память или передачу в канал связи.
Одной из разновидностей ловушки является программная
262
ловушка, использующая ошибки и неоднозначности кода
системной или, как правило, прикладной программы.
Люк – это несаморазмножающаяся программа,
набор инструкций в коде программы, дающих возможность несанкционированного доступа к защищаемой информации. Разновидностью люка является логический
люк, реализуемый в операционной системе или прикладной программе и позволяющий злоумышленнику (его программе) получить привилегированные функции или режим
работы, которые ему не были разрешены [28].
По ассоциированности все они могут быть:
программно-аппаратными или программными, то
есть ассоциируемыми с аппаратными средствами
или с программами, выполняемыми в операционной среде компьютера или компьютерной сети;
имитаторными, интерфейс которых сделан похожим на интерфейс некоторых служебных программ, требующих от пользователя ввод, например, пароля, идентификатора, ключа и т.д.;
драйверными, ассоциированными с драйверами
операционной системы (то есть с программами
управления операционной системой периферийными устройствами);
загрузочными, ассоциированными с программами начальной загрузки (по аналогии с загрузочными вирусами);
замаскированными, то есть маскируемыми под
программные средства оптимизации (файловые
архиваторы, дефрагментаторы) или под программы игрового и развлекательного назначения;
прикладными, ассоциированными с конкретными
прикладными программами.
263
По алгоритмам работы вредоносные программы могут быть резидентными или нерезидентными, с использованием стелс-алгоритмов, с самошифрованием и полиморфичностью, с использованием нестандартных приемов.
Резидентный вирус при заражении оставляет в оперативной памяти компьютера свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными
вплоть до выключения компьютера или перезагрузки операционной системы.
Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие
резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной
системы берет на себя редактор, а понятие «перезагрузка
операционной системы» трактуется как выход из редактора. В многозадачных операционных системах время «жизни» резидентного вируса также может быть ограничено
моментом закрытия зараженного окна, а активность загрузочных вирусов в некоторых операционных системах
ограничивается моментом инсталляции дисковых драйверов OC. "
«Стелс»-вирусы – это вредоносные программы, которые теми или иными способами скрывают факт своего
присутствия в системе.
Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе.
Наиболее распространенным стелс-алгоритмом является
264
перехват запросов операционной системы на чтение/запись
зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. Необходимо отметить, что
известны «стелс»-вирусы всех типов— загрузочные, файловые, макровирусы и др.
В частности, загрузочные «стелс»-вирусы для
скрытия своего кода используют два основных способа.
Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (прерывание
INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым в том числе антивирусами, не способными «лечить» оперативную память
компьютера. Возможен перехват команд чтения секторов
на уровне более низком, чем INT 13h.
Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через
порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск.
Большинство файловых «стелс»-вирусов использует те же приемы, что приведены выше: они либо перехватывают обращения к файлам (INT 21h), либо временно лечат файл при его открытии и заражают при закрытии. Так
же, как и для загрузочных вирусов, существуют файловые
вирусы, использующие для своих «стелс»-функций перехват прерываний более низкого уровня — вызовы драйверов DOS, INT 25h и даже INT 13h. Полноценные файловые
«стелс»-вирусы, использующие первый способ скрытия
своего кода, в большинстве своем достаточно громоздки,
поскольку им приходится перехватывать большое количе-
265
ство DOS-функций работы с файлами: открытие-закрытие,
чтение-запись, поиск, запуск, переименование и т. д.
Некоторые вирусы используют часть функций полноценного «стелс»-вируса. Чаще всего они перехватывают
функции DOS FindFirst и FindNext (INT 21h, AH=llh, 12h,
4Eh, 4Fh) и уменьшают размер зараженных файлов. Такой
вирус невозможно определить по изменению размеров
файлов, если, конечно, он резидентно находится в памяти.
В случае макро-вирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.
К полиморфик-вирусам относятся вредоносные программы, детектирование которых невозможно (или крайне
затруднительно) осуществить при помощи так называемых
вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами - шифрованием основного кода вируса
с непостоянным ключом и случайным набором команд
расшифровщика или изменением самого выполняемого
кода вируса. Существуют также другие, достаточно экзотические примеры полиморфизма - DOS-вирус «Bomber»,
например, не зашифрован, однако последовательность команд, которая передает управление коду вируса, является
полностью полиморфной.
Существует деление полиморфик-вирусов на уровни в зависимости от сложности кода, который встречается
в расшифровщиках этих вирусов. Такое деление впервые
предложил д-р. Алан Соломон.
Уровень 1: вирусы, которые имеют некоторый
набор расшифровщиков с постоянным кодом и при заражении выбирают один из них. Такие вирусы являются
«полу-полиморфиками» и носят также название «олигоморфик» (oligomorphic). Примеры: «Cheeba», «Slovakia»,
«Whale».
266
Уровень 2: расшифровщик вируса содержит одну
или несколько постоянных инструкций, основная же его
часть непостоянна.
Уровень 3: расшифровщик содержит неиспользуемые инструкции – «мусор» типа NOP, CLI, STI и т.д.
Уровень 4: в расшифровщике используются взаимозаменяемые инструкции и изменение порядка следование
(перемешивание) инструкций. Алгоритм расшифрования
при этом не изменяется.
Уровень 5: используются все перечисленные выше
приемы, алгоритм расшифрования непостоянен, возможно
повторное шифрование кода вируса и даже частичное
шифрование самого кода расшифровщика.
Уровень 6: permutating-вирусы, в которых изменению подлежит основной код вируса, при этом он делится
на блоки, которые при заражении переставляются в произвольном порядке с сохранением работоспособности вируса. Подобные вирусы могут быть незашифрованы.
Кроме шифрования используются и иные, часто нестандартные приемы скрытия для того, чтобы как можно
глубже спрятать код в ядре операционной системы, защитить от обнаружения резидентной копии, затруднить лечение (например, поместив свою копию в Flash-BIOS) и т.д.
Основными деструктивными действиями, выполняемыми вредоносными программами, могут быть:
уничтожение информации в секторах дискет и
винчестера;
исключение возможности загрузки операционной
системы (компьютер «зависает»);
искажение кода загрузчика;
форматирование дискет или логических дисков
винчестера;
закрытие доступа к COM- и LPT-порты;
267
замена символов при печати текстов;
вызывание подергивания экрана;
изменение метки диска или дискеты;
создание псевдосбойных кластеров;
создание звуковых и визуальных (например, падение букв на экране) эффектов;
порча файлов данных;
перезагрузка компьютера;
вывод на экран разнообразных сообщений;
отключение периферийных устройств (например,
клавиатуры);
изменение палитры экрана;
заполнение экрана посторонними символами или
изображениями;
погашение экрана и перевод в режим ожидания
ввода с клавиатуры;
шифрование секторов винчестера;
выборочное уничтожение символов, выводимых
на экран при наборе с клавиатуры;
уменьшение объема оперативной памяти;
вызов печати содержимого экрана;
блокирование записи на диск;
уничтожение таблицы разбиения (Disk Partition
Table), после этого компьютер можно загрузить
только с флоппи-диска;
блокирование запуска исполняемых файлов;
блокирование доступа к винчестеру и др.
В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Сегодня известно более 500 тысяч сигнатур компьютерных вирусов. Вместе с тем, далеко
не все из них представляют реальную угрозу. Во многих
268
случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что
ряд вредоносных программ уже не способны внедриться в
них. Чаще всего основную опасность представляют новые
вредоносные программы.
3.7. Угрозы утечки информации по нетрадиционным
информационным каналам
3.7.1. Понятия и классификация скрытых каналов
Нетрадиционный информационный канал – это канал скрытной передачи информации с использованием
традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим. В соответствии с [29, 30] такой канал называют скрытым каналом (СК).
Для формирования нетрадиционных каналов могут
использоваться методы:
компьютерной стеганографии;
основанные на манипуляции различных характеристик ресурсов ИТКС, которые можно получать
санкционировано (например, времени обработки
различных запросов, объемов доступной памяти
или доступных для чтения идентификаторов
файлов или процессов и т.п.).
Следует отметить, что СК создается нарушителем,
как правило, за счет применения вредоносной программы
– агента нарушителя, которая используется в режиме систематического взаимодействия с нарушителем в интересах организации атаки на ИТКС. Опасность СК обусловлена возможностью несанкционированного доступа нарушителя в операционную среду ИТКС (к информационным ре269
сурсам) и воздействия на защищаемую информацию. Общая схема функционирования СК, согласно [29], представлена на рис. 3.12.
Рис. 3.12. Общая схема функционирования скрытого
канала в информационно-телекоммуникационной системе
На рис. 3.12 цифрами обозначены:
(1) – замкнутый контур АС, отделяющий объект
информатизации от внешней среды;
(2) – объект в составе АС (элемент АС), обрабатывающий информацию ограниченного доступа,
либо критически важную функция КВСИИ;
(3) – санкционированный канал передачи данных между субъектом 4 и объектом 2;
(4) – субъект АС, имеющий санкционированный
доступ к объекту 2 и субъекту 9;
(5) – агент нарушителя (как правило, это программная или программно-аппаратная закладка),
находящийся в замкнутом контуре 1 и взаимодействующий с объектом 2 от имени субъекта 4;
(6) – санкционированный канал передачи данных между субъектами 4 и 9, посредством кото-
270
рого организован СК между агентом 5 и нарушителем 8;
(7) – инспектор (программное, программноаппаратное, аппаратное средство или лицо), контролирующий информационное взаимодействие,
пересекающее контур 1 и осуществляемое посредством канала 6, субъекта 4 с субъектом 9;
(8) – нарушитель (злоумышленник), целью которого является несанкционированный доступ к информации ограниченного доступа либо деструктивное информационное воздействие на АС;
(9) – субъект, находящийся вне контура 1, с которым субъект 4 осуществляет санкционированное информационное взаимодействие.
Согласно схеме, изображенной на рис. 3.12, существенными особенностями функционирования СК являются следующие:
наличие инспектора, контролирующего информационное взаимодействие субъекта, имеющего
санкционированный доступ к атакуемому объекту и к внешней среде;
наличие агента нарушителя внутри замкнутого
контура, отделяющего атакуемый объект от
внешней среды.
Классификация СК приведена на рис. 3.13 [29].
СК могут быть сформированы на различных уровнях функционирования ИТКС:
на аппаратном уровне;
на уровне микрокодов и драйверов устройств;
на уровне операционной системы;
на уровне прикладного программного обеспечения.
271
Скрытые каналы
По механизму передачи информации
Скрытые каналы по времени
По пропускной способности
Скрытые каналы с
низкой
пропускной
способностью
Скрытые каналы статистические
Скрытые каналы с
высокой пропускной
способностью
Скрытые каналы по памяти
По структурированности информационных объектов, используемых для сокрытия информации
Скрытые каналы по памяти, основанные на сокрытии информации в
структурированных данных
По уровню программноаппаратного обеспечения
информационной системы
Скрытые каналы на
уровне операционной
системы
Скрытые каналы на
уровне прикладного
программного обеспечения
Скрытые каналы по памяти, основанные на сокрытии информации в
неструктурированных
данных
Скрытые каналы на
уровне
микрокода
чипсета
Скрытые каналы на
уровне аппаратного
обеспечения
Рис. 3.13. Классификация скрытых каналов передачи
данных
272
Отличительной особенностью СК, обусловливающей возможность его существования, являются предусмотренные разработчиками ИТКС и необходимые для работы системы легальные (разрешённые) каналы передачи
данных.
В частности взаимодействие между субъектами 4 и
9 является санкционированным и необходимым для правильной работы ИТКС. Задача агента 5 заключается в том,
чтобы обеспечить регулярное взаимодействие между агентом и злоумышленником 8. Агент должен передать информацию ограниченного доступа нарушителю, либо по
команде нарушителя оказать воздействие на критически
важную функцию ИТКС. Скрытность канала взаимодействия между нарушителем и агентом заключается в том,
что субъект 4, инспектор 7 и субъект 9 не обнаруживают
факт передачи информации или команды. Взаимодействие
между субъектом 4 и субъектом 9 может быть как сетевым,
так и происходить в рамках одной ИТКС.
3.7.2. Методы организации скрытых каналов по памяти
Возможность организации СК по памяти основана
на наличии памяти, доступной передающему и принимающему субъектам. Скрытость таких каналов определяется
тем, что нарушитель или иной сторонний наблюдатель не
знает того места в памяти, где записана скрываемая информация. В СК по памяти предполагается использование
ресурсов памяти, однако способ использования памяти не
учитывается разработчиками системы защиты и поэтому
не может выявляться средствами защиты. СК по памяти
подразделяются на скрытые каналы, основанные на сокрытии информации в структурированных и неструктурированных данных [29].
273
Для организации СК по памяти при сокрытии информации в структурированных данных используется
встраивание данных в информационные объекты с формально описанной структурой и формальными правилами
обработки.
При этом применяются:
методы, основанные на использовании особенностей внутренних форматов файлов, применяемых, например, современными текстовыми процессорами, когда ряд полей, не отображаемых
при редактировании файла, могут быть использованы для вставки скрытой информации;
методы, основанные на использовании особенностей форматов, предусмотренных в стандартных
протоколах сетевого взаимодействия, когда часть
информации (например, некоторые служебные
поля пакетов данных), передаваемой в формате
этих протоколов, является избыточной и, как
правило, не используется легальными участниками обмена информацией. Наличие такой избыточности позволяет организовать СК, размещая
дополнительные данные в основном канале без
ущерба целостности легальной информации. Такие каналы называются пассивными (агент
нарушителя использует в качестве носителя уже
существующие информационные потоки);
методы, основанные на использовании механизмов обработки ошибок современных сетевых
программных средств, позволяющие организовать СК активного типа. Например, агент нарушителя инициирует запросы по протоколу DNS с
требованием поиска сетевого адреса внешнего
ресурса и к реально существующему искомому
274
адресу агент добавляет дополнительные данные в
открытом или зашифрованном виде, что, как
правило, не выявляется локальным сервером доменных имён.
Примеры некоторых наиболее изученных сегодня
методов организации СК по памяти с сокрытием информации в структурированных данных приведены в табл. 3.9.
Таблица 3.9
Некоторые методы организации скрытых каналов
по памяти с сокрытием информации
в структурированных данных
Протокол
сетевого взаимодействия
TCP, IP, MSNP
UDP
DNS
SIP, RTP
Метод
сокрытия
Использование служебных
полей
заголовка
пакета
Использование номеров
портов в заголовке пакета
Использование
строки
запроса адреса
Добавление
опциональных заголовков к пакету
Достоинства
скрытого
канала
Высокая
пропускная способность, простота
реализации
Простота реализации, высокая
сложность обнаружения
Высокая
пропускная способность, крайняя
простота реализации
Высокая
пропускная способность, сильная
защита от обнаружения
275
Недостатки
скрытого
канала
Слабая
защита от
обнаружения и уничтожения
Низкая
пропускная
способность
Слабая
защита от
обнаружения
Высокая
сложность
реализации
Для организации СК по памяти при сокрытии информации в неструктурированных данных используется
встраивание данных в информационные объекты без учёта
формально описанной структуры. Такие каналы принято
называть стеганографическими.
Методы компьютерной стеганографии предназначены для сокрытия факта передачи сообщения путём
встраивания скрываемой информации в обычные текстовые, графические, аудио- или видеофайлы и основаны на
использовании специальных свойств компьютерных форматов хранения и передачи аудио, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека. Наибольшее развитие и
применение в настоящее время находят методы сокрытия
информации в графических контейнерах. Это обусловлено
сравнительно большим объёмом информации, который
можно разместить в таких контейнерах без заметного искажения изображения, наличием априорных сведений о
размерах контейнера, существованием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания
информации, проработанностью методов цифровой обработки изображений и цифровых форматов представления
изображений. Классификация методов компьютерной стеганографии приведена на рис. 3.14, а их сравнительная характеристика – в табл. 3.10.
276
Рис. 3.14. Классификация методов компьютерной стеганографии
277
Таблица 3.10
Сравнительная характеристика стеганографических методов сокрытия информации
Стеганографические методы
Методы сокрытия в наименьших значащих битах (НЗБ)
Методы сокрытия на основе распределения по спектру
Методы сокрытия на основе использования эхо-сигнала
Методы сокрытия в фазе сигнала
Метод сокрытия на основе пробелов
Метод сокрытия на основе синтаксических особенностей текста
Краткая характеристика методов
Недостатки
Методы сокрытия информации в аудио-контейнерах
Основаны на записи сообщения в наименьшие знача- Низкая
скрытность.
Низкая
щие биты исходного сигнала. В качестве контейнера устойчивость к искажениям
используется, как правило, несжатый аудио-сигнал
Основаны на генерации псевдослучайного шума, яв- Низкий коэффициент использоляющегося функцией внедряемого сообщения, и под- вания контейнера. Высокие вымешивании полученного шума к основному контейне- числительные затраты
ру в качестве аддитивной составляющей. Кодирование
информации путём рассеяния кодированных данных
по спектру частот
Основаны на использовании в качестве шумоподобно- Низкий коэффициент использого сигнала самого аудио-сигнала, задержанного на вания контейнера. Значительные
различные периоды времени в зависимости от внедря- вычислительные затраты
емого сообщения ("дозвоночного эха")
Основаны на факте нечувствительности уха человека Малый коэффициент использок абсолютному значению фазы гармоник. Сигнал раз- вания контейнера
бивается на последовательность сегментов, сообщение
встраивается путём модификации фазы первого сегмента
Методы сокрытия информации в текстовых контейнерах
Основан на вставке пробелов в конце строчек, после Метод чувствителен к переносу
знаков препинания, между словами при выравнивании текста из одного формата в друдлины строк
гой. Возможна потеря сообщения. Низкая скрытность
Основан на том, что правила пунктуации допускают Низкая пропускная способность.
неоднозначности при расстановке знаков препинания, Сложность детектирования сочередовании причастных и деепричастных оборотов
общения
Метод сокрытия на основе синонимов
Основан на вставке информации в текст при помощи
чередования слов из какой-либо группы синонимов
Метод сокрытия на основе использования ошибок
Основан на маскировке информационных битов под
естественные ошибки, опечатки, нарушения правил
написания сочетаний гласных и согласных, замене
кириллицы на аналогичные по внешнему виду латинские буквы и др.
Основан на генерации текстового контейнера с использованием набора правил построения предложений. Используется симметричная криптография
Метод сокрытия на основе генерации
квазитекста
278
Преимущества
Высокая ёмкость контейнера
(до 25%)
Высокая скрытность
Высокая скрытность сообщения
Обладает значительно более
высокой скрытностью, чем
методы сокрытия в НЗБ
Большая пропускная
собность
спо-
Сложен применительно к русскому языку в связи с большим
разнообразием оттенков в разных
синонимах
Низкая пропускная способность.
Быстро вскрывается при статистическом анализе
Возможность подобрать такой метод, при котором потребуются весьма сложные
процедуры для раскрытия
сообщения
Один из наиболее перспективных методов. Обладает
сравнительно
высокой
скрытностью сообщения
Прост в применении. Высокая скрытность при анализе
человеком
Низкая пропускная способность.
Бессмысленность
созданного
текста
Скрытность определяется
методом шифрования и, как
правило, весьма высока
Продолжение табл. 3.10
Стеганографические методы
Метод сокрытия на основе использования особенностей шрифта
Методы сокрытия на основе использования кода документа и файла
Методы сокрытия на основе использования жаргона
Методы сокрытия на основе использования чередования длины слов
Методы сокрытия на основе использования первых букв
Методы сокрытия в наименьших значащих битах
Метод сокрытия на основе модификации индексного формата представления
Метод сокрытия на основе использования
автокорреляционной
функции
(АКФ)
Метод сокрытия на основе использования нелинейной модуляции встраиваемого сообщения
Методы сокрытия на основе использования знаковой модуляции встраиваемого сообщения
Метод сокрытия на основе вейвлетпреобразования
Методы сокрытия на основе использования дискретного косинусного преобразования
Краткая характеристика методов
Основан на вставке информации за счёт изменения
типа шрифта и размера букв, а также на возможности
встраивания информации в блоки с неизвестными для
браузера идентификаторами
Основаны на размещении информации в зарезервированных и неиспользуемых полях переменной длины
Основаны на изменении значений слов
Основаны на генерации текста – контейнера с формированием слов определённой длины по известному
правилу кодирования информации
Основаны на внедрении сообщения в первые буквы
слов текста с подбором слов
Недостатки
Легко выявляется при преобразовании масштаба документа при
статистическом стеганографическом анализе
Низкая скрытность при известном формате файла
Низкая пропускная способность.
Узко специализированы. Низкая
скрытность
Сложность формирования контейнера и сообщения
Преимущества
Высокий коэффициент использования контейнера
Сложность составления сообщения. Низкая скрытность
Большая свобода выбора у
оператора, создающего сообщение
Методы сокрытия информации в графических контейнерах
Основаны на записи сообщения в наименьшие знача- Невысокая скрытность передачи
щие биты исходного изображения
сообщения. Низкая устойчивость
к искажениям
Основан на редукции (замене) цветовой палитры и Применяется преимущественно к
упорядочивании цветов в пикселях с соседними номе- сжатым изображениям. Невысорами
кая скрытность
Основан на поиске с применением автокорреляцион- Сложность расчётов
ной функции областей, содержащих сходные данные
Просты в применении
Просты в применении
Достаточно высокая скрытность при анализе человеком
Высокая ёмкость контейнера
(до 25%)
Высокая ёмкость контейнера
Основан на модуляции псевдослучайного сигнала
сигналом, содержащим скрываемую информацию
Низкая точность детектирования.
Искажения
Устойчивость к большинству нелинейных преобразований контейнера
Высокая скрытность сообщения
Основаны на модуляции псевдослучайного сигнала
биполярным сигналом, содержащим скрываемую информацию
Основан на особенностях вейвлет-преобразований
Низкая точность детектирования.
Искажения информации
Высокая скрытность сообщения
Сложность расчётов
Основаны на особенностях дискретного косинусного
преобразования
Сложность расчётов
Высокая скрытность сообщения
Высокая скрытность сообщения
279
3.7.3. Методы организации скрытых каналов по времени
При организации СК по времени полагается, что
передающий информацию субъект модулирует с помощью
передаваемой информации некоторый изменяющийся во
времени процесс, а субъект, принимающий информацию, в
состоянии демодулировать (восстановить) передаваемый
сигнал, наблюдая несущий информацию процесс во времени.
Методы организации СК по времени соответствуют
используемому процессу в компьютерах в составе ИТКС, в
качестве которого часто выступает:
процесс обработки информации центральным
процессором, являющимся в многозадачной операционной системе разделяемым информационно-вычислительным ресурсом для прикладных
программ, при этом модуляция времени занятости процессора тем или иным приложением позволяет скрытно передавать другим приложениям
нужную информацию [29];
процесс передачи пакетов информации во времени с кодированием времени их задержки;
процесс передачи пакетов информации во времени с кодированием длительности установления
сеанса связи.
Сегодня известны следующие методы организации
СК по времени:
метод модуляции межпакетных интервалов времени;
метод модуляции состояний сеанса передачи
данных;
метод модуляции параметров разделяемых ресурсов сети.
280
При использовании метода модуляции межпакетных интервалов времени агент нарушителя посылает пакеты с произвольным адресом получателя (возможна выборка из группы адресов или использование пакетов, созданных другими программами и предназначенных для передачи разрешённой информации), кодируя информацию с помощью изменения длительности интервалов между пакетами. Злоумышленник, находящийся снаружи защищённого контура, перехватывает и декодирует поток данных, измеряя длительность интервалов между пакетами. Уязвимая
система может выполнять функции как сервера, так и клиента в потоке обмена данными.
При использовании метода модуляции состояний
сеанса передачи данных агент нарушителя меняет состояние произвольного сеанса (например, состояния «Соединение установлено»), кодируя информацию количеством
переходов между состояниями в единицу времени. Затем
он перехватывает поток данных и переводит распознанные
переходы между состояниями обратно в информационные
единицы. Уязвимая система может выполнять функции как
сервера, так и клиента передачи данных.
При использовании метода модуляции параметров
разделяемых ресурсов сети осуществляется манипуляция
атрибутами объектов файловой системы [30] (каждый из
объектов файловой системы обладает рядом атрибутов и
информацией о разрешениях для пользователей). Для организации СК необходимо, чтобы агент нарушителя и сам
нарушитель имели доступ к одному и тому же объекту
файловой системы в хранилище общего доступа (например, папка общего доступа на локальном файловом сервере) в одно и то же время и в течение одной и той же длины
временного промежутка Т, который является квантом времени для данного СК. Тогда агент, изменяя состояния од281
ного или нескольких атрибутов объекта в каждый из квантов времени Т, может передавать до N бит информации,
где N – количество используемых атрибутов.
Следует отметить, что количество процессов, которые могут быть использованы для организации СК по времени, весьма велико, однако из-за того, что при обнаружении факта использования того или иного процесса для организации скрытного канала очень быстро находятся способы закрытия такого СК, интерес к методам создания и
использованию СК резко упал. Это обусловлено нецелесообразностью создания достаточно сложных программных
средств формирования СК по времени при высоких возможностях его быстрой ликвидации.
3.7.4. Методы организации скрытых статистических
каналов
В таких каналах используется для передачи информация об изменениях параметров распределений вероятностей любых характеристик системы, которые могут рассматриваться как случайные и описываться вероятностностатистическими моделями. Скрытость статистических СК
основана на том, что нарушитель имеет меньшую неопределенность в оценке параметров распределений наблюдаемых характеристик сообщений, чем система защиты, пытающаяся выявить факт передачи информации по статистическому СК.
На сегодняшний день информация о методах организации статистических СК отсутствует. Поэтому такие
каналы являются наименее изученными и в связи с этим
возможно наиболее опасными.
Зарубежные нормативные документы, например
[31], разделяют СК только на каналы по времени и по па282
мяти. Все упоминания о статистических СК в англоязычной литературе приводят к ссылкам на работы российских
учёных (например, [32]). Эти примеры показывают высокую сложность (часто невозможность) обнаружения скрытых статистических каналов.
К известным методам организации статистических
СК относятся:
метод, основанный на отслеживание нарушителем последовательностей обращений агента к
определённым ресурсам сети Интернет. Если
нарушитель контролирует обращения к сайтам
(определённым разделам сайтов) 𝐵1,…,𝐵n, то
сформированная последовательность обращений
𝐵i1,…,𝐵in, представляющая собой перестановку,
является кодом передаваемого сообщения. Анализируя статистику обращений на определенный
сайт, нарушитель в состоянии получить от агента
нужное ему сообщение;
метод, основанный на использовании текстовых
гиперссылок внутри определенного документа на
другие разделы сайта. В таких обращениях также
может кодироваться нужная нарушителю информация;
метод, основанный на изменении последовательности пакетов в сети, суть которого состоит в
следующем. Все адреса сегментов сети s0,…,s1
разбиваются на два непересекающихся множества 𝑆1 и 𝑆m, тогда последовательность пакетов
длины 𝑘 (𝑛/2<𝑘≤𝑛), направленных по адресам из
множества 𝑆1 означает, что передаётся «1», последовательность длины 𝑘 (𝑛/2<𝑘≤𝑛), направленных по адресам из множества 𝑆2 означает, что
283
передаётся «0». Если сформирована последовательность длины меньше 𝑛/2, то передачи нет.
Информация об указанных методах сегодня содержится в основном в материалах, носящих исследовательский характер.
3.8. Методология анализа угроз безопасности
информации в информационнотелекоммуникационных системах
3.8.1. Общий подход к анализу угроз безопасности
информации
Угроза безопасности информации в ИТКС, связанная с НСД, существует тогда и только тогда, когда существует источник угрозы и хотя бы одна уязвимость, которая может быть использована для реализации данной угрозы. В связи с этим задача выявления угроз сводится, вопервых, к определению возможных источников угроз, вовторых, к выявлению
уязвимостей
программноаппаратного обеспечения ИТКС, в-третьих, к оценке возможностей реализации ИТКС, в-четвертых, к оценке опасности угроз и формированию в результате перечня актуальных угроз для данной ИТКС. Анализ угроз может основываться на сведениях, изложенных в базовой модели
угроз, если таковая разработана для данного класса ИТКС
(рис. 3.15).
Сегодня базовые модели угроз имеются для информационных систем персональных данных [34] и для ключевых систем информационной инфраструктуры (см. раздел 1) [35]. В перспективе такие модели необходимо иметь
для всех классов ИТКС.
284
Базовая модель угроз безопасности информации
Формирование перечня и анализ содержания каждой
угрозы
Наличие источника
угрозы в ИТКС, указанного в базовой
модели
Да
Нет
Рассматриваемой
угрозы не существует
для данной ИТКС
Наличие уязвимости
в ИТКС, указанной в
базовой модели или в
базе CVE
Нет
Угроза потенциально существует
Да
Оценивается возможность реализации угрозы
Составляется описание каждой актуальной угрозы
Формируется частная модель угроз
Рис. 3.15. Общий алгоритм анализа угроз безопасности информации
285
При отсутствии базовой модели анализ проводится
на основе опыта специалистов в области защиты информации, как правило, от организаций, имеющих лицензии
ФСТЭК России в этой области.
При анализе угроз учитываются стандартные условия, характеризуемые исходной степенью защищенности
информации в ИТКС, то есть исходными настройками
(настройками «по умолчанию») ИТКС, в том числе мер и
средств защиты, реализуемых в операционной среде компьютеров, коммуникационных и иных элементов в составе
ИТКС.
Состав возможных источников угроз выявляется
путем анализа программно-аппаратной среды и характеристик ИТКС специалистами в области защиты информации,
в том числе с применением специальных средств анализа,
а также путем экспертного опроса руководства организации и персонала с использованием специально составленных анкет.
Наиболее сложным является выявление уязвимостей программного и программно-аппаратного обеспечения ИТКС, которые могут быть использованы для реализации всей совокупности угроз. При выявлении уязвимостей ИТКС в первую очередь определяется наличие известных уязвимостей, опубликованных, например, в базе
уязвимостей CVE (см. раздел 3.5).
При этом анализируются:
структурная и (или) функциональная схема
ИТКС и ее элементов, назначение и выполняемые функции каждым элементом ИТКС;
состав, назначение и размещение аппаратных и
программных средств;
структура и состав информационной базы данных (знаний);
286
перечень опубликованных, например, в базе
CVE, уязвимостей применительно к установленному (устанавливаемому) в ИТКС программноаппаратному обеспечению;
содержание потоков информации, циркулирующей в ИТКС;
наличие подключений к сетям общего пользования и др.
В состав уязвимостей ИТКС могут входить следующие:
а) уязвимости аппаратного обеспечения, в том числе
отчуждаемые носители информации (магнитные диски,
компакт-диски, магнитные ленты, магнитные карты, распечатки и т.д.), средства ввода информации (клавиатура,
компакт-диск, привод компакт-диска, накопители, стримеры, порты ввода-вывода и т.д.), средства вывода информации (принтер, плоттер, графопостроитель, привод компактдиска, порты ввода-вывода и т.д.), средства отображения
информации (монитор, проектор и т.д.), средства обработки информации (ПЗУ, ОЗУ, ЦП, материнская плата, контроллеры внешних устройств и т.д.), средства коммутации
и передачи информации (сетевая плата, модем, маршрутизатор, концентратор, кабель, радиоканал, оптический канал
и т.д.), система электропитания, несертифицированные или
некачественные аппаратные средства.
б) уязвимости программного обеспечения, в том
числе базовая система ввода-вывода (BIOS), операционная
система (недокументированная точка входа в операционную среду, нештатное дополнительное ПО - драйверы,
утилиты, доступные файлы со служебной информацией
(*.pwl, *.sam, системный журнал, журнал учётных записей
пользователей и т.д.), открытые общие сетевые ресурсы,
доступный системный реестр), сетевые протоколы и служ287
бы, прикладное ПО, незащищенная информация пользователя, несертифицированные или некачественные программные продукты;
в) уязвимости в организации защиты, в том числе
наличие процедур обхода администратором сети установленных правил и режимов безопасности, наличие процедур
обхода (невыполнения) пользователями сети установленных правил и режимов безопасности, нерегламентированные правила и режимы эксплуатации элементов ИТКС и
программного обеспечения, неконтролируемый вход на
территорию или в помещение со средствами из состава
ИТКС и др. (см. раздел 3.3).
Для выявления уязвимостей возможно использование
инструментальных
(аппаратных,
программноаппаратных или программных) средств – сканеров безопасности, антивирусных сканеров и т.д.
Далее определяется возможность реализации каждой угрозы, при этом должен учитываться временной фактор, а затем оценивается ее опасность в виде возможного
ущерба, который может быть нанесен ее обладателю.
3.8.2. Методология оценки возможностей реализации
угроз безопасности информации
При оценке возможностей реализации угрозы сегодня используется два подхода. Первый основан на балльном или, как его еще называют, табличном методе. Его
применяют одновременно с аналогичным методом оценки
опасности угроз в интересах определения состава актуальных угроз.
Второй подход основан на математическом моделировании процессов реализации угроз. Сегодня такое моделирование проводится с использованием методов теории
288
массового обслуживания [36] и ее составной части - теории потоков [37], теории марковских [38] и полумарковских процессов [39, 40], а также методов теории сетей
Петри-Маркова [41]. Вместе с тем, каждая атака реализуется по-своему и поэтому для каждой атаки приходится
разрабатывать свою математическую модель. Из-за этого,
во-первых, приемлемый по полноте набор таких моделей
отсутствует, во-вторых, спектр угроз постоянно расширяется, что вынуждает создавать все новые модели. А это не
только затруднительно, но и приводит к значительным
сложностям их практического применения, так как обусловливает необходимость, наряду с созданием приемлемых описательных моделей, разрабатывать программные
средства моделирования процессов их реализации, поскольку без автоматизации расчетов количественно оценить возможности реализации угроз крайне сложно. С учетом изложенного следует подчеркнуть, что второй подход
сегодня только начинает развиваться. Ниже рассматриваются некоторые из указанных методов для моделирования
угроз безопасности информации.
Наибольшее развитие в настоящее время получили
марковские модели описания динамики различных случайных процессов и, прежде всего, модели, представляющие
собой марковские процессы с непрерывным временем и
дискретными состояниями [38, 40], к которым относятся
процессы реализации угроз безопасности информации.
В общем случае процесс реализации угрозы представляет собой совокупность последовательно выполняемых процессов:
Ru (t ) X u ( a ) Yu ( K j , pr ) Du ( d ) Su ( m ) ,
289
(3.1)
где X u ( a ) – совокупность действий, направленных на изучение (в том числе активное) и анализ объекта для реализации u -ой угрозы, совершаемых в пределах времени a
(при этом полагается, что существует как источник угрозы,
так и объективные условия для ее реализации);
Yu ( K j , pr ) – совокупность действий, направленных на
непосредственное формирование необходимых данных и
субъективных условий для успешной реализации u -ой
угрозы, то есть получения определенных прав K j доступа
к j -му блоку информации, проникновения в операционную среду компьютера, поиска необходимой информации
(если атака направлена на воздействие на определенный
блок информации) в течение времени pr ;
Du ( d ) –
совокупность непосредственных деструктивных действий по реализации угрозы за время d ;
S u ( m ) – совокупность действий по скрытию следов
реализации угрозы в течение времени m .
При этом время реализации угрозы представляет
собой сумму случайных величин u a pr d m . В ряде
случаев время pr включается в этап подготовки к реализации угрозы (атаки) или в этап атакующих действий, а действия по скрытию следов – в этап атакующих действий.
При этом каждый этап начинается после окончания
предыдущего этапа и зависит только от времени окончания
предыдущего этапа, то есть обладает свойством марковского процесса, когда будущее процесса не зависит от его
прошлого, а определяется только его настоящим.
Если плотности распределения вероятностей указанных величин равны соответственно w( a ), w( pr ), w( d ) и
290
w( m ) ,
то плотность распределения вероятности для их
суммы находится из соотношения:
w( u ) L1 (s, a ) (s, pr ) (s, d ) (s, m ) ,
(3.2)
где (s, a ), (s, pr ), (s, d ) и (s, m ) – характеристические
функции случайных величин а , pr , d и m ;
L1 – обратное преобразование Лапласа с парамет-
ром s .
Плотность распределения вероятностей указанных
случайных величин, как правило, неизвестны, но поскольку эти величины являются положительно определенными,
то плотности распределения могут быть аппроксимированы с любой точностью -распределением с подобранными
параметрами [42], для которых характеристические функции имеют вид:
1
( s, a ) (1 s ) ka ;
a
1
;
( s, pr )
k
(1 s pr ) pr
1
( s, )
;
dd
(1 s d ) kd
1
( s, )
,
m
(1 s m ) km
(3.3)
где ka , k pr , kd , km - параметры соответствующих распределений.
В общем виде вероятность реализации угрозы за
время t может быть рассчитана из соотношения [43]:
291
t
t
k pr
a
1
1
k k
H k( a ) t k a k e a
H k( pr) t pr e pr
(k a 1)! k 1
(k pr 1)! k 1
(3.4)
k
Pu (t ) 1
t
k
t
k
d
m
1
1
H k( d ) t k d k e d
H k( m) t k m k e m ,
(k d 1)! k 1
(k m 1)! k 1
где H k(a) , H k( pr) , H k(d ) , H k(m) – вспомогательные функции,
определяемые по сходной для всех формуле
1
d k 1
(1 s x ) k x
H k( x)
k 1 [
] , (3.5)
(k 1)!(k x k )! ds
(1 s t a )(1 st pr )(1 s t d )(1 s t m )
где вместо индекса x подставляется один из индексов для
случайных величин а , pr , d и m .
В простейшем случае экспоненциальных распределений параметры k a , k pr , k d , k m равны единице, а вероятность того, что за время t угроза будет реализована, имеет следующий вид:
Pu (t ) 1
3
a
t
a
3
pr
t
pr
e
e
( a pr )( a d )( a m ) ( pr a )( pr d )( pr m )
3
t
3
t
d e d
m e m
( dd a )( d pr )( dd m ) ( m a )( m pr )( m d )
(3.6)
Если не учитывать время подготовки атаки и скрытия ее следов, а рассматривать только этапы непосредственного проведения атаки до выполнения деструктивного действия включительно, то формула (3.6) значительно
упрощается:
292
t
t
d
pr e
d e
.
(3.7)
( pr d ) ( d pr )
Тем не менее, рассчитывать вероятность реализации
угрозы по громоздким формулам затруднительно, поэтому
целесообразно использовать приближенную формулу, основанную на экспоненциальной зависимости, которая, как
правило, с достаточной для практики точностью описывает поведение функции Pu (t ) :
Pu (t ) 1
pr
t
Pu (t ) 1 e u ,
где u – среднее время реализации угрозы,
u |
d
[ (s, a ) ( s, pr ) ( s, d ) (s, m )] |s 0 .
ds
(3.8)
(3.9)
В частном случае, когда распределения величин
а , pr , d и m являются экспоненциальными,
u a pr d m .
(3.10)
Зависимости (3.7) и (3.8) в виде графиков приведены на рис. 3.16 для различных значений параметров
pr и d , из которых видно, что замена на экспоненциаль-
ную зависимость дает достаточно хорошее приближение и
может применяться на практике.
Рассмотрим в качестве примера марковскую модель
динамики проникновения в операционную среду компьютера, когда нарушитель вынужден включить компьютер и
загрузить операционную среду при наличии пароля в базовой системе ввода/ вывода (BIOS) и пароля для загрузки
операционной системы.
293
Pu (t )
Pu (t ) 1
1
0.9
0.9
2
0.8
0.8
0.7
0.6
0.7
0.5
0.5
0.6
0.4
0.4
1
0.3
0.3
0.2
0.2
0.1
10
20
30
40
50
t, c
0
a) t pr 10, t dd 2
10
20
30
40
t,50c
г) t pr 10, t dd 5
Pu (t )
1
1
0.9
0.9
0.8
0.8
0.7
0.7
2
0.6
0.6
0.5
0.5
0.4
0.4
0.3
0.3
0.2
2
0.2
1
0.1
1
0.1
0
10
20
30
40
50
0
t, c
б) t pr 20, t dd 2
Pu (t )
1
0.1
0
Pu (t )
2
10
20
30
40
50
t,
c
д) t pr 10, t dd 20
1
Pu (t )1
0.9
0.9
0.8
0.8
0.7
0.7
2
0.6
0.6
0.5
0.5
0.4
0.4
0.3
0.3
1
0.2
2
0.2
1
0.1
0.1
0
10
20
30
40
0
50
t, c
10
20
30
40
50
t, c
е) t pr 10, t dd 100
в) t pr 2.5, t dd 2
Рис. 3.16. Зависимости вероятности реализации угрозы безопасности информации от времени для различных временных параметров подготовки к атаке и выполнения деструктивного
действия: 1 – в соответствии с формулой (3.7); 2 – в соответствии с формулой (3.8)
294
Пусть установлен порог для количества вводов
пароля для загрузки операционной системы, равный
трем, попытки подбора пароля независимы (в
статистическом смысле) и среднее время подбора
пароля для завершения загрузки операционной системы
в каждой попытке одинаково. После превышения
порога компьютер автоматически выключается. Тогда
граф
состояний
процесса
проникновения
в
операционную среду компьютера для этого случая
представлен на рис. 3.17.
0
1
3
2
4
Рис. 3.17. Граф состояний марковского процесса
получения доступа в операционную среду компьютера
и выполнения деструктивного действия при
необходимости преодоления парольной защиты:
0 – состояние, когда нарушитель получил физический доступ к
компьютеру и включил его, пытается подобрать пароль BIOS; 1 –
состояние, когда нарушителю удалось подобрать пароль BIOS, однако
операционная система запросила пароль для получения доступа в
операционную среду, нарушитель начал подбор пароля для получения
доступа в операционную среду первый раз; 2 – состояние, когда
пароль доступа в операционную среду первый раз подобрать не
удалось и нарушитель делает вторую попытку;
3 – состояние, когда пароль доступа при второй попытке подобрать не
удалось и нарушитель предпринимает последнюю попытку; 4 –
состояние, когда пароль подобран и нарушитель получил доступ в
операционную среду компьютера и готов к выполнению
деструктивного действия
295
При этом интенсивности переходов из состояния в
состояние определяются следующим образом:
01
PBIOS
BIOS
, 12 23 30 1 Pos 1 , 14 24 34 Pos 2 , (3.11)
os
os
где PBIOS и BIOS – вероятность подбора и средняя
интенсивность набора пароля BIOS;
Pos и os – вероятность подбора и средняя
продолжительность
набора
пароля
доступа
в
операционную систему;
1 , 2 – вспомогательные параметры для обозначения
равных по величине интенсивностей.
Решение соответствующей приведенному графу
системы дифференциальных уравнений относительно
вероятности перехода к моменту времени t в последнее
состояние имеет следующий вид:
P acc (t ) 1 e
t
acc
,
(3.12)
где acc – среднее время реализации угрозы доступа,
2
) ( 2 )2
1
1
1
, (3.13)
acc
01 [(1 2 ) 2 (1 2 ) 1] [(1 2 ) 2 (1 2 ) 1]
2
01 2
1
1
1
1
1
3(1
Подставляя значения интенсивностей, получаем
acc
BIOS
PBIOS
3(1 Pos ) os os (1 Pos )3
BIOS
PBIOS
.
Pos[1 (1 Pos ) (1 Pos ) ]
2
296
(3.14)
Графики зависимости среднего времени доступа от
вероятностей подбора паролей представлены на рис. 3.18
-3.19.
acc , 20
мин
16
Pos 0.05
Pos 0.5
12
8
Pos 0.8
4
0
0
0.2
0.4
0.6
PBIOS0.8
Рис. 3.18. Зависимость среднего времени реализации
угрозы доступа от вероятности подбора пароля
доступа в BIOS
297
acc , 50
мин
PBIOS 0.1
40
30
PBIOS 0.3
20
PBIOS 0.8
10
0
0
0.1
0.2
0.3
0.4
0.5
POS
Рис. 3.19. Зависимость среднего времени реализации
угрозы доступа о т вероятности подбора пароля доступа
в операционную систему
Рассмотрим модель динамики реализации одной из
самых известных атак типа «Отказ в обслуживании» –
"шторм" TCP-запросов (SYN-flooding). Динамику реализации такой атаки можно моделировать с помощью аппарата
теории массового обслуживания. В этом случае операционная система компьютера рассматривается как система
массового обслуживания с бесконечной очередью и потерями в случае превышения длины очереди определенного
порога. Если операционная система занята, то пакет сохраняется в буфере после обработки сетевым адаптером.
Пусть N - максимальное число пакетов, которые
298
могут находиться в буфере, и serv - среднее время
обработки каждого пакета, при этом время обработки
распределено по экспоненциальному закону (имеет место
марковский процесс обслуживания).
Если в систему поступает большее количество пакетов, то она блокируется, пока буфер не освободится полностью или не будет перезагружена операционная среда
(именно такая ситуация возникает с некоторыми операционными системами при реализации рассматриваемой атаки). В соответствии с [44] вероятность того, что система
будет заблокирована, может быть рассчитана по формуле:
Pu (t ) N
1
2
1 N 1 N 1
N 1
2
N
(1)k 1
k 1
a k t
ak
sin 2 ( k ) e serv , (3.15)
ak
где – параметр загрузки системы потоком запросов с интенсивностью H ,
H serv ;
a k – вспомогательный параметр,
ak 1 2 cos
k
;
N 1
k
.
N 1
Из соотношения (3.15) видно, что при больших загрузках ( 1 ) вероятность блокирования операционной
системы близка к единице. График полученной зависимости приведен на рис. 3.20.
k
299
1
N
k 1
k
2 1 2
N 1 sin k e
N 1
k
1 2 cos
N 1
( 1)
k 1
1 2 cos
k t
N 1 3
cos
Pu (t ) 1
Pu (N )1
0.8
0.8
t 0.05
t 0.02
t 0.07
t 0.1
0.6
0.6
t 0.2
t 0.04
0.4
0.4
t 0.08
0.2
0.2
0
0
0
0.1
0.2
0.3
5
10
15
0.5
t, c
0.4
20
25
N
30
б)
а)
Pu ( ) 1
0.8
N 4
0.6
N 10
0.4
N 30
0.2
0
1
6
11
16
21
26
в)
Рис. 3.20. Зависимости среднего времени, необходимого для подавления операционной
системы штормом TCP-запросов, от ее загрузки и предельного количества пакетов,
обрабатываемых одновременно системой:
а) serv 0.01 ;
300
б) serv 0.01
Пусть атакуемый хост до атаки не имеет в буфере
ни одного пакета, при этом среднее время, необходимое
для блокирования операционной системы, то есть для реализации атаки, определяется из соотношения:
u 0N
2 serv
N 1
N 1
2
(1) k 1 (ak ) sin 2 k
. (3.16)
ak
k 1
N
Как правило, 0 N ( N ) serv и для данной атаки
1, при этом вероятность реализации угрозы за время
t после ее начала определяется из соотношения:
Pu (t ) 1
1
u serv 1
e u t .
(3.17)
Примерно так же развиваются атаки:
основанные на IP-дефрагментации, когда общий
объем фрагментов превышает максимально допустимый размер пакета, при этом система «зависает» или даже выходит из строя;
«направленный шторм эхо-запросов» по протоколу ICMP (Ping flooding);
шторм запросов к FTP-серверу;
шторм широковещательных ICMP-эхо-запросов
(Smurf);
шторм сообщений почтовому серверу (Spam).
Наконец, рассмотрим марковскую модель динамики
распространения вируса на множестве компьютеров за
счет переноса вредоносных программ на отчуждаемых носителях. В основу такой модели может быть положена
теория ветвящихся случайных процессов [40].
Пусть каждый
j -й ( j 1, J ) компьютер в
301
состоянии заразить некоторое количество n j других
компьютеров и множества заражаемых компьютеров не
пересекаются (последнее предположение не обязательно,
поскольку все повторно поражаемые компьютеры, если это
имеет место, могут быть исключены из рассмотрения).
При этом количество компьютеров J достаточно велико и
не ограничивает процесс распространения вредоносной
программы. Предположим, что к моменту t количество
пораженных компьютеров составляет величину (t ) .
Эволюция данной величины составляет марковский
ветвящийся случайный процесс (рис. 3.21).
Если в начальный момент времени имелось k пораженных компьютеров и j (t ) количество компьютеров,
пораженных вредоносной программой, перенесенной с j го компьютера, то общее число пораженных компьютеров
к моменту времени t составит величину:
(t ) 1 (t ) 2 (t ) ... k (t ) .
(3.18)
Здесь случайные величины 1 (t ), 2 (t ),..., k (t ) независимы между собой и имеют одно и то же распределение
вероятностей:
P{i (t ) n} pn (t ), n 0,1,... .
302
(3.19)
(t )
Рис. 3.21. Графическое представление ветвящегося процесса заражения компьютеров
303
Предположим, что от одного компьютера за малый
промежуток времени t с вероятностью
(3.20)
pn (t ) n t (t ), n 1
заражается в среднем одинаковое количество n новых
компьютеров, где n - интенсивность заражения, а с вероятностью
p1 (t ) 1 t (t )
(3.21)
количество зараженных компьютеров остается неизменным (то есть ни одного компьютера дополнительно не заражается). Пусть далее 1 , k 0 и переходные веk
роятности pn (t ) p1n (t ) удовлетворяют дифференциальным уравнениям Колмогорова [38, 40]
d
pn (t ) k pkn (t ) ,
dt
k
(3.22)
где pkn (t ) – переходные вероятности марковского ветвящегося процесса (t ) (вероятность того, что от k компьютеров заражаются n новых компьютеров).
Для расчета количества поражаемых компьютеров
за заданное время удобнее всего использовать аппарат
производящих функций [40]:
304
F (t , z ) pn (t ) z n ;
n 0
(3.23)
Fk (t , z ) pkn (t ) z ,
n
n 0
производные от которых в точке z 1 соответствуют математическому ожиданию количества поражаемых компьютеров.
При каждом z, z 1 , имеет место следующее дифференциальное уравнение для производящей функции:
d
F (t , z ) k Fk (t , z ) .
(3.24)
dt
k
Определенные формулами (3.23) функции таковы,
что при фиксированном z представляют собой математические ожидания:
F (t , z ) z
j (t )
Fk (t , z ) z
, j 1, k ;
(t )
(3.25)
,
где по-прежнему (t ) определяется формулой (3.18).
Поскольку все величины j (t ) независимы, то
k
j (t )
z j 1
z1 (t ) z 2 (t ) ... z k (t ) ,
(3.26),
что дает следующее соотношение для рассматриваемых
производящих функций
305
Fk (t , z ) F (t , z ) .
k
(3.27)
Так как F0 (t , z ) 1 , то уравнение (3.24) преобразуется к виду
d
F (t , z ) k F k (t , z ) .
dt
k
(3.28)
Если ввести функцию f ( x) k x k , то легко
k 0
увидеть, что уравнение (3.28) равносильно уравнению
dx
f (x) и производящая функция совпадает с решением
dt
уравнения x x(t ) при начальном условии x(0) z (поскольку F (0, z ) z ).
Для решения такого типа уравнений часто используют следующий прием. Вместо функции x x(t ) рассматривают обратную функцию t t (x) и эквивалентное
dt
1
уравнение
, решение которого имеет вид:
dx f ( x)
t x
z
du
.
f (u )
(3.29)
В качестве примера рассмотрим случай, когда от
каждого компьютера может быть заражено в единицу времени не более двух других компьютеров, то есть
0 0, 1 , 2 , k 0 для k 2 . В этом случае
f ( x) x ( x 1) и
306
t
1
x
[
z
1
1
1
1
1
] du [ln(1 ) ln(1 )] . (3.30)
u 1 u
x
z
То есть функция F (t , z ) pn (t ) z n может быть
n 0
определена из соотношения
t
1
[ln(1
1
1
) ln(1 )] ,
F
z
(3.31)
откуда находим:
F (t , z ) e
t
z
e t z
(1 e t ) n z n . (3.32)
1 z (1 e t )
n 0
В результате получаем:
p0 (t ) 0, pn (t ) e t (1 e t )n 1, n 1,2,... .
(3.33)
Дифференцируя функцию (3.32) в точке z 1 , можно найти среднее количество пораженных компьютеров за
заданное время t , если, например, в момент времени t 0
был поражен только один компьютер:
n(t ) e t .
(3.34)
Если положить, что среднее время возникновения
инцидентов составит величину:
307
th
1
Pinf ( out his )
,
(3.35)
а интенсивность равна
1
th
Pinf ( out his ) ,
(3.36)
то, подставляя это значение в (3.34), получаем зависимость
количества поражаемых компьютеров от вероятности инфицирования, которая графически показана на рис. 3.22.
100
n( Pinf )
t 10ч
80
t 7ч
60
t 5ч
t 3ч
40
20
0
0
0.2
0.4
0.6
0.8
Pinf 1
Рис. 3.22. Зависимость количества инфицируемых
компьютеров от средней вероятности инфицирования
каждого компьютера для различного времени, прошедшего
с начала инфицирования
308
Для учета влияния антивирусного пакета на динамику распространения вредоносной программы необходимо ввести вероятность ее обнаружения Pdet и блокирования
его распространения, при этом количество поражаемых
компьютеров определиться из соотношения
n(t ) e Pinf (1 Pdet )( out his )t .
(3.37)
Данная зависимость графически представлена на
рис. 3.23.
n( Pdet )100
Pinf 0.9
89
78
Pinf 0.7
67
56
Pinf 0.5
45
Pinf 0.3
34
23
12
1
0
0.2
0.4
0.6
0.8
1
Pdet
Рис. 3.23. Зависимость количества инфицированных
компьютеров от вероятности обнаружения и блокирования
(«ликвидации») вредоносной программы
Аналогичным образом могут быть построены модели динамики распространения вредоносных программ по
309
компьютерной сети. Отличия заключаются в необходимости введения дополнительных параметров инфицирования,
таких как частота обмена пользовательской информацией
между хостами сети, частота передачи инфицированных
файлов по сети, количество инфицированных файлов в
компьютере – источнике заражения и т.д.
Марковские модели динамики проникновения в
операционную среду отдельного компьютера и выполнения деструктивного действия позволяют описывать динамику реализации угрозы безопасности информации.
Вместе с тем, они обладают рядом ограничений в
применении, таких как, например, некоторая сложность
интерпретации состояний марковского процесса в ряде
случаев реализации угроз, сложность учета логических
условий реализации угроз и др.
Тем не менее, его применение позволяет получать
достаточно
простые
соотношения
для
расчета
вероятностей реализации некоторых угроз безопасности
информации в отдельном компьютере.
Наиболее полно учет основных факторов, влияющих на оценку возможности реализации угроз в компьютерных системах, можно провести, моделируя процессы
реализации угроз с использованием аппарата сетей Петри-Маркова [41, 45], в основе которого лежат теории сетей
Петри и полумарковских процессов.
Под сетью Петри-Маркова (СПМ) понимается множество , , при этом – сеть Петри, которая
представляет собой двудольный граф вида:
A, Z , OA (Z ), OZ ( A),
(3.38)
где A – множество позиций сети Петри, моделирующих
310
состояния рассматриваемого процесса;
Z – множество переходов сети Петри, моделирующих условия перехода из состояния в состояние;
O A (Z ) – входная функция переходов (выходная
функция позиций), отображающая множество A в множество Z ;
OZ ( A) – входная функции позиций (выходная функция
переходов), отображающая множество Z в множество A .
Особенности динамики реализации угроз отражаются множеством P, Q(t ), , где P – вектор вероятностей, описывающих возможность появления состояния
процесса в начальный момент времени, Q(t ) – полумарковская матрица, характеризующая временные и стохастические параметры модели, – матрица логических условий,
элементы которой равны:
L[s1(a), j ( z ) ,...,si ( a), j ( z ) ,....s K ( a), j ( z ) ], если ai (a) O A ( z j ( z ) );
i (a), j ( z )
(3.39)
если ai ( a) O A ( z j ( z ) ).
0,
В данном случае функция L – это логическая функция, определяющая условия срабатывания каждого перехода по полушагам, осуществляемым из состояний в рассматриваемый переход в соответствии со структурой сети
Петри, где полушаг от позиции с номером i(a) к переходу с
номером j (z ) обозначен как si ( a ), j ( z ) , где a - означает принадлежность к позиции, а z - к переходу.
Полумарковская матрица представляет собой произведение матрицы вероятностей переходов ij и матрицы плотностей вероятностей времен пребывания процесса
311
в каждом i -м состоянии f ij (t ), если считать, что сам переход происходит мгновенно, то есть
Q(t ) ij f ij (t ) .
(3.40)
Таким образом, процесс реализации угрозы представляет собой последовательность перемещений, реализуемых в виде полушагов по СПМ, при этом СПМ пребывает в каждом состоянии некоторое случайное время,
определенное соответствующей этому состоянию плотностью распределения вероятности для случайного времени
пребывания, и затем выполняется полушаг и проверка логических условий переключения сети в следующее состояние. Последовательность состояний СПМ называется траекторией моделируемого процесса. Аналитическое описание процесса осуществляется, как и для обычных полумарковских процессов, в виде интегральных уравнений по
траекториям перемещений из начального состояния в конечное.
Пусть h(tr : i(a) j ( z)) h – номер траектории перемещения из состояния i (a) в переход j (z ) , которое
включает в себя последовательность полушагов из состояния в переход, затем из перехода в состояние и т.д., при
этом непосредственно за состоянием i (a) в данной траектории следует переход с номером r (z ) . Поскольку динамика переходов определяются только временами пребывания процесса в состояниях, то достаточно рассматривать
только полушаги из состояний в переходы. Наряду с общей нумерацией позиций и переходов, необходимо ввести
текущую нумерацию позиций и переходов по каждой траектории, тогда последовательность полушагов можно записать следующим образом:
312
s0,0 , s1h ,1h , ..., s dh , d h , ..., s Dh , Dh ,
(3.41)
где 0 h ,1h , 2 h , ...,d h , ...,Dh – текущая нумерация шагов по
СПМ, соответствующих траектории с номером h , при
этом текущий номер Dh соответствует в СПМ переходу с
номером j (z ) и некоторому номеру исходной для него позиции r (a) .
Тогда вероятность и плотность распределения времени перемещения из состояния i(a) в переход j (z ) по траектории h определяется из соотношений:
i , j ( h)
Dh
d h 1
i d h , r d h ( h)
;
(3.42)
f i, j (h, t ) f i,r (h, t ) * f i1h ,r 1h (h, t ) * ...* f idh ,r dh (h, t ) * ...* f iDh ,r Dh (h, t ) , (3.43)
где f i dh ,r dh (h, t ) – плотность вероятности времени перемещения по d h полушагам по траектории h ;
* – операция свертки [43].
Вероятность перемещения процесса из начального
состояния i(a) в переход j (z ) по траектории h определяется на основе решения системы интегральных уравнений
обычного вида:
t
i j (h , t ) ik
f
ik (h, ) kj (h, t
) d .
(3.44)
0
Так как в СПМ имеются переходы с логическими
условиями, то СПМ разбивается на участки, соответствующие (рис. 3.24):
313
а) перемещениям из начального состояния до первого такого перехода;
б) между логическими переходами;
в) после последнего логического перехода до конечного состояния.
Для каждого такого участка на основе решения системы интегральных уравнений рассчитывается вероятность перехода из начального участка траектории в конечный. Пусть на траектории h имеется переход с логическим условием и на этом переходе «встречаются» несколько траекторий. Если общий номер (по нумерации СПМ)
такого перехода обозначить как (z ) , а текущий номер
этого перехода как c h , то указанная вероятность для различных логических условий рассчитывается из соотношений, приведенных в табл. 3.11.
Если по данной траектории имеются еще переходы
с логическими условиями, то для них изложенная процедура повторяется. Если больше логических переходов по
траектории СПМ не имеется, то вероятность того, что процесс к моменту времени достигнет конечного перехода
j (z ) , то есть попадет в последнюю позицию (пройдет последний переход на выбранной траектории), находится
следующим образом:
j
t
k 1
0
i , j (h, t ) aft( ), k ( , j ) (h, ) f aft( ), j (h, t ) d , (3.45)
где aft ( ) – номер позиции по СПМ, которая находится
непосредственно после перехода под номером (z ) (индекс
z для удобства опущены);
k ( , j ) – номер перехода по порядку при перемещении
314
по СПМ от перехода с номером к переходу с номером j.
Вероятность i , j (h, t ) , если j - номер последнего
перехода, является, по сути, вероятностью реализации
угрозы по траектории h . Если имеет место несколько траекторий, то вероятность реализации угрозы рассчитывается по формуле:
ij (t ) 1 [1 ij (h, t )] ,
(3.46)
hH
где H - множество всех непересекающихся траекторий, по
которым возможно перемещение процесса из начального в
конечное состояние.
Расчет по указанным формулам оказывается весьма
громоздким, поэтому для практики целесообразно применять пуассоновское приближение для плотностей распределения вероятностей времени перемещения в переходы
СПМ. При этом плотности вероятности срабатывания перехода с логическим условием, определяются из соотношений, приведенных в табл. 3.12.
Время до срабатывания перехода определяется как
математическое ожидание по найденной плотности распределения. В частности, для наиболее распространенных
случаев, когда имеется две траектории, сходящиеся на переходе с логическим условием, формулы имеют следующий вид:
2
12
2
1 1 2 2
1 2
и 12
,
1 2
1 2
315
(3.47)
где 1, 2 – средние времена перемещения в переход с логическим условием по первой и второй траектории соответственно.
Если на траектории нет логических переходов, то
время перемещения в последний переход представляет собой сумму времен перемещения процесса ко всем переходам траектории. В качестве примера использования данного подхода в табл. 3.13 приведены соотношения для расчета вероятностно-временных характеристик реализации некоторых угроз безопасности информации в компьютерной
системе.
Из приведенных формул видно, как разработанный
метод позволяет достаточно просто оценить вероятность
реализации любой угрозы, динамика которой описывается
с помощью аппарата СПМ. Возможность математического
моделирования параллельных процессов с использованием
аппарата СПМ позволяет значительно повысить адекватность оценки возможностей реализации угроз безопасности информации в компьютерных системах, так как дает
возможность учесть условия параллельного выполнения
моделируемых процессов.
Примеры моделирования некоторых сетевых атак с
использованием СПМ приведены в табл. 3.13.
316
1 участок 1 траектории
2 участок 1 траектории
3 участок 1 траектории
2 участок 3 траектории
1 участок 3 траектории
Рис. 3.24. Пример разбиения траекторий сети Петри-Маркова на участки
317
Таблица 3.11
Соотношение для расчета вероятности срабатывания перехода с различными
логическими условиями
Логическое
условие
«И»
«ИЛИ»
Соотношение для расчета вероятности срабатывания логического перехода
( z ) (h, t )
h H
i ch , r ch
[1
( z ) (h, t ) 1
^
( z ) (h, t )
- вероятность срабатывания логического перехода с
номером (z ) ;
(h, t )
i ch ,r ch
i ch , r ch (h, t )
(h , t )]
h H
«И» – «НЕ»
«ИЛИ» – «НЕ»
( z ) (h, t )
h H
( z ) (h, t ) (1
i ch , r ch
[1
^
(h, t ) [1 ich ,r ch (h , t )]
h H
i ch ,r ch
(h , t )]) [1 i ch ,r ch (h , t )]
h H
«И» – «ИЛИ»
( z ) (h, t )
h H
i ch , r ch
(h, t ) (1
Обозначения
h H
[1
^
h H
318
- вероятность
перемещения процесса из состояния с номером i ch (здесь ch количество промежуточных переходов) в переход с номером
r ch ;
^
H , H , H -
i ch ,r ch
(h , t )])
множества траекторий, сходящихся в переходе
с номером (z ) и обеспечивающих условие «И», «ИЛИ»,
«НЕ» соответственно
Таблица 3.12
Соотношение для расчета плотности вероятности срабатывания перехода с различными
логическими условиями
Логическое
условие
«И»
Соотношения для расчета плотности вероятности срабатывания
логического перехода
F (h, t )
j
f (h, t ) f i (h, t )
jI
Fi (h, t )
iI
[1 F (h, t )]
«ИЛИ»
j
f (h, t ) f i (h, t )
jI
1 Fi (h, t )
iI
«И»
–
«НЕ»
f (h, t )
f (h, t )
iI
«НЕ»
f (h, t )
f (h, t )
iI
i
f (h, t )
iI
j
jI
Fi (h, t )
1 F (h, t )
j
iI
1 Fi (h, t )
«И» –
«ИЛИ»
F (h, t )
i
«ИЛИ» –
f i (h, t )
Обозначения
Fi (h, t )
F (h, t ) f
iI
i
m
k
(h, t )
kI
m
{1
i
iI
mI
mI
[1 Fm (h, t )]} F j (h, t )
mI
jI
319
(h, t )]
1 Fk (h, t )
[1 F (h, t )] {1 [1 F (h, t )]} f
F j (h, t )
jI
[1 F
mI
mI
m
[1 Fk (h, t )]
(h, t ) mI
1 Fm (h, t )
[1 F (h, t )]
k
f m (h, t )
kI
1 Fm (h, t )
f , F - плотность вероятности и интегральная
функция
распределения времени срабатывания перехода;
I - множество всех
дуг, входящих в переход ;
I - множество дуг,
входящих в переход
и соответствующих условию «НЕ»;
I - множество дуг,
входящих в переход
и соответствующих условию «И»;
I - множество дуг,
входящих в переход
и соответствующих условию «ИЛИ»
Таблица 3.13
Графическое представление динамики реализации основных угроз безопасности информации, связанных с сетевыми
атаками, с использованием сетей Петри-Маркова
Наименование сетевой
атаки
Подмена доверенного
объекта
(IPspoofing)
Сеть Петри-Маркова, моделирующая динамику реализации угрозы
1(a)
0(a)
3( z )
2(a) 2( z )
2
u 0, 7
6(a) 6( z )
7( z )
5( z )
5(a)
0(a)
2
0,7 (tr1) 0,7 (tr1) 0,7 (tr 2) 0,7 (tr 2)
;
0,7 (tr1) 0,7 (tr 2)
0,7 (tr1) 7,7
9(a)
4( z )
3(a)1( z )
Обозначения, примечания
( 3,1 4, 4 ) 2 ( 3,1 4, 4 ) ( 2, 2 5, 4 ) ( 2, 2 5, 4 ) 2
;
3,1 4,4 2,2 5,4
07 (tr 2) 1,3 6,7 ;
8(a)
Pu (t ) 6,7 5,4 4,4 (1 e
4(a)
t
u
)
7( a )
0(a) - злоумышленник включился в сеть общего пользования;
1(a) - злоумышленник в готовности к проведению «шторма TCP-запросов» на хост доверенного пользователя;
2(a) - злоумышленник в готовности к подбору (прогнозу) номер ответного пакета и порт
взаимодействия хоста доверенного пользователя;
3(a) - злоумышленник в готовности к организации связи с атакуемым хостом;
4(a) - атакуемый хост получил TCP-запрос;
5(a) - нарушитель завершил выявление порта взаимодействия и номера пакета подтверждения соединения;
6(a) - хост доверенного пользователя атакован «штормом TCP-запросов»;
7(a) - установлено TCP соединение с атакуемым хостом от имени доверенного объекта;
8(a) - атака сорвалась из-за неправильного подбора порта взаимодействия или номер пакета подтверждения соединения, или из-за срыва подавления доверенного хоста;
9(a) - осуществлен НСД к атакуемому хосту от имени доверенного пользователя;
0( z ) - подготовка к проведению атаки;
1( z ) - передача запроса на соединение с атакуемым хостом;
2( z ) - подбор (прогноз) порта взаимодействия и номера пакета подтверждения соединения;
320
Примечание: а) первый номер в индексе соответствует номеру позиции, второй – номеру перехода;
б) tr1-первая траектория процесса, включает в себя переходы с номерами 0, 3, 7; tr2- вторая траектория процесса, включает в себя переходы
с номерами 0, 1, 4, 7
Продолжение табл. 3.13
Наименование сетевой
атаки
Сеть Петри-Маркова, моделирующая динамику реализации угрозы
Обозначения, примечания
3( z ) - осуществление «шторма» TCP-запросов для подавления доверенного сервера (блокирование хоста доверенного пользователя);
4( z ) - создание условий для установление соединения с атакуемым хостом;
5( z ) - срыв атаки из-за неправильного подбора порта или номера пакета доверенного хоста;
6( z ) - прекращение (срыв) атаки из-за срыва блокировки хоста доверенного пользователя,
отправка от имени доверенного объекта на атакуемый хост ответа S-SYN и S-ACK на установку соединения;
7( z ) - получение прав доверенного пользователя и несанкционированный доступа к защищаемой информации
Парольная
атака на хост
сети
1(a) 1( z )
2(a)
4( z )
2
7( a )
5(a)
u 1,6
6( z )
5( z )
2( z )
4(a)
3,3 3, 2
3,3 3, 2 2
) ( 4, 4
)
3,3 3, 2
3,3 3, 2
5,6 ;
3,3 3, 2
2, 4 4, 4
3,3 3, 2
2, 4 2, 4 ( 4, 4
Pu (t ) [1 (1 3,2 ) (1 3,3 )] (1 e
6(a)
3(a)
3( z )
1(a) - злоумышленник включился в сеть общего пользования;
2(a) - абонентом проведен запрос пароля;
3(a) - злоумышленник, не зная пароля, решил подобрать его по специальному словарю
или путем прямого;
4(a) - злоумышленник завершил подбор пароля;
5(a) - пароль подобран правильно, НСД к хосту осуществлен;
6(a) - пароль подобран неправильно, атака сорвана;
1( z ) - абонент – объект атаки запрашивает пароль;
2( z ) - подбор пароля по словарю;
3( z ) - подбор пароля прямым перебором;
4( z ) - осуществление несанкционированного доступа;
5( z ) - срыв атаки
321
t
u
)
Окончание табл. 3.13
Наименование сетевой
атаки
Несанкционированный
запуск приложения
Сеть Петри-Маркова, моделирующая динамику реализации угрозы
1(a) 1( z )
2(a)
4( z )
5(a)
8(a)
7( a )
6( z )
8( z )
5( z )
2( z )
4(a)
6(a)
3(a)
Обозначения, примечания
2
3,3 3,2
3,3 3,2 2
) ( 4,4
)
3,3 3,2
3,3 3,2
5,6 7,9 ;
3,3 3,2
2, 4 4, 4
3,3 3,2
2,4 2,4 ( 4,4
10(a)
9( z )
9(a)
7( z )
3( z )
u 1,6
2
7 ,9
2
8,9 8,9 9,9 9,9
7,8 ;
8,9 9,9
Pu (t ) [1 (1 3,2 ) (1 3,3 )] 9,9 (1 e
1(a) - злоумышленник включился в сеть общего пользования;
2(a) - абонентом проведен запрос пароля;
3(a) - злоумышленник, не зная пароля, решил подобрать его по специальному словарю
или путем прямого;
4(a) - злоумышленник завершил подбор пароля;
5(a) - пароль подобран правильно, НСД к хосту осуществлен;
6(a) - атака сорвана;
7(a) - поиск приложения завершен;
8(a) - предпринята попытка запуска приложения;
9(a) - анализ трафика на предмет обнаружения атаки завершен;
10(a) - атака не обнаружена и злоумышленник осуществил запуск приложения;
1( z ) - абонент – объект атаки запрашивает пароль;
2( z ) - подбор пароля по словарю;
3( z ) - подбор пароля прямым перебором;
4( z ) - ввод пароля;
5( z ) - срыв атаки из-за неправильно подобранного пароля;
6( z ) - поиск приложения;
7( z ) - срыв запуска приложения из-за обнаружения атаки или из-за необнаружения исполняемого файла;
8( z ) -;
9( z ) - пропуск атаки
322
t
u
)
3.8.3. Методический подход к количественной оценке
опасности угроз
Одной из кардинальных проблем теории защиты
информации является развитие количественных методов
оценки опасности угроз безопасности информации. Необходимость этого обусловлена не только требованиями повышения обоснованности решений по защите информации,
но и перспективами формализации процессов защиты информации на объектах информатизации, создания автоматизированных систем поддержки принятия решений по
защите информации, оперативного управления защитой и
т.д. Опасность угроз определяется величиной ущерба от их
реализации и возможностью нанесения этого ущерба. Разнообразные виды ущерба оцениваются как в количественных, так и в качественных шкалах. В настоящее время пока
отсутствует единая классификация шкал. Так, Девидсоном
в его книге «Многомерное шкалирование», предложена
система шкал, основанная на понятиях эмпирической операции и математической структуры, при этом рассматриваются четыре вида шкал: наименований, порядка, интервалов и отношений [46].
Типы шкал обусловливаются видом функции f ,
осуществляющей допустимые преобразования f ( ) .
Если f - монотонная функция, то соответствующая шкала является шкалой порядка; если f - линейная функция,
то соответствующая шкала – это шкала интервалов; если
f определяет преобразование подобия, то соответствующая шкала – шкала отношений.
Наиболее приемлемы для количественной оценки
ущерба или опасности угроз являются так называемые оппозиционные (полярные) шкалы. Оппозиционные шкалы
323
основаны на установлении, по крайней мере, двух противоположных (в этом смысле полярных) точек на шкале,
определяющих крайние противоположные результаты
оценки ущерба (например, отсутствие ущерба и неприемлемый ущерб). На таких шкалах могут рассматриваться
несколько типов оценок: точечные количественные, интервальные, вербальные (лингвистические), при этом могут применяться метрические или порядковые шкалы. Для
всех остальных шкал, как правило, предполагается построение либо эталонных описаний, либо проведение только
попарных сравнений, либо формирование специальных
функций уверенности или полезности по определенным
аспектам, которые так или иначе необходимо сводить к
единой шкале оценок. Применение таких шкал не позволяет переходить к комплексным оценкам ущерба от реализации разнородных угроз.
Если в качестве максимального элемента решетки
ввести максимально возможный или неприемлемый
ущерб, а в качестве минимального – отсутствие такого
ущерба или незаметный ущерб, то можно построить метрическую шкалу для оценки ущерба.
Особенность такой шкалы заключается, прежде всего, в ее универсальности относительно видов ущерба.
Кроме того, она является условной, поскольку ее верхняя
граница обусловлена суждением о неприемлемости ущерба для данного конкретного обладателя. Последняя особенность очень характерна для ИТКС, поскольку для разных ИТКС один и тот же по размеру ущерб может оцениваться по-разному.
Важным аспектом построения таких шкал для разнородных ущербов является отсутствие непосредственной
возможности применения даже таких простейших операторов, как операторы сравнения и сложения разнородных
324
ущербов. Для этого требуется определить процедуры приведения шкал для разнородных ущербов к единой (базовой) шкале оценок, например, шкале финансового ущерба.
Однако сегодня практически отсутствуют такие процедуры
пересчета ущерба в какую-либо единую числовую шкалу
оценок. В этих условиях возможен следующий подход.
Первоначально в качестве базовой можно взять лингвистическую (вербальную) полярную шкалу. Наиболее часто
при построении такой шкалы используют семь градаций
оценок. Формально указанная шкала формируется путем
задания критерия С с двумя промежуточными лингвистическими оценками – положительной С и отрицательной С , а также двумя оценками, усиленными с помощью модификатора v - vC (например, модификатор может иметь
значение «очень» или «неприемлемо большой») и
vC (модификатор может иметь значение «очень», «несу
щественный» и т.п.), таких что С vC , C vC и
двумя оценками, ослабленными с помощью модификатора
w (например, модификатора «скорее») wC и wC , та
ких, что C wC , C wC , а также нейтральной (средней) оценкой C 0 . Градации вербальной шкалы упорядочены следующим образом:
vC С wC C 0 wC C vC .
После построения базовой вербальной шкалы устанавливается ее соответствие каждой из шкал оценок разнородных ущербов. Это позволяет перевести оценки разнородных ущербов в единую шкалу оценок. Затем базовой
вербальной шкале ставится в соответствие нормированная
решетка L , то есть замкнутый отрезок [0,1], на который
проецируется вербальная шкала, пример проекции приведен на рис. 3.25.
325
Шкала финансовых потерь от реализации угроз безопасности информации
0
10000
Шкала
Незаметный
20000
суждений
Существенный
30000
40000
U, руб.
об ущербе
Средний
Большой
Очень большой
Недопустимый
Единая количественная шкала
0
0,2
0,4
0,6
0,8
1
Рис. 3.25. Пример приведения разнородных шкал к единой количественной шкале
326
При этом возможно введение коэффициентов (в том
числе в виде функций от значений ущерба на вербальной
шкале), отражающих при необходимости сравнительную
важность для организации или пользователя того или иного вида ущерба. Такая проекция одновременно корректно
вводит операцию сравнения разных ущербов, при этом аксиоматически вводится на шкале операция сложения разнородных ущербов как обычная операция сложения по модулю 1 чисел, соответствующих оценкам разнородного
ущерба. Суммарный ущерб в этом случае определяется из
соотношения:
u i , если u i 1;
i
(3.48)
U i
1
,
если
u
1
,
i
где ui - величина i -го ущерба по базовой шкале.
Для оценки величины ущерба от выполнения несанкционированного действия при реализации конкретной
угрозы учитывается, относительно какого информационного ресурса может оно выполнено и для какого ресурса
ущерб будет максимальным. При этом используется отношение величины ущерба (максимального относительно
всех информационных ресурсов, для которых может быть
выполнено данное несанкционированное действие) к предельно допустимой его величине. Данный показатель
называется коэффициентом опасности деструктивного
действия:
Kg
u
uпр
(3.49)
Для оценки опасности угрозы используется показатель – коэффициент опасности угрозы Kthu , который рас-
327
считывается путем свертки коэффициента опасности несанкционированного действия и вероятности реализации
Pthu (t ) данной угрозы:
Kthu K g Pth u (t ) .
(3.50)
При этом K g 1 и определяется на нормированной
полярной шкале оценок. Характерно, что предельное значение ущерба является условным, так как его верхняя граница обусловлена суждением о неприемлемости ущерба
для данного конкретного потребителя и конкретного вида
ущерба.
3.8.4. Балльный метод оценки опасности угроз
Балльный метод оценки опасности угроз основывается на экспертном опросе специалистов, обработке результатов опроса и выдаче их в виде баллов, а затем интерпретации полученной балльной оценки в виде суждений об опасности [47].
Этот метод реализован в целом ряде международных стандартов и программных продуктов, таких как стандарт ISO 1779919 и его инструментарий, например, программный продукт COBRA или программный продукт, реализующий метод СRAMM (CCTA20 Risk Analysis &
Management Method - метод ССТА анализа и контроля
рисков), программный продукт RiskWatch и др. Наиболее
Стандарт ISO/IES 17799 стандарт по информационной безопасности,
опубликованный в 2005 г. организациями ISO и IEC. В 2013 г. сменил
название на ISO/IEC 27002:2005 "Информационные технологии. Методы
19
обеспечения безопасности. Практические правила управления информационной безопасностью"
ССТА (Central Computer and Telecommunications Agency) - Центральное агентство по компьютерам и телекоммуникациям Великобритании
20
328
широко в настоящее время используется метод СRAMM,
поэтому на его примере ниже характеризуется балльный
метод оценки.
В этом методе в первую очередь оценивается ценность ресурсов в ситуациях:
недоступности ресурса в течение определенного
периода времени;
разрушения ресурса – потери информации, полученной со времени последнего резервного копирования, или ее утрата (полное разрушение);
нарушение конфиденциальности в случаях НСД;
модификации данных из-за мелких ошибок ввода, программных ошибок, преднамеренных действий;
наличие ошибок, связанных с передачей информации, в том числе с отказом в обслуживании, со
сбоем в доставке информации, с доставкой по
неверному адресу.
В качестве возможных ущербов в коммерческой
версии продукта рассматриваются:
ущерб репутации организации;
нарушение действующего законодательства;
ущерб для здоровья персонала;
ущерб, связанный с разглашением персональных
данных;
финансовые потери от разглашения информации;
финансовые потери, связанные с восстановлением ресурсов;
дезорганизация деятельности и др.
Далее формируются балльные шкалы оценки ущерба в интервале значений 0 – 10 (табл. 3.14).
329
Таблица 3.14
Вид ущерба
Ущерб репутации организации
Ущерб
для
здоровья персонала
Пример формирования шкалы оценки ущерба
Величина ущерба, соответствующая оценке в баллах
2 балла
4 балла
6 баллов
8 баллов
Негативная
Критика в Негативная
Критика
в
реакция от- СМИ,
не реакция депу- СМИ, имеющая
дельных чи- получившая татов
Госу- последствия в
новников,
широкого
дарственной
виде крупных
общественобществен- Думы или Со- скандалов, парных деятелей ного резо- вета Федера- ламентских
нанса
ции
слушаний, широкомасштабных проверок
МинимальСредний
Серьезные поный ущерб, ущерб
следствия
не связанный (необходи- (продолжис госпитали- мо лечение тельная госпизацией или одного или тализация, индлительным
нескольких валидность
лечением
сотрудниодного
или
ков, но дли- нескольких
тельных от- сотрудников)
рицательных
последствий
нет)
Менее 1000
От 1000 долл. От 10000 долл.
долл.
до 10000 долл. до 10000 долл.
Финансовые
потери, связанные с восстановлением
ресурсов
Дезорганиза- До 15 минут
ция деятельности в связи
с недоступностью данных
10 баллов
Негативная
реакция на
уровне
Президента
и
правительства
Гибель
людей
Свыше
10000
долл.
От 15 ми- От 1 часа до 3 От 3 часов до 1 Более 1 сунут до 1 ча- часов
суток
ток
са
330
Затем оцениваются уровни угроз и уязвимостей на
основе экспертного опроса по специально составленным
анкетам и учета таким образом разнообразных косвенных
факторов, таких как:
статистика по зарегистрированным инцидентам
безопасности информации (нарушениям);
тенденции в статистике по нарушениям;
наличие в системе информации, представляющей
интересах для возможных внутренних и внешних
нарушителей;
моральные качества персонала;
возможность извлечь выгоду из изменения обрабатываемой в системе информации;
наличие альтернативных способов доступа к информации;
количество рабочих мест операторов в системе;
осведомленность руководства о действиях сотрудников;
полномочия пользователей и др.
Примеры заполнения ответов и выставления баллов
по ответам приведены в табл. 3.15 и 3.16.
Затем баллы по результатам оценки угрозы суммируются и оценивается степень угрозы по количеству баллов следующим образом:
до 9
- очень низкая;
от 10 до 19
- низкая;
от 20 до 29
- средняя;
от 30 до 39
- высокая:
40 и более
- очень высокая.
331
Таблица 3.15
Пример оценки угроз выполнения несанкционированных действий по балльной шкале
по ответам экспертов
Вопрос
Ответ
Количество баллов
Сколько раз сотрудники в последние
Ни разу
0
три года пытались получить НСД к
Один или два раза
10
информации в системе
В среднем раз в год
20
В среднем чаще одного раза в год
30
Неизвестно
10
Какова тенденция в статистике такого
К возрастанию
10
рода попыток НСД?
Оставаться постоянной
0
К снижению
-10
Хранится ли в информационной сиДа
5
стем информация, которая может
Нет
0
представлять интерес для сотрудников
организации?
Известны ли случаи нападения, угроз,
Да
10
шантажа, давления на сотрудников со
Нет
0
стороны посторонних лиц?
Есть ли среди персоналы лица с недоНет
0
статочно высокими моральными каче- Есть, но это вряд ли может спрово5
ствами?
цировать их на НСД в систему
Есть и они вполне способны совер10
шить действия по НСД
Хранится ли в системе информация,
Да
5
несанкционированное изменение котоНет
0
рой может принести прямую выгоду
сотрудникам?
Имеются ли в системе программные и
Нет
0
иные средства, способствующие соДа
5
вершению НСД?
Имеются ли другие способы изменеДа
-10
ния информации, позволяющие злоНет
0
умышленнику получить выгоду более
простым способом, чем НСД?
Сколько раз в последние три года соНи разу
0
трудники пытались получить НСД к
Один ил два раза
5
информации, хранящейся в других сиВ среднем раз в год
10
стемах организации?
Чаще одного раза в год
15
Неизвестно
10
332
Таблица 3.16
Пример оценки уязвимостей по балльной шкале по ответам экспертов
Вопрос
Ответ
Количество
баллов
Сколько людей имеют От 1 до 10
0
право пользоваться си- От 11 до 50
4
стемой?
От 51 до 200
10
От 200 до 1000
14
Свыше 1000
Будет ли руководство Да
0
осведомлено, что сотруд- Нет
10
ники ведут себя необычным образом?
Какие устройства и про- Только терминалы или сетевые контроллеры, -5
граммы доступны пользо- ответственные за предоставление и маршрутивателю?
зацию информации
Только стандартные офисные устройства и 0
программы, а также управляемые с помощью
меню подчиненные прикладные программы?
Пользователи могут получить доступ к опера- 5
ционной системе, но не к компьютеру
Пользователи могут получить доступ к компи- 10
ляторам
Возможны ли ситуации, Да
10
когда сотрудники, предупрежденные о предстоя- Нет
0
щем сокращении или
увольнении, имеют доступ к системе?
Каковы в среднем разме- Менее 10 человек
0
ры рабочих групп сотруд- От 11 до 20 человек
5
ников в подразделении, Свыше 20 человек
10
имеющих доступ к системе?
Станет ли факт изменения Да
0
информации в системе
10
очевидным сразу для не- Нет
скольких человек?
Насколько велики офици- Официальное право предоставлено всем поль- -2
ально
предоставленные зователям
пользователям возможно- Официальное право предоставлено только не- 0
сти по просмотру всех которым пользователям
хранящихся в системе
данных?
Насколько
необходимо Всем пользователям необходимо знать всю -4
пользователям знать всю информацию, хранящуюся в системе
информацию, хранящую- Отдельным пользователям необходимо знать 0
ся в системе
всю информацию, хранящуюся в системе
333
Аналогичным образом оценивается по баллам степень уязвимости:
до 9
- низкая;
от 10 до 19 - средняя;
20 и более - высокая.
Далее определяется показатель цены потери по вербальной шкале:
N (Negligible) – воздействие можно пренебречь;
Mi (Minor) – незначительные последствия (легко
устранимы, с малыми затратами на ликвидацию);
Mo (Moderate) – последствия умеренны, не связаны с крупными затратами, не затрагивает критически важные задачи;
S (Serious) – серьезные последствия со значительными затратами, влияющими на выполнение
критически важных задач;
C (Critical) – невозможно решение критически
важных задач.
На основе проведенных оценок определяется показатель риска, например, по десятибалльной шкале в соответствии с табл. 3.17, а затем с его учетом – опасность
угрозы (табл. 3.18).
334
Таблица 3.17
Цена
потери
N
Mi
Mo
S
C
Показатель информационного риска
Уровень угрозы
Н
С
Уровни уязвимости
Уровни уязвимости
Н
С
В
Н
С
В
0
1
3
1
3
5
1
2
4
2
4
6
2
3
5
3
5
7
3
4
6
4
6
8
4
5
7
5
7
9
В
Уровни уязвимости
Н
С
В
2
4
6
3
5
7
4
6
8
5
7
9
6
8
10
*Н – низкий, С – средний, В – высокий
Таблица 3.18
Оценка опасности угрозы по вербальной шкале
Показатель информаци- Интерпретация оценки риска в Вербальная оценка опасонного риска в баллах
вербальной шкале
ности угрозы
1 балл и менее
Очень низкий риск
Опасность очень низкая
2 или 3 балла
Низкий риск
Опасность низкая
4 или 6 баллов
Средний риск
Опасность средняя
7-9 баллов
Высокий риск
Опасность высокая
10 баллов
Недопустимый риск
Опасность чрезвычайная
335
4. ОБОСНОВАНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ
ИНФОРМАЦИИ В ПРОЕКТИРУЕМЫХ
ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
4.1. Система требований по защите информации
Требования по защите информации в ИТКС предъявляются в интересах формирования условий, при которых
в случае их выполнения достигается определенный уровень защищенности информации, достаточный для недопущения нанесения существенного ущерба государству
или обществу. Системой таких требований регулируются
различные аспекты деятельности органов, организаций и
предприятий в области защиты информации (рис. 4.1).
Ниже рассматриваются не все требования, а лишь те, которые касаются технических аспектов организации защиты
информации в информационных системах.
В последнее десятилетие в России сложилось два
направления нормативного регулирования деятельности по
защите информации в информационных системах:
первое направление связано с нормативными правовыми актами, издаваемыми уполномоченными федеральными органами исполнительной власти, такими
как ФСБ России, ФСТЭК России, Роскомнадзор;
второе направление связано с активным внедрением
в России международных стандартов в виде аутентичных переводов и принятия их в качестве национальных.
Первое направление характеризуется тем, что требования по защите информации формируются применительно к заранее определенному классу (уровню) защищенности информационной системы.
336
Терминологические аспекты
Законы РФ
Указы Президента РФ
Постановления
Правительства РФ
Национальные
стандарты
Международные
стандарты
Глоссарии
Специальные нормативные и
методические документы
Аспекты организации защиты информации от несанкционированного доступа
Оценка обстановки: категорирование ИТКС и информационных ресурсов
Оценка обстановки: выявление и оценка опасности угроз безопасности информации, оценка защищенности информации
Обоснование требований по защите информации
Выбор способов и средств защиты информации
Разработка перспективных способов и средств защиты информации
Построение систем защиты информации, оценка эффективности защиты
Аттестация систем защиты, ИТКС в защищенном исполнении и сертификация средств защиты
Контроль ТЗИ
Организация
контроля
Оценка возможностей
и эффективности контроля
Обоснование требований
к средствам и системам
контроля
Выбор способов и средств
контроля, построение систем
контроля
Разработка способов,
средств и систем контроля
Рис. 4.1. Основные аспекты защиты информации, регулируемые нормативными и методическими документами
337
Класс (уровень) защищенности определяется путем
классификации информационных систем по правилам (методикам), введенным в соответствующем документе. При
этом каждому классу (уровню) защищенности ставится в
соответствие определенный набор подлежащих применению в этой информационной системе мер и средств защиты. Прежде всего, такое регулирование проводится в системах, где обрабатывается информация ограниченного
доступа, содержащая сведения, составляющие государственную, служебную, коммерческую тайны (если это затрагивает государственные интересы) или персональные
данные граждан России.
Второе направление характеризуется тем, что в
стандартах излагается заранее сформированный каталог
требований, на основе которого разрабатываются разнообразные «профили защиты» – специальные документы, содержащие требования к различным классам, типам, экземплярам информационных систем. При проектировании
конкретной информационной системы в защищенном исполнении разработчик выбирает необходимый профиль
защиты, в соответствии с которым задаются требования по
защите и разрабатывается система защиты (создается
ИТКС в защищенном исполнении).
Следует отметить, что, если первое направление
может применяться для любых ИТКС в России (указанных
в соответствующем нормативно-правовом акте), то второе
направление применяется в основном для трансграничных
информационных систем, систем, развертываемым за рубежом отечественными разработчиками, систем совместных предприятий на территории России и иных систем, где
не требуется нормативное регулирование деятельности в
области защиты информации со стороны государства.
338
Сегодня наблюдается тенденция к некоторому
сближению этих двух направлений.
Ниже рассматриваются требования, формируемые
в соответствии с первым направлением нормативного регулирования. Второе направление раскрывается в разделе 3.5.
Все множество требований, предъявляемых к ИТКС
в области защиты информации (их называют «требованиями к защите», «требованиями по защиты» или в некоторых
документах – «требованиями о защите»), можно разделить
на требования к системе защиты (включающие в себя требования к организации защиты), требования к технической
составляющей системы защиты и требования к мерам и
средствам защиты (рис. 4.2).
При этом под системой защиты здесь понимается
совокупность «экономических, организационно-правовых
и административных мер, нормативных процедур (методов
и способов), органов и/или исполнителей, используемой
ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам и
нормам, установленным соответствующими документами
в области защиты информации» [10].
В общем случае под средством защиты информации
понимается техническое, программное, программнотехническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации
[10].
Таким образом, средством защиты информации от
НСД может быть оборудование с возможно установленными на нем программами или программа (совокупность
программ, программный комплекс), предназначенные для
парирования угроз НСД.
339
Требования к защите информации
Требования к системе защиты информации
Требования к техническим мерам и средствам защиты информации
Требования к организации защиты информации
Требования к порядку организации(общие
требования к организации)
Требования к организационным мерам
защиты информации
Требования к техническим мерам защиты информации
Требования к средствам защиты информации
Требования к обеспечению защиты информации
Требования к персоналу
Требования
к материальному
обеспечению
Требования
Требования
к финансовому обеспечению
Требования
к методическому обеспечению
Требования к технической составляющей системы защиты информации
Требования к реализуемым в системе технологиям защиты информации
Требования к реализуемым в системе защиты
функциям безопасности
Требования к составу и структуре (построению) системы защиты информации
Требования к интерфейсу администратора и
пользователей системы защиты
Требования к программно-аппаратному обеспечению системы защиты
Требования к управлению защитой информации в системе защиты
Рис. 4.2. Структура системы требований по защите информации
в информационных системах
340
К средствам защиты от НСД относятся:
межсетевые экраны, фильтры, proxy-серверы;
средства антивирусной защиты;
средства обнаружения вторжений;
средства идентификации и аутентификации и
иные средства разграничения (контроля) доступа;
средства поиска уязвимостей и анализа защищенности (сканеры безопасности);
средства резервирования;
средства восстановления;
средства контроля целостности;
средства контроля (выявления каналов) утечки
информации (например, DLP-системы21);
средства уничтожения остаточной информации
средства отвлечения (обмана);
средства изолирования, разделения операционной среды;
средства контроля вскрытия аппаратуры и др.
Некоторые из этих средств реализуются в рамках
операционной системы (например, индивидуальные межсетевые экраны, средства идентификации и аутентификации, средства резервирования, восстановления и контроля
целостности), другие – специально разрабатываются и
устанавливаются в информационных системах для усиления защиты (например, средства антивирусной защиты,
обнаружения вторжений, сканеры безопасности, DLPсистемы и т.п.). Для каждого средства защиты формируется свой набор требований, касающихся характеристик и
условий его применения.
21
см. раздел 6
341
Наконец, мера защиты – это действие или совокупность действий, направленных на разработку или практическое применение способов или средств защиты информации [10]. Меры защиты могут быть организационными и
техническими. Организационные меры реализуются без
применения аппаратного или программного обеспечения и
касаются действий персонала информационной системы. К
таким мерам могут относиться, например, ограничение доступа лиц на территорию, к оборудованию и программному обеспечению, реализуемое подразделениями охраны,
правила регистрации и применения отчуждаемых носителей, установление времени смены паролей в организации,
назначение ответственных лиц в области обеспечения безопасности информации и др. Требования к организационным мерам касаются их состава и содержания, сроков и
места применения, исполнителей и др.
Технические меры, напротив, реализуются с применением программных, аппаратных или программноаппаратных средств. В требованиях к этим мерам указывается состав и содержание мер, которые должны применяться в информационной системе, средства, с помощью
которых реализуется каждая мера, сроки, места и порядок
их применения и др. Более подробно о требованиях к мерам и средствам изложено в разделе 5.
Для регламентации деятельности в области защиты
информации со стороны государства законодательными
органами и уполномоченными федеральными органами
исполнительной власти разрабатываются соответствующие
документы, состав видов которых приведен на рис. 4.3.
342
Законы Российской Федерации
Нормативные
документы
Организационнораспорядительные документы
Стратегии
Концепции
Стандарты
Международные
Доктрины
Положения
Национальные
Правила стандартизации
(своды правил)
Основные
направления
Инструкции
Нормы и рекомендации в
области стандартизации
Методические
документы
Специальные
нормативные
документы
Специальные
требования и
рекомендации
Руководящие
документы
Нормативные
правовые акты
Модели
Методики
Руководства
Рекомендации
Рис. 4.3. Система видов нормативных и методических документов, регламентирующих деятельность по защите информации в ИТКС
343
Следует отметить, что сегодня отсутствуют документы, целенаправленно регламентирующие деятельность
по защите информации в ИТКС. Поэтому на практике руководствуются национальными стандартами и нормативными документами федеральных органов исполнительной
власти, содержащими общие требования по защите информации в любых автоматизированных системах, и в
частности нормативными документами ФСТЭК России
(рис. 4.4 и 4.5).
Следует отметить, что в государственных стандартах пока приводятся в основном общие требования по защите информации, касающиеся организации защиты, или
общие требования по обеспечению безопасности информационных технологий, и лишь в части высоконадежной
биометрической аутентификации требования касаются
средств защиты.
В связи с этим при проектировании ИТКС в защищенном исполнении используют преимущественно нормативные документы федеральных органов исполнительной
власти, которые являются обязательными для государственных информационных систем и информационных систем персональных данных. Наличие нескольких нормативных документов, казалось бы, может вызвать сложности в определении того из них, которым нужно руководствоваться при обосновании требований к ИТКС, особенно
когда такая система одновременно является государственной и относится к информационным системам персональных данных. Общая схема определения документа уполномоченного федерального органа исполнительной власти,
который следует использовать в интересах обоснования
требований по защите информации в ИТКС показана на
рис. 4.6.
344
Государственные стандарты
ГОСT P 51624-2000 – Защита информации. Автоматизированные
системы в защищенном исполнении. Общие требования
ГОСТ 34. 602-89 - Информационная технология. Комплекс
стандартов на автоматизированные системы. Техническое задание на
создание автоматизированной системы
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от
НСД к информации. Общие технические требования
ГОСТ 51188-1998. Защита информации. Испытания программных
средств нга наличие компьютерных вирусов . Типовое руководство
ГОСТ Р 53113.1-2008 Защита информационных технологий и
автоматизированных систем от угроз информационной безопасности,
реализуемых с использованием скрытых каналов. Часть 1. Общие
положения
ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Руководство по
реализации системы менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 27005-2010 - Информационная технология.
Методы и средства обеспечения безопасности. Менеджмент риска
информационной безопасности
ГОСТ Р 52633-2006. Защита информации. Техника защиты
информации. Требования к средствам высоконадежной
биометрической аутентификации
ГОСТ Р 52633.1-2009. Защита информации. Техника защиты
информации. Требования к формированию баз естественных
биометрических образов, предназначенных для тестирования
средств высоконадежной биометрической аутентификации
ГОСТ Р 53113.2-2009 Рекомендации по организации защиты
информации, информационных технологий и автоматизированных
систем от атак с использованием скрытых каналов
ГОСТ Р 52633.2-2010 - Защита информации. Техника защиты
информации. Требования к формированию синтетических
биометрических образов, предназначенных для тестирования
средств высоконадежной биометрической аутентификации
ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология.
Методы и средства обеспечения безопасности. Оценка безопасности
автоматизированных систем.
ГОСТ Р 52633.3-2011 — Защита информации. Техника защиты
информации. Тестирование стойкости средств высоконадежной
биометрической защиты к атакам подбора
ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология.
Методы и средства обеспечения безопасности. Безопасность сетей.
Часть 1. Обзор и концепции.
ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология.
Методы и средства обеспечения безопасности. Менеджмент
информационной безопасности. Измерения.
ГОСТ Р 54581-2011 Информационная технология. Методы и
средства обеспечения безопасности. Основы доверия к безопасности
ИТ. Часть 1. Обзор и основы.
ГОСТ Р ИСО/МЭК 15408-1,-2,-3, 2008 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1-3
ГОСТ Р ИСО/МЭК ТО 15446-2008. Информационная технология.
Методы и средства обеспечения безопасности. Руководство по
разработке профилей защиты и заданий по безопасности
ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Общий обзор и
терминология
ГОСТ Р 52633.4-2011 - Защита информации. Техника защиты
информации. Интерфейсы взаимодействия с нейросетевыми
преобразователями биометрия - код доступа
ГОСТ Р 52633.5-2011. Защита информации. Техника защиты
информации. Автоматическое обучение нейросетевых
преобразователей биометрия-код доступа
ГОСТ Р 52633.6-2011. Защита информации. Техника защиты
информации. Требования к индикации близости предъявленных
биометрических данных образу «Свой»
ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам
восстановления после чрезвычайных ситуаций функций и
механизмов безопасности информационных и
телекоммуникационных технологий. Общие положения.
ГОСТ Р ИСО/МЭК 27001-2006. Информационные технологии –
Средства обеспечения безопасности – Системы менеджмента
информационной безопасности – Требования
ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология.
Методы и средства обеспечения безопасности. Свод норм и правил
менеджмента информационной безопасности
Рис. 4.4. Государственные стандарты в области защиты информации
345
Для государственных информационных систем
Для всех информационных систем
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Приказ ФСТЭК России от 11 февраля
2013 г. №17
Специальные требования и рекомендации по
защите конфиденциальной информации (СТР-К).
Приказ председателя Гостехкомиссии России от
2.03.2001 г. Решение Гостехкомиссии России
от 23.05.1997 г. №55
Для ключевых систем информационной инфраструктуры
Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими
процессами на критически важных объектах,
потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для
окружающей природной среды. Приказ
ФСТЭК России от 14 марта 2014 г. №31
Указ Президента Российской Федерации от
17марта 2008 г. №351 «О мерах по обеспечению
безопасности РФ при использовании ИТКС международного информационного обмена»
Руководящий документ. Автоматизированные
системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации . М.: Военное издательство. 1992.
Для информационных систем персональных
данных
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищенности. М.: Военное издательство. 1992
Постановление Правительства Российской
Федерации от 1 ноября 2012 г.
№ 1119 "Об утверждении требований к защите ПДн при их обработке в ИСПДн"
Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М.;
1999 г.
Состав и содержание организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в
информационных системах персональных
данных. Приказ ФСТЭК России от 18 февраля
2013 г. №21
Руководящий документ. Безопасность информационных технологий. Положение по разработке
профилей защиты и заданий по безопасности.
Гостехкомиссия России, 2003 г.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
2008 г.
Для средств и систем защиты информации
Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного
доступа к информации. М.: 1997
Требования к системам обнаружения вторжений.
Приказ ФСТЭК России от « 6 » декабря 2011 г. № 638
Требования в области технического регулирования к продукции,
используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требования к средствам антивирусной защиты).
Приказ ФСТЭК России от « 20 » марта 2012 г. № 28
Рис. 4.5. Документы федеральных органов исполнительной власти, регламентирующие
деятельность в области защиты информации в ИТКС
346
Определение группы, к которой относится ИТКС
В ИТКС циркулирует информация, составляющая
государственную тайну
нет
В ИТКС циркулирует
иная информация, ограниченного доступа
нет
Формулируются требования к целостности и доступности системного, прикладного ПО и пользовательских данных
да
да
ИТКС не относится ни к государственной, ни информационной системой персональных данных
Выбор класса и формулирование требований в соответствии с РД АС (для
классов 3А, 2А или 1В, 1Б,
1А
Выбор класса и формулирование требований в соответствии с РД АС (для классов
1Г, 1Д)
ИТКС является государственной
Выбор класса и формулирование требований в соответствии с приказом
ФСТЭК России №17
ИТКС является информационной системой
персональных данных
ИТКС является государственной и
одновременно информационной
системой персональных данных
Выбор уровня защищенности
и формулирование требований в соответствии с приказом ФСТЭК России №21
Выбираются более
жесткие требования из двух
нормативных правовых актов, соответствующих
приказам ФСТЭК
России №17 и №21
Рис. 4.6. Общая схема определения документа уполномоченного федерального органа исполнительной власти в интересах обоснования
требований по защите информации в ИТКС
347
При этом для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г.
N 17, необходимо руководствоваться требованиями (в том
числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г.
N 1119 [23], и должно быть обеспечено соответствующее
соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных
данных выше, чем установленный класс защищенности
государственной информационной системы, то осуществляется повышение класса защищенности до значения,
обеспечивающего выполнение пункта 27 Требований,
утвержденных приказом ФСТЭК России от 11 февраля
2013 г. N 17 [19].
4.2. Требования по защите информации в соответствии
действующими руководящими документами
ФСТЭК России
Информационно – телекоммуникационные системы
являются автоматизированными системами, требования к
которым по защите информации от НСД независимо от
назначения автоматизированной системы устанавливаются
в соответствии с руководящим документом Гостехкомиссии [48, 49].
Согласно этому документу требования предъявляются в интересах защиты информации от НСД. В документе подчеркивается, что комплекс средств защиты и органи348
зационных (процедурных) решений по защите информации от НСД должен реализовываться в рамках системы
защиты информации от НСД, включающей в себя следующие четыре подсистемы22:
управления доступом;
регистрации и учета;
криптографической;
обеспечения целостности.
Состав указанных подсистем зависит от класса защиты ИТКС. Выбор требуемого класса защиты определяется:
перечнем защищаемых информационных ресурсов ИТКС и их уровнем конфиденциальности;
перечнем лиц, имеющих доступ к штатным средствам ИТКС, с указанием их уровня полномочий;
матрицей доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам ИТКС;
режимом обработки данных в ИТКС.
В зависимости от указанных признаков для любых
информационных систем может быть введен один из девяти классов защищенности, объединяемых в три группы
(рис. 4.7):
третья группа классифицирует информационные
системы, в которых работает один пользователь,
допущенный ко всей информации в информационной системе, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А;
22
Сегодня состав подсистем в СЗИ значительно шире (см. раздел 6)
349
Третья группа
Вторая группа
Первая группа
В информационной системе
работает один пользователь, допущенный ко всей
информации АС, размещенной на носителях одного уровня конфиденциальности.
В информационной системе
пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и
(или ) хранимой на носителях различного уровня конфиденциальности
В многопользовательской
информационной системе
одновременно обрабатывается и (или) хранится информация разных уровней
конфиденциальности и не
все пользователи имеют
право доступа ко всей информации
3Б
3А
2Б
2А
1Д
1Г
1В
1Б
1А
Рис. 4.7. Классы защищенности информации в информационной системе
350
вторая группа классифицирует информационные
системы, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации, обрабатываемой и/ или хранимой на
носителях различного уровня конфиденциальности. Группа содержит два класса-2Б и 2А;
первая группа классифицирует многопользовательские информационные системы, в которых
одновременно обрабатывается и (или) хранится
информация разных уровней конфиденциальности и не все пользователи имеют право доступа
ко всей информации. Группа содержит пять
классов - 1Д, 1Г, 1В, 1Б и 1А
ИТКС, по сути, являются многопользовательскими
информационными системами, поэтому они относятся или
ко второй, или к первой группе. В зависимости от установленного класса защищенности ИТКС должен быть реализован определенный перечень требований по защите информации.
Общая номенклатура требований, из состава которой должны выбираться требования для конкретной системы защиты, включает следующее (табл. 4.1).
В подсистемах управления доступом должны
быть реализованы:
1. Идентификация, аутентификация и контроль доступа субъектов:
в систему;
к терминалам, компьютерам, узлам сети, каналам
связи, внешним устройствам компьютеров;
к программам;
к томам, каталогам, файлам, записям, полям записей.
351
Таблица 4.1
Требования по защите информации, предъявляемые к информационно - телекоммуникационной системе в целом
Подсистемы и требования
1.
Подсистема управления доступом
Идентификация, аутентификация и контроль доступа субъектов
в систему;
к терминалам, компьютерам, узлам сети, каналам связи, внешним устройствам компьютера;
к программе;
к томам, каталогам, файлам, записям, полям записей
Управление потоками информации
2.
Подсистема регистрации и учета
Регистрация и учет:
входа/выхода субъектов доступа в/ из системы (узла сети);
выдачи печатных (графических) выходных документов;
запуска/ завершения программ и процессов (заданий, задач);
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по
линиям и каналам связи;
доступа программ субъектов доступа к терминалам, компьютерам, узлам сети, каналам связи, внешним
устройствам, программам, томам, каталогам, файлам, записям, полям записей;
изменения полномочий субъектов доступа;
создаваемых защищаемых объектов доступа.
Учет носителей информации.
Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
Сигнализация о попытках нарушения защиты.
3.
Криптографическая подсистема
Шифрование конфиденциальной информации.
Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных
ключах
Использование аттестованных (сертифицированных) криптографических средств.
4.
Подсистема обеспечения целостности
Обеспечение целостности программных средств и обрабатываемой информации.
Физическая охрана средств СВТ. И носителей информации.
Наличие администратора (службы) защиты информации в ИТКС.
периодическое тестирование СЗИ от НСД.
Наличие средств восстановления СЗИ от НСД.
Использование сертифицированных средств защиты.
Классы защиты
2Б
2А
1Д
1Г
1В
1Б
1А
+
-
+
+
+
+
+
+
-
+
+
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
+
+
+
+
+
-
+
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
-
-
-
+
+
+
+
+
+
+
+
+
+
-
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
-
-
-
-
+
+
+
-
-
-
-
-
+
+
-
+
-
-
-
+
+
+
+
+
-
+
+
+
+
+
-
+
+
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
+
-
+
+
+
+
+
+
Примечание: «-« нет требований к данному классу; «+» новые или дополнительные требования
352
2. Управление потоками информации. При этом
подсистемой управления доступом должна осуществляться
идентификация и аутентификация субъектов доступа:
для класса защищенности 1Д при входе в систему по паролю условно-постоянного действия,
длиной не менее шести символов;
для класса защищенности 2 Б, 2А, 1Г, 1В при
входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не
менее шести символов;
для класса защищенности 1Б при входе в систему
по идентификатору (коду) и паролю временного
действия длиной не менее восьми символов.
Кроме того, должны осуществляться: идентификация терминалов, компьютеров, узлов сети, каналов связи, внешних устройств компьютеров по
физическим адресам (номерам); идентификация
программ, томов, каталогов, файлов, записей, полей записей по именам; контроль доступа субъектов к защищаемым ресурсам в соответствии с
матрицей доступа; управление потоками информации с помощью меток конфиденциальности
(при этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации);
для класса защищенности 1А при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия
длиной не менее восьми буквенно-цифровых
символов. Кроме того, должны осуществляться:
аппаратурная идентификация и проверка подлинности терминалов, компьютеров, узлов сети,
353
каналов связи, внешних устройств компьютеров
по уникальным встроенным устройствам; идентификация и проверка подлинности программ,
томов, каталогов, файлов, записей, полей записей
по именам и контрольным суммам (паролям,
ключам); контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; управление потоками информации с помощью меток конфиденциальности (при этом уровень конфиденциальности накопителей должен
быть не ниже уровня конфиденциальности записываемой на него информации).
В подсистеме регистрации и учета должны
быть реализованы:
1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) системы
(узел сети);
выдачи печатных (графических) выходных документов;
запуска (завершения) программ и процессов (заданий, задач);
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление,
передачу по линиям и каналам связи;
доступа программ субъектов доступа к терминалам, компьютерам, узлам сети, каналам связи,
внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям
записей;
изменения полномочий субъектов доступа;
создаваемых защищаемых объектов доступа.
2. Учет носителей информации.
354
3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютера и внешних накопителей.
4. Сигнализация попыток нарушения защиты
Регистрация выхода из системы или остановки не
проводится в моменты аппаратурного отключения ИТКС.
В параметрах регистрации указываются:
время и дата входа/выхода субъекта доступа в
систему/из системы или загрузки/остановка системы;
должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки с занесением учетных данных в журнал
(учетную карточку).
Для класса защищенности 2Б, 1Д подсистемой регистрации и учета должна осуществляться регистрация
входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной
системы и ее программного останова. Регистрация выхода
из системы или останов не проводится в моменты аппаратурного отключения ИТКС.
В параметрах регистрации указываются:
время и дата входа/выхода субъекта доступа в
систему/из системы или загрузки/останова системы;
результат попытки входа: успешный или неуспешный (при НСД).
Должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки и занесением учетных данных в журнал (карточку).
Для класса защищенности 2А, 1Г подсистемой регистрации и учета: должна осуществляться регистрация
входа/выхода субъектов доступа в систему/из системы, ли355
бо регистрация загрузки и инициализации операционной
системы и ее программного останова. Регистрация выхода
из системы или останов не проводится в моменты аппаратурного отключения ИТКС. В параметрах регистрации
указываются:
время и дата входа/выхода субъекта доступа в
систему/из системы или загрузки/останова системы;
результат попытки входа: успешный или неуспешный (при НСД);
идентификатор (код или фамилия) субъекта,
предъявленный при попытке доступа.
Должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой
каждого листа (страницы) документа его последовательным номером и учетными реквизитами ИТКС с указанием
на последнем листе документа общего количества листов
(страниц).
В параметрах регистрации указываются:
время и дата выдачи (обращения к подсистеме
вывода);
спецификация устройства выдачи (логическое
имя/номер внешнего устройства);
краткое содержание (наименование, вид, шифр,
код) и уровень конфиденциальности документа;
идентификатор субъекта доступа, запросившего
документ.
Должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач),
предназначенных для обработки защищаемых файлов.
В параметрах регистрации указываются:
356
дата и время запуска;
имя (идентификатор) программы (процесса, задания);
идентификатор субъекта доступа, запросившего
программу (процесс, задание);
результат запуска (успешный, неуспешный - несанкционированный).
Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач,
заданий) к защищаемым файлам.
В параметрах регистрации указываются:
дата и время попытки доступа к защищаемому
файлу с указанием ее результата: успешная, неуспешная - несанкционированная;
идентификатор субъекта доступа, спецификация
защищаемого файла.
Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, узлам
сети, линиям (каналам) связи, внешним устройствам компьютера, программам, томам, каталогам, файлам, записям,
полям записей.
В параметрах регистрации указываются:
дата и время попытки доступа к защищаемому
объекту с указанием ее результата: успешная, неуспешная – несанкционированная;
идентификатор субъекта доступа, спецификация
защищаемого объекта (логическое имя/номер);
должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их
дополнительной маркировки, используемой в
подсистеме управления доступом. Маркировка
357
должна отражать уровень конфиденциальности
объекта. При этом должны проводиться учет всех
защищаемых носителей информации с помощью
их любой маркировки с занесением соответствующих записей в журнал (картотеку) с регистрацией их выдачи/приема, несколько видов учета (
дублирующих ) защищаемых носителей информации, очистка (обнуление, обезличивание)
освобождаемых областей оперативной памяти
ЭВМ и внешних накопителей(очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)).
Для класса защищенности 1В, 1Б, 1А подсистемой
регистрации и учета: должны осуществляться те же функции, что и для класса 1Г, а также должна осуществляться
регистрация изменений полномочий субъектов доступа и
статуса объектов доступа. При этом в параметрах регистрации указываются:
дата и время изменения полномочий;
идентификатор субъекта доступа (администратора), осуществившего изменения.
Кроме того, для класса 1Б и 1А должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.
В криптографической подсистеме должно быть
реализовано:
1. Шифрование конфиденциальной информации.
2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных
ключах.
358
3. Использование аттестованных (сертифицированных) криптографических средств.
При этом для классов защищенности 2Б, 1Д, 1Г, 1В
криптографическая защита не осуществляется.
Для класса 2А, 1Б криптографической подсистемой
должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных (дискеты, микрокассеты и т.п.) долговременной
внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом
должны выполняться автоматическое освобождение и
очистка областей внешней памяти, содержавших ранее незашифрованную информацию. Кроме этого, доступ субъектов к операциям шифрования и криптографическим
ключам должен дополнительно контролироваться подсистемой управления доступом, и должны использоваться
сертифицированные средства криптографической защиты.
Для класса 1А для криптографической подсистемы
предъявляются те же требования, что и для классов 2А и
1Б, а также:
должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа
(группам субъектов);
доступ субъектов к операциям шифрования и к
соответствующим криптографическим ключам
должен дополнительно контролироваться посредством подсистемы управления доступом.
359
В подсистеме обеспечения целостности должно
быть реализовано:
1. Обеспечение целостности программных средств
и обрабатываемой информации.
2. Физическая охрана средств вычислительной техники и носителей информации.
3. Наличие администратора (службы) защиты информации в ИТКС.
4. Периодическое тестирование СЗИ.
5. Наличие средств восстановления СЗИ.
6. Использование сертифицированных средств защиты.
Для классов 2Б,2А подсистемой обеспечения целостности должна быть обеспечена целостность программных средств СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды, при
этом:
целостность СЗИ проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты информации;
целостность программной среды обеспечивается
отсутствием в ИТКС средств разработки и отладки программ;
должна осуществляться физическая охрана СВТ
(устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ИТКС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование
помещений ИТКС;
должно проводиться периодическое тестирование функций СЗИ от НСД при изменении про360
граммной среды и персонала ИТКС с помощью
тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления
СЗИ, предусматривающие ведение двух копий
программных средств системы защиты информации от НСД и их периодическое обновление и
контроль работоспособности, а для класса 2А
дополнительно должно выполняться требование
использования сертифицированных средств защиты.
Для классов 1Д,1Г подсистемой обеспечения целостности должна быть обеспечена целостность программных средств СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды, при
этом:
целостность системы защиты информации проверяется при загрузке системы по контрольным
суммам компонент СЗИ;
целостность программной среды обеспечивается
использованием трансляторов с языков высокого
уровня и отсутствием средств модификации объектного кода программ в процессе обработки и
(или ) хранения защищаемой информации;
должна осуществляться физическая охрана СВТ
(устройств и носителей информации), предусматривающая контроль доступа в помещения
ИТКС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИТКС и хранилище носителей информации, особенно в нерабочее время;
должно проводиться периодическое тестирование функций СЗИ от НСД при изменении про-
361
граммной среды и персонала ИТКС с помощью
тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления
СЗИ от НСД, предусматривающие ведение двух
копий программных средств системы защиты
информации от НСД и их периодическое обновление и контроль работоспособности.
Для классов 1В,1Б и 1А подсистемой обеспечения
целостности:
должна быть обеспечена целостность программных средств системы защиты информации от
НСД, а также неизменность программной среды.
При этом: целостность СЗИ от НСД проверяется
при загрузке системы по контрольным суммам
компонентов СЗИ, целостность программной
среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием
средств модификации объектного кода программ
при обработке и (или) хранении защищаемой
информации;
должна осуществляться физическая охрана СВТ
(устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ИТКС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специального оборудования
помещений ИТКС;
должен быть предусмотрен администратор
(служба) защиты информации, ответственный за
ведение, нормальное функционирование и контроль работы системы защиты информации от
НСД. Администратор должен иметь свой терми362
нал и необходимые средства оперативного контроля и воздействия на безопасность ИТКС;
должно проводиться периодическое тестирование всех функций системы защиты информации
от НСД с помощью специальных программных
средств не реже одного раза в год для класса 1В,
одного раза в квартал для классов 1Б и 1А;
должны быть в наличии средства восстановления
системы защиты информации от НСД, предусматривающие ведение двух копий программных
средств системы защиты информации от НСД и
их периодическое обновление и контроль работоспособности для класса 1В, а для классов 1Б и
1А также автоматическое оперативное восстановление функций СЗИ НСД при сбоях;
должны использоваться сертифицированные
средства защиты.
При обработке или хранении в ИТКС информации,
не отнесенной к категории секретной, должны проводиться
следующие организационные мероприятия:
выявление конфиденциальной информации и ее
документальное оформление в виде перечня сведений, подлежащих защите;
определение порядка установления уровня полномочий субъекта доступа, а также круга лиц,
которым это право предоставлено;
установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;
ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий,
а также с организационно-распорядительной и
рабочей документацией, определяющей требова363
ния и порядок обработки конфиденциальной информации;
получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной
информации;
обеспечение охраны объекта, на котором расположена защищаемая ИТКС, (территория, здания,
помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми
другими способами, предотвращающими или
существенно затрудняющими хищение средств
вычислительной техники, носителей информации, а также НСД к СВТ и линиям связи;
выбор класса защищенности ИТКС в соответствии с особенностями обработки информации
(технология обработки, конкретные условия эксплуатации ИТКС) и уровнем ее конфиденциальности;
организация службы безопасности информации
(ответственные лица, администратор ИТКС),
осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в ИТКС новых программных средств, а также контроль за
ходом технологического процесса обработки
конфиденциальной информации и т.д.
Если в ИТКС должна обрабатываться или храниться информация, составляющая государственную тайну,
необходимо ориентироваться на классы защищенности
ИТКС не ниже (по группам) 1А, 1Б, 1В и использовать
364
сертифицированные средства вычислительной техники в
соответствии с РД «Средства вычислительной техники.
Защита от несанкционированного доступа к информации.
Показатели защищенности средств вычислительной техники». Содержание требований к защищенности информации
в СВТ приведены ниже по тексту и показаны в обобщенном виде в табл. 4.2. При обработке информации составляющей государственную тайну, должны применяться в
ИТКС СВТ не ниже 4 класса для класса защищенности
ИТКС 1В; не ниже 3 класса для класса защищенности
ИТКС 1Б; не ниже 2 класса для класса защищенности
ИТКС 1А (см. табл. 4.2).
В частности, набор требований, соответствующий
высшему (первому) классу защищенности от НСД, включает в себя следующие требования.
1. Требования к разграничению доступа.
1.1. Требования к разграничению доступа определяют следующие показатели защищенности, которые
должны поддерживаться СВТ:
а) дискреционный принцип контроля доступа;
б) мандатный принцип контроля доступа;
в) идентификация и аутентификация;
г) очистка памяти;
д) изоляция модулей;
е) защита ввода и вывода на отчуждаемый физический носитель информации;
ж) сопоставление пользователя с устройством.
1.2. Для реализации дискреционного (избирательного) принципа контроля доступа должен контролироваться
доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).
365
Таблица 4.2
Требования к защищенности информации в СВТ
Наименование показателя
6
+
-
5
+
+
-
1. Дискреционный принцип контроля доступа
2. Мандатный принцип контроля доступа
3. Очистка памяти
4. Изоляция модулей
5. Маркировка документов
6. Защита вода и вывода на отчуждаемый носитель информации
7. Сопоставление пользователя с устройством
8. Идентификация и аутентификация
+
=
9.Гарантиии проектирования
+
10. Регистрация
+
11 Взаимодействие пользователя с комплексом средств защиты
12. Надежное восстановление
13. Целостность комплекса средств защиты
+
14. Контроль модификации
15. Контроль дистрибуции
16. Гарантии архитектуры
17. Тестирование
+
+
18. Руководство пользователя
+
=
19. Руководство по комплексу средств защиты
+
+
20. Тестовая документация
+
+
21. Конструкторская (проектная) документация
+
+
Обозначения:
"-" нет требований к данному классу
"+" новые или дополнительные требования
"=" требования совпадают с требованиями к СВТ предыдущего класса
366
Класс защищенности
4
3
2
+
=
+
+
=
=
+
+
=
+
=
+
1
=
=
=
=
+
=
=
=
+
+
+
+
+
=
+
+
+
=
+
+
+
+
+
+
=
+
+
+
=
+
=
=
=
=
+
+
+
=
+
+
+
=
+
=
=
=
=
=
=
+
=
=
=
+
+
Для каждой пары (субъект-объект) в СВТ должно
быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех
типов доступа, которые являются санкционированными
для данного субъекта (индивида или группы индивидов) к
данному ресурсу СВТ (объекту).
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе
равноправных индивидов).
Механизм, регулирующий дискреционный принцип
контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в
том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.
Право изменять ПРД должно быть предоставлено
выделенным субъектам (например, администрации, службе
безопасности).
Должны быть предусмотрены средства управления,
ограничивающие распространение прав на доступ.
Должен быть предусмотрен механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий
пользователя, так и для скрытых. Под «явными» здесь
подразумеваются действия, осуществляемые с использованием системных средств, а под «скрытыми» - иные действия, в том числе с использованием собственных программ работы с устройствами.
1.3. Для реализации мандатного (полномочного)
принципа контроля доступа каждому субъекту и каждому
объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью
этих меток субъектам и объектам должны быть назначены
классификационные уровни, являющиеся комбинациями
уровня иерархической классификации и иерархических
367
категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
При вводе новых данных в систему должны быть
запрошены и получены от санкционированного пользователя классификационные метки этих данных. При санкционированном внесении в список пользователей нового
субъекта ему должны быть назначены классификационные
метки. Внешние классификационные метки (субъектов,
объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
Должна быть предусмотрена возможность реализации мандатного принципа контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:
а) субъект может читать объект, если уровень
иерархической классификации в классификационном
уровне субъекта не меньше, чем уровень иерархической классификации в классификационном уровне
субъекта, и неиерархические категории в классификационном уровне субъекта включают в себя все неиерархические категории в классификационном
уровне объекта;
б) субъект осуществляет запись в объект, если классификационный уровень субъекта в иерархической
классификации не больше, чем классификационный
уровень объекта в иерархической классификации, и
все неиерархические категории в классификационном
уровне субъекта включены в неиерархические категории в классификационном уровне объекта.
Реализация мандатных ПРД должна предусматривать возможности сопровождения - изменения классификационных уровней субъектов и объектов специально выделенными субъектами.
368
В СВТ должен быть реализован диспетчер доступа,
то есть средство, осуществляющее перехват всех сообщений субъектов к объектам, а также разграничение доступа
в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса
на доступ следует принимать только при одновременном
разрешении его дискреционными и мандатными ПРД. Таким образом, должны быть контролируемыми не только
единичный акт доступа, но и потоки информации.
1.4. В СВТ должна быть обеспечена идентификация
субъектов при запросах на доступ, должна проверяться
подлинность идентификатора субъекта - осуществляться
аутентификация. СВТ должно располагать необходимыми
данными для идентификации и аутентификации и препятствовать доступу к защищаемым ресурсам неидентифицированных субъектов или субъектов, чья подлинность при
аутентификации не подтвердилась.
СВТ должно обладать способностью связывать полученный результат идентификации и аутентификации со
всеми действиями, относящимися к контролю, предпринимаемыми в отношении данного субъекта.
1.5. В СВТ должна осуществляться очистка оперативной и внешней памяти. Очистка должна производиться
путем записи маскирующей информации в память при ее
освобождении (перераспределении).
1.6. При наличии в СВТ мультипрограммирования в
интересах защиты информации должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей (других субъектов), т.е. в оперативной
памяти компьютера программы разных пользователей
должны быть защищены друг от друга.
369
1.7. В СВТ должно быть обеспечено различение
каждого устройство ввода-вывода и каждого канала связи
как произвольно используемых или как идентифицированных («помеченных»). При вводе с «помеченного» устройства (выводе на «помеченное» устройство) должно обеспечиваться соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой
устройства. Такое же соответствие должно быть при работе с «помеченным» каналом связи.
Изменения в назначении и разметке устройств и каналов должны осуществляться только под соответствующим контролем.
1.8. В СВТ должен обеспечиваться вывод информации на запрошенное пользователем устройство как для
произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки). При этом
должен быть реализован механизм, с помощью которого
санкционированный пользователь надежно сопоставляется
с выделенным ему идентифицированным устройством.
2. Требования к учету.
2.1. Требования к учету определяют следующие показатели защищенности, которые должны поддерживаться
СВТ:
регистрация;
маркировка документов.
2.2 Должна обеспечиваться регистрация следующих
событий:
а) использование идентификационного и аутентификационного механизма
б) запрос на доступ к защищаемому ресурсу
(например, открытие файла, запуск программы);
в) создание и уничтожение объекта;
г) действия, связанные с изменением ПРД.
370
Для каждого из этих событий должна быть зарегистрирована следующая информация:
дата и время;
субъект, осуществляющий регистрируемое действие;
тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);
успешно ли осуществилось событие (обслужен
запрос на доступ или нет).
При защите должно быть обеспечено выборочное
ознакомление с регистрационной информацией.
Для высоких классов защищенности СВТ должна
быть предусмотрена регистрация всех попыток доступа,
всех действий оператора и выделенных субъектов (например, администраторов защиты).
2.3. В СВТ должен быть обеспечен вывод защищаемой информации на документ вместе с ее классификационной меткой.
3. Требования к гарантиям
3.1. Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
а) гарантии проектирования;
б) надежное восстановление;
в) целостность средств и комплексов средств защиты, установленных в СВТ;
г) контроль модификации;
д) контроль дистрибуции;
е) гарантии архитектуры;
ж) взаимодействие пользователя со средствами и
комплексами средств защиты, установленными
в СВТ;
з) тестирование.
371
3.2. На начальном этапе при проектировании механизмов защиты СВТ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм
управления доступом. Эта модель должна содержать:
а) непротиворечивые ПРД;
б) непротиворечивые правила изменения ПРД;
в) правила работы с устройствами ввода и вывода;
г) формальную модель механизма управления доступом.
Спецификация программных или программноаппаратных средств, применяемых для защиты СВТ и реализующих механизм управления доступом и его интерфейсы, должна быть высокоуровневой. Эта спецификация
должна быть верифицирована на соответствие заданным
принципам разграничения доступа.
Для высоких классов защищенности СВТ должно
быть предусмотрено, чтобы высокоуровневые спецификации были отображены последовательно в спецификации
одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации на языке программирования высокого уровня.
3.3. Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств защиты.
3.4. В СВТ должны быть предусмотрены средства
периодического контроля за целостностью программной и
информационной части применяемого комплекса средств
защиты.
Программы по обеспечению защиты информации
должны выполняться в отдельной части оперативной памяти. Это требование должно быть подвергнуто верификации.
372
3.5. При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, то есть управление изменениями в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде.
Между документацией и текстами программ должно быть
соответствие. Генерируемые версии должны быть сравнимыми. Оригиналы программ должны быть защищены.
3.6. При изготовлении копий с оригинала СВТ должен быть осуществлен контроль точности копирования
программных или программно-аппаратных средств защиты
информации. Изготовленная копия должна гарантированно
повторять образец.
3.7. Защита должна обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений
субъектов к объектам.
3.8. В СВТ должна быть предусмотрена модульная
и четко определенная структура построения комплекса
средств защиты информации, что делает возможными его
изучение, анализ, верификацию и модификацию. Должен
быть обеспечен надежный интерфейс пользователя, который должен быть логически изолирован от других интерфейсов.
3.9. В СВТ должны тестироваться:
а) реализация ПРД (перехват явных и скрытых запросов на доступ, правильное распознавание
санкционированных и несанкционированных
запросов на доступ, функционирование средств
защиты механизма разграничения доступа,
санкционированные изменения ПРД и др.);
б) очистка оперативной и внешней памяти;
в) работа механизма изоляции процессов в оперативной памяти;
373
г) маркировка документов;
д) защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление
пользователя с устройством;
е) идентификация и аутентификация, а также средства их защиты;
ж) регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;
з) работа механизма надежного восстановления;
и) работа механизма, осуществляющего контроль
за целостностью комплекса средств защиты;
к) работа механизма, осуществляющего контроль
дистрибуции.
4. Требования к документации.
4.1. При приемке СВТ, их сертификации и испытаниях других видов необходимо подробное и всестороннее
описание принятых мер защиты информации (комплекса
средств защиты), т.е. необходима документация, включающая в себя:
а) руководство пользователя;
б) руководство по защите информации (комплексу
средств защиты);
в) текстовую документацию;
г) конструкторскую (проектную) документацию.
4.2. Руководство пользователя должно включать в
себя краткое описание способов использования комплекса
средств защиты и его интерфейсов с пользователем.
4.3. Руководство по защите (комплексу средств защиты) адресовано администратору защиты и должно содержать:
а) описание контролируемых функций;
374
б) руководство по генерации комплекса средств
защиты;
в) описание старта СВТ и процедур проверки правильности старта;
г) описание процедур работы со средствами регистрации;
д) руководство по средствам надежного восстановления;
е) руководство по средствам контроля модификации и дистрибуции.
4.4. Тестовая документация должна содержать описание тестов и испытаний, которым подвергались СВТ, а
также результатов тестирования.
4.5. Конструкторская (проектная) документация
должна содержать:
а) общее описание принципов работы СВТ;
б) общую схему защиты информации (применяемого в СВТ комплекса средств защиты);
в) описание интерфейсов защиты информации;
г) описание модели защиты;
д) описание диспетчера доступа;
е) описание механизма контроля целостности комплекса средств защиты;
ж) описание механизма очистки памяти;
з) описание механизма изоляции программ в оперативной памяти;
и) описание средств защиты ввода и вывода на отчуждаемый физический носитель информации и
сопоставления пользователя с устройством;
к) описание механизма идентификации и аутентификации;
л) описание средств регистрации;
375
м) высокоуровневую спецификацию программных
и программно-аппаратных средств защиты и их
интерфейсов;
н) верификацию соответствия высокоуровневой
спецификации комплекса средств защиты модели защиты;
о) описание гарантий проектирования и эквивалентность дискреционных и мандатных ПРД.
Таковы требования, которые должны предъявляться
к СВТ, применяемым в ИТКС в защищенном исполнении.
4.3. Особенности задания требований
к государственным информационнотелекоммуникационным системам
Деятельность по защите информации в государственных информационных системах, в которых не обрабатывается информация, содержащая сведения, составляющие государственную тайну, регламентируется сегодня
нормативным правовым актом [19]. Если в ИТКС циркулирует информация, содержащая сведения, составляющие
государственную тайну, или иная информация, обладателями которой являются государство и которая содержит
сведения, составляющие служебную тайну, то необходимо
руководствоваться требованиями указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по
обеспечению безопасности РФ при использовании ИТКС
международного информационного обмена». В соответствии с этим указом:
1) не допускается подключение таких информационных систем, информационно-телекоммуникационных
сетей и средств вычислительной техники к информационно-телекоммуникационным сетям, позволяющим осу376
ществлять передачу информации через государственную
границу Российской Федерации, в том числе к международной компьютерной сети Internet;
2) при необходимости подключения таких информационных
систем,
информационнотелекоммуникационных сетей и средств вычислительной
техники к информационно-телекоммуникационным сетям
международного информационного обмена такое подключение производится только с использованием специально
предназначенных для этого средств защиты информации, в
том числе шифровальных (криптографических) средств,
прошедших в установленном законодательством Российской Федерации порядке сертификацию в ФСБ России.
С учетом изложенного далее рассматриваются
только особенности задания требований к государственным информационно-телекоммуникационным системам, в
которых циркулирует информация, не содержащая указанных сведений.
Нормативный правовой акт [19] предназначен для
обладателей информации, заказчиков, заключивших государственный контракт на создание государственной ИТКС
и операторов государственных информационных систем.
Защита информации, содержащейся в государственной ИТКС, обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации и требований
к мерам защиты информации, содержащейся в информационной системе.
Защита информации является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания
и в ходе эксплуатации путем принятия организационных и
технических мер защиты информации, направленных на
377
блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках СЗИ в составе информационной системы.
Организационные и технические меры защиты информации, реализуемые в рамках СЗИ, в зависимости от
информации, содержащейся в информационной системе,
целей создания информационной системы и задач, решаемых этой информационной системой, должны быть
направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации
(обеспечение конфиденциальности информации);
неправомерных уничтожения или модификации
информации (обеспечение целостности информации);
неправомерного
блокирования
информации
(обеспечение доступности информации).
Отмечено, что для обеспечения защиты информации необходимо проводить следующие мероприятия:
формирование требований к защите информации,
содержащейся в информационной системе;
разработку СЗИ для информационной системы;
внедрение СЗИ в информационную систему;
аттестацию информационной системы по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из
эксплуатации аттестованной информационной
системы или после принятия решения об окончании обработки информации.
378
Формирование требований к защите информации,
осуществляется с учетом стандартов [12, 51] и включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы по
требованиям защиты информации;
определение угроз безопасности информации,
реализация которых может привести к нарушению безопасности информации в ИТКС, и разработку на их основе модели угроз безопасности
информации;
определение требований к СЗИ информационной
системы.
При принятии решения о необходимости защиты
информации в ИТКС должны осуществляться:
анализ целей создания информационной системы
и задач, решаемых этой информационной системой;
определение информации, циркулирующей в
ИТКС;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИТКС;
принятие решения о необходимости создания
СЗИ в ИТКС, а также определение целей и задач
защиты информации, основных этапов создания
СЗИ и функций по обеспечению защиты информации обладателя информации (заказчика), оператора и уполномоченных лиц.
Для дифференцирования задания требований необходимо провести классификацию ИТКС в зависимости от
379
значимости обрабатываемой в ней информации и масштаба системы (федеральный, региональный, объектовый). В
документе установлено четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий
класс – четвертый, самый высокий – первый (рис. 4.8).
Класс защищенности определяется для информационной
системы в целом и, при необходимости, для ее отдельных
сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание
ИТКС и (или) техническое задание (частное техническое
задание) на создание СЗИ в составе ИТКС.
Класс защищенности информационной системы
подлежит пересмотру при изменении масштаба ИТКС или
значимости обрабатываемой в ней информации.
Требования к СЗИ разрабатываются с учетом стандартов [12 - 15, 51], включаются в техническое задание на
создание информационной системы и (или) техническое
задание (частное техническое задание) на создание СЗИ и
должны в том числе содержать:
цель и задачи обеспечения защиты информации в
информационной системе;
класс защищенности информационной системы;
перечень нормативных правовых актов, методических документов и национальных стандартов,
которым должна соответствовать информационная система;
перечень объектов защиты информационной системы;
требования к мерам и средствам защиты информации, применяемым в информационной системе;
380
Класс защищенности
Признаки отнесения к классу защищенности
Первый класс К1
[высокий уровень значимости; любой масштаб]
[средний уровень значимости; федеральный масштаб]
Второй класс К2
[средний уровень значимости; региональный/ объектовый масштаб]
[низкий уровень значимости; федеральный масштаб]
Третий класс К3
[низкий уровень значимости; региональный/ объектовый масштаб]
[минимальный уровень значимости; федеральный/ региональный
масштаб]
Четвертый класс К4
[минимальный уровень значимости; объектовый масштаб]
Рис. 4.8. Классы защищенности государственных информационных систем
381
требования к защите информации при информационном взаимодействии с иными информационными системами и ИТКС, в том числе с информационными системами уполномоченного
лица, а также при применении вычислительных
ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Организационные и технические меры защиты информации, подлежащие реализации в ИТКС в рамках ее
СЗИ, в зависимости от угроз безопасности информации,
используемых информационных технологий и структурнофункциональных характеристик ИТКС должны обеспечивать:
идентификацию и аутентификацию субъектов
доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защиту машинных носителей информации;
регистрацию событий безопасности;
антивирусную защиту;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности информации;
целостность информационной системы и информации;
доступность информации;
защиту среды виртуализации;
защиту технических средств;
защиту информационной системы, ее средств,
систем связи и передачи данных.
Важным аспектом данного документа является то,
что в нем, наряду с требованиями к мерам и средствам за382
щиты, указываются требования к порядку их выбора
(рис. 4.9). Регламентация порядка выбора обеспечивает
возможность единого подхода к формированию и гибкость
процесса построения системы защиты.
В основе предлагаемого порядка лежит экспертная
процедура последовательного уточнения так называемого
базового набора мер защиты для определенного класса защищенности ИТКС, при этом сам базовый набор мер, выбираемый на первом шаге процедуры, указан в рассматриваемом нормативно-правовом акте.
Второй шаг такого уточнения сводится к адаптации
базового набора к характеристикам конкретной ИТКС, что
сводится к проверке возможности реализации каждой меры из базового набора в этой ИТКС с учетом ее топологии,
установленного программного и аппаратного обеспечения,
наличия взаимодействия с внешними сетями, уровня конфиденциальности обрабатываемой информации и других
характеристик.
Третий шаг выполняется в случае, если на первом шаге были исключены часть мер и требуемый уровень защищенности информации от всей совокупности угроз безопасности информации в ИТКС не обеспечивается оставшимися
мерами, и сводится к расширению состава мер таким образом, чтобы все актуальные угрозы были нейтрализованы.
Четвертый шаг уточнения набора мер защиты
направлен на расширение (дополнение), при необходимости, их состава в интересах выполнения требований к защите информации, установленных иными нормативными правовыми актами (например, изложенными в [18, 48 - 50]).
Наконец, пятый шаг уточнения направлен на выбор
так называемых компенсирующих мер, если в ходе 2 –4 шагов выбранные дополнительные меры не могут быть применены в данной ИТКС по техническим или иным причинам.
383
Класс защищенности
ИТКС
Адаптация базового набора мер с
учетом характеристик ИС, информационных технологий, особенностей функционирования ИТКС
Определение базового
набора мер защиты для
установленного класса
защищенности
Уточнение адаптированного базового
набора мер защиты с учетом не выбранных ранее мер в интересах
нейтрализации всех угроз
Дополнение уточненного адаптированного базового
набора мер мерами, обеспечивающими выполнение
требований к защите информации, установленными
иными нормативными правовыми актами
Разработка на этапах адаптации базового набора мер и (или)
уточнения адаптированного базового набора мер иных (компенсирующих) мер, направленных на нейтрализацию актуальных угроз при невозможности технической реализации отдельных выбранных ранее мер
Рис. 4.9. Порядок выбора мер защиты информации в ИТКС
384
Такой порядок выбора позволяет сегодня достаточно обоснованно определять требуемый состав мер и
средств защиты информации в ИТКС, однако он основан
лишь на знаниях экспертов и не предоставляет возможность количественного обоснования состава выбираемых
мер и средств. Это не способствует и развитию экспертных
систем, созданию программных продуктов, обеспечивающих автоматизацию выбора мер и средств защиты.
Альтернативные процедуры, основанные, например,
на использовании при выборе критерия «эффективностьстоимость» (рис. 4.10), несмотря на несомненную перспективность, из-за методологических сложностей недостаточно развит и пока не применяется на практике.
Технические меры защиты информации реализуются посредством применения средств защиты информации,
соответствующих определенным требованиям (рис. 4.11).
Подробнее о требованиях к средствам защиты изложено в
последующих разделах.
При этом в информационных системах 1 и 2 класса
защищенности применяются:
средства вычислительной техники не ниже 5 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4
класса в случае отсутствия взаимодействия информационной
системы
с
информационнотелекоммуникационными сетями международного
информационного обмена.
385
Составление перечня функций безопасности, которые необходимо выполнить для парирования всех актуальных угроз безопасности информации в ИТКС
Определение мер и
средств защиты, с помощью которых реализуется каждая функция безопасности
Оценка эффективности мер
и средств защиты применительно к задаче парирования
каждой угрозы безопасности информации
Исключение из перечней повторяющихся и несовместимых
мер
и
средств защиты
Оценка затрат на защиту
информации и исключение
мер и средств, применение
которых связано с неприемлемыми затратами
Выбор мер и средств защиты, целесообразных по критерию «эффективность –
стоимость»
Рис. 4.10. Порядок выбора целесообразных мер и средств защиты по критерию
«эффективность-стоимость»
Класс защищенности государственной
информационной системы
1и2
Класс защищенности СВТ
5 и выше
Класс защищенности, обеспечиваемый СОВ и САВЗ
4 и выше
4 и выше при
наличии взаимодействия с международными ИТКС
3
5 и выше
4
5 и выше
5 и выше при отсутствии взаимодействия с международными ИТКС
5 и выше
Класс защищенности,
обеспечиваемый МЭ
3 и выше при наличии
взаимодействия с
международными
ИТКС
4 и выше при отсутствии взаимодействия
с международными
ИТКС
Уровень контроля НДВ
ПО средств
ЗИ
4 уровень
контроля
НДВ
3 и выше при наличии
взаимодействия с
международными
ИТКС
4 и выше при отсутствии взаимодействия
с международными
ИТКС
4 и выше
Рис. 4.11. Класс защищенности средств вычислительной техники и средств защиты, которые
должны применяться в государственной ИТКС в зависимости от ее класса защищенности
386
В информационных системах 3 класса защищенности применяются:
средства вычислительной техники не ниже 5
класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса в случае
взаимодействия информационной системы с информационно- телекоммуникационными сетями
международного информационного обмена и не
ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
межсетевые экраны не ниже 3 класса в случае
взаимодействия информационной системы с информационно-телекоммуникационными сетями
международного информационного обмена и не
ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
В информационных системах 4 класса защищенности применяются:
средства вычислительной техники не ниже 5
класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
межсетевые экраны не ниже 4 класса.
В информационных системах 1 и 2 классов защищенности применяются средства защиты информации,
программное обеспечение которых прошло проверку не
ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
387
Разрабатываемые
организационнораспорядительные документы по защите информации
должны определять правила и процедуры:
управления (администрирования) системой защиты информации информационной системы;
выявления инцидентов (одного события или
группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз
безопасности информации (далее – инциденты),
и реагирования на них;
управления конфигурацией аттестованной информационной системы и СЗИ в ее составе;
контроля (мониторинга) за обеспечением уровня
защищенности информации, содержащейся в информационной системе;
защиты информации при выводе из эксплуатации
информационной системы или после принятия
решения об окончании обработки информации.
4.4. Особенности задания требований
к информационным системам персональных данных
Деятельность по защите информации в ИТКС,
представляющих собой информационные системы персональных данных (ИСПДн), регламентируется сегодня двумя документами [18, 23].
Применение требования приказа № 21 [18] невозможно без привязки к требованиям Постановления Правительства № 1119 [23], в которых, во-первых, ИСПДн разделяются на 5 групп:
первая группа включает в себя ИСПДн, обрабатывающие специальные категории персональных
388
данных, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни субъектов персональных данных;
вторая группа – информационные системы, обрабатывающей биометрические персональные данные, если при этом обрабатываются сведения,
которые характеризуют физиологические и биологические особенности человека, на основании
которых можно установить его личность и которые используются оператором для установления
личности субъекта персональных данных, и не
обрабатываются сведения, относящиеся к специальным категориям персональных данных;
третья группа – информационные системы, обрабатывающие общедоступные персональные данные, если при этом обрабатываются персональные данные субъектов персональных данных,
полученные только из общедоступных источников
персональных
данных
(см.
статью
8 Федерального закона № 149-ФЗ «О персональных данных»).
четвертая группа – информационные системы,
обрабатывающие иные категории персональных
данных, если в них не обрабатываются персональные данные, указанные для систем предыдущих групп;
пятая группа – информационные системы, обрабатывающие персональные данные сотрудников
оператора, если при этом обрабатываются персональные данные только указанных сотрудников.
В остальных случаях ИСПДн являются инфор389
мационными системами, обрабатывающими персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
Во-вторых, указано, что требования к защите персональных данных определяются в зависимости от типов
парируемых актуальных угроз безопасности персональных
данных. При этом рассматриваются три типа угроз:
угрозы 1-го типа актуальны для ИСПДн, если для
нее в том числе актуальны угрозы, связанные с
наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
угрозы 2-го типа актуальны для ИСПДн, если для
нее в том числе актуальны угрозы, связанные с
наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
угрозы 3-го типа актуальны для ИСПДн, если для
нее актуальны угрозы, не связанные с наличием
недокументированных
(недекларированных)
возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В-третьих, при обработке персональных данных в
информационных системах устанавливаются 4 уровня защищенности персональных данных.
Первый уровень защищенности персональных данных устанавливается при наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные
390
категории персональных данных, либо биометрические
персональные данные, либо иные категории персональных
данных;
б) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов
персональных данных, не являющихся сотрудниками оператора.
Помимо этого необходимо выполнение следующих
требований:
автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным
данным, содержащимся в информационной системе;
создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Второй уровень защищенности персональных данных устанавливается при наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или
специальные категории персональных данных менее чем
100000 субъектов персональных данных, не являющихся
сотрудниками оператора;
391
в) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов
персональных данных, не являющихся сотрудниками оператора.
Помимо этого необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен
исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Третий уровень защищенности персональных данных устанавливается при наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора;
б) для ИСПДн актуальны угрозы 2-го типа и информационная система обрабатывает иные категории пер392
сональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов
персональных данных, не являющихся сотрудниками оператора;
в) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или
специальные категории персональных данных менее чем
100000 субъектов персональных данных, не являющихся
сотрудниками оператора;
г) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Четвертый уровень защищенности персональных
данных при их обработке в ИСПДн устанавливается при
наличии хотя бы одного из следующих условий:
а) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для ИСПДн актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов
персональных данных, не являющихся сотрудниками оператора.
Помимо этого необходимо, чтобы было назначено
должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.
393
Для обеспечения 4-го уровня защищенности персональных данных необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности
помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или
пребывания в этих помещениях лиц, не имеющих права
доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим
для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации,
прошедших процедуру оценки соответствия требованиям
законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Нормативный правовой акт [18] определяет состав и
содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн. При этом в нем отмечено, что меры по
обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных,
создаваемой в соответствии с [23] и должны быть направлены на нейтрализацию актуальных угроз безопасности
персональных данных.
В состав этих мер должны входить:
меры идентификации и аутентификации субъектов
доступа и объектов доступа, которые должны обеспечивать присвоение субъектам и объектам доступа уникально394
го признака (идентификатора), сравнение предъявляемого
субъектом (объектом) доступа идентификатора с перечнем
присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им
идентификатора (подтверждение подлинности);
меры управления доступом субъектов доступа к
объектам доступа, которые должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на
основе совокупности установленных в информационной
системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил;
меры ограничения программной среды, которые
должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе
программного обеспечения или исключать возможность
установки и (или) запуска запрещенного к использованию
в информационной системе программного обеспечения;
меры защиты машинных носителей информации,
на которых хранятся и (или) обрабатываются персональные данные. Эти меры должны исключать возможность
несанкционированного доступа к машинным носителям и
хранящимся на них персональным данным, а также несанкционированное использование съемных машинных
носителей персональных данных;
меры регистрации событий безопасности, которые
должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной
системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них;
меры антивирусной защиты, которые должны
обеспечивать обнаружение в информационной системе
компьютерных программ либо иной компьютерной ин395
формации, предназначенной для несанкционированного
уничтожения, блокирования, модификации, копирования
компьютерной информации или нейтрализации средств
защиты информации, а также реагирование на обнаружение этих программ и информации;
меры обнаружения (предотвращения) вторжений,
которые должны обеспечивать обнаружение действий в
ИСПДн, направленных на несанкционированный доступ к
информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к
персональным данным, а также реагирование на эти действия;
меры контроля (анализа) защищенности персональных данных, которые должны обеспечивать проверку
уровня защищенности персональных данных в ИСПДн путем проведения систематических мероприятий по анализу
защищенности информационной системы и тестированию
работоспособности системы защиты персональных данных;
меры обеспечения целостности информационной
системы и персональных данных, которые должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность
восстановления информационной системы и содержащихся в ней персональных данных;
меры обеспечения доступности персональных данных, которые должны обеспечивать авторизованный доступ пользователей к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования ИСПДн;
396
меры защита среды виртуализации, которые должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и
(или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных
(включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам),
системе и сети репликации, терминальным и виртуальным
устройствам, а также системе резервного копирования и
создаваемым ею копиям;
меры защиты технических средств, которые должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они
постоянно расположены, защиту технических средств от
внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей;
меры защиты ИСПДн, ее средств, систем связи и
передачи данных, которые должны обеспечивать защиту
персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными
системами
и
информационнотелекоммуникационными сетями посредством применения
архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных;
397
меры, направленные на выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования ИСПДн и
(или) к возникновению угроз безопасности персональных
данных, и реагирование на них. Эти меры должны обеспечивать обнаружение, идентификацию, анализ инцидентов
в ИСПДн, а также принятие мер по устранению и предупреждению инцидентов;
меры по управлению конфигурацией ИСПДн и системы защиты персональных данных, которые должны
обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных
данных, анализ потенциального воздействия планируемых
изменений на обеспечение безопасности персональных
данных, а также документирование этих изменений.
В этом нормативном правовом акте, так же как и в
акте [19], наряду с требованиями к мерам и средствам защиты, указываются требования к порядку их выбора, который примерно соответствуют рис. 4.9.
4.5. Требования международных стандартов ИСО/МЭК
и особенности их реализации в информационнотелекоммуникационных системах
Ситуация на рынке информационных технологий,
информационных систем и средств вычислительной техники сегодня сложилась так, что практически 90% их является разработками иностранных фирм. При этом программные продукты, включая средства и системы защиты
информации, соответствуют требованиям законодательств
иностранных государств. Отказ от использования этой
продукции по причине недоверия нанес бы значительный
ущерб экономике страны, ее промышленности, финансо398
вой сфере и т.д. из-за отставания развития отечественных
информационных технологий от мирового уровня. Решение проблемы возможно тремя путями:
1)
признанием зарубежных стандартов и сертификатов внутри страны;
2)
разработкой своих стандартов, гармонизированных с международными стандартами;
3)
обеспечением требуемого уровня доверия к
средствам и системам защиты за счет должной модификации действующих отечественных стандартов.
В зависимости от области применения информационных технологий приемлем тот или иной из указанных
путей. Разработка таких путей применительно к области
обеспечения информационной безопасности информационных сетей и средств началась еще в начале 90-х годов. В
мае 1998 г. специалистами и организациями целого ряда
стран (США, Канады, Великобритании, Германии, Нидерландов, и Франции) разработан и в 1999 г. принят Международным комитетом по стандартизации в качестве международного стандарта ISO/ IEC 15408-99 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии», версия 2.1 [17]. В 2008 г. вышла еще
одна версия этого стандарта. Следует подчеркнуть, что в
этом стандарте сформирована идеология построения всего
множества международных стандартов, принятых в России
в качестве национальных стандартов в виде аутентичных
переводов (см. рис. 4.4).
Поэтому ниже основное внимание уделено национальному стандарту ИСО/ МЭК 15408 «Информационная
технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности информационных технологий», который в русскоязычной литературе получил краткое наименование «Общие критерии» (ОК).
399
ОК представляют собой метастандарт, который содержит каталог требований, спектр которых весьма велик,
что обеспечивает в определенной мере универсальность
стандарта. При этом вводятся два вида требований:
функциональные, предъявляемые к функциям
(сервисам) безопасности и реализующим их механизмам;
требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.
Требования предъявляются к объекту оценки, под
которым понимается аппаратно-программный продукт или
информационная система с соответствующей документацией. При этом информационная система рассматривается
как специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации, а продукт – это совокупность средств информационных технологий, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы (далее ИТ-продукт). В качестве собирательного
термина для систем и продуктов применяется словосочетание «изделие информационных технологий».
Объект оценки рассматривается в определенном
контексте – среде безопасности, в которую включается все,
что имеет отношение к его безопасности (законы и нормативные акты, положения политик безопасности, физическая среда и меры физической защиты, персонал и его
опыт и знания, принятые эксплуатационные и иные процедуры, предназначение объекта оценки и предполагаемые
области его применения, активы, то есть ресурсы, которые
нуждаются в защите и др.). Здесь под политикой безопасности понимается совокупность документированных правил, процедур, практических приемов или руководящих
400
принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности [15].
ОК разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов: производителей
и потребителей продуктов информационных технологий, а
также экспертов по квалификации уровня их безопасности.
Потребители рассматривают квалификацию уровня безопасности ИТ-продукта как метод определения соответствия ИТ-продукта их запросам. Обычно эти запросы составляются на основе результатов проведенного анализа
рисков и выбранной политики безопасности. ОК играют
существенную роль, влияют на формирование этих запросов, так как содержат механизмы, позволяющие сформулировать эти запросы в виде стандартизованных требований. Это позволяет потребителям принять обоснованное
решение о возможности использования тех или иных продуктов. Кроме того, ОК предоставляют потребителям механизм Профилей защиты, с помощью которых они могут
выразить специфические для них требования, не заботясь о
механизмах их реализации. Профиль защиты – это специальный нормативный документ, представляющий собой
совокупность задач защиты, функциональных требований,
требований гарантии (уверенности, адекватности) и их
обоснования.
Производителям этот документ дает возможность
на основании анализа запросов потребителей определить
набор требований, которым должен удовлетворять разрабатываемый ими продукт. Производители используют
предлагаемую ОК технологию для обоснования своих претензий на то, что поставляемый ими ИТ-продукт успешно
противостоит угрозам безопасности, на основании того,
что он удовлетворяет выдвинутым функциональным требованиям и их реализации осуществлена с достаточным
401
уровнем адекватности (гарантии). Для осуществления этой
технологии ОК предлагают производителям специальный
механизм, названный Заданием по безопасности, дополняющий Профиль защиты и позволяющий соединить описание требований, на которые ориентировался разработчик, и спецификации механизмов реализации этих требований. Задание по безопасности – специальный нормативный документ, представляющий собой совокупность задач
защиты, функциональных требований, требований доверия, общих спецификаций средств защиты и их обоснования. Кроме того, производители могут использовать ОК
для определения границ своей ответственности, а также
условий, которые необходимо выполнить для успешного
прохождения квалификационного анализа и сертификации
созданного ими продукта.
Наконец, эксперты по квалификации используют
этот документ в качестве основных критериев определения
соответствия средств защиты ИТ-продукта требованиям,
предъявляемым к нему потребителями, и угрозам, действующим в среде его эксплуатации. ОК описывают только общую схему проведения квалификационного анализа и
сертификации, но не регламентируют процедуру их осуществления. Вопросам методологии квалификационного
анализа и сертификации посвящен отдельный документ «Общая методология оценки безопасности информационных технологий», выпущенный национальным институтом
стандартизации и технологий и агентством национальной
безопасности США, а также аналогичными организациями
Великобритании, Канады, Франции, германии и Нидерландов (Common Evaluation Methodology for Information
Technology Security).
Потребители ИТ-продуктов озабочены наличием
угроз безопасности информации, приводящих к опреде402
ленным рискам для обрабатываемой информации. Для
противодействия этим угрозам ИТ-продукты должны
включать в свой состав средства защиты, противодействующие этим угрозам, и направленные на устранение уязвимостей, однако ошибки в средствах защиты в свою очередь
могут приводить к появлению уязвимостей. Сертификация
средств защиты позволяет подтвердить их адекватность
угрозам и рискам.
Необходимо подчеркнуть, что ОК предлагают достаточно сложную и бюрократическую концепцию процесса разработки и квалификационного анализа ИТпродукта, требующую от потребителей и производителей
огромного количества работы по составлению и оформлению весьма объемных и подробных нормативных документов. Коротко рассмотрим основные положения и разделы ОК. Но сначала введем несколько базовых понятий.
ОК определяют множество типовых требований,
которые в совокупности с механизмом Профилей защиты
позволяет потребителям создавать частные наборы требований, отвечающие их нуждам. Разработчики могут использовать Профиль защиты как основу для создания спецификаций своих продуктов. Профиль защиты и спецификации средств защиты составляют Проект защиты, который и представляет ИТ-продукт в ходе квалификационного анализа. Для проведения квалификационного анализа
разработчик продукта должен представить следующие материалы:
Профиль защиты, описывающий назначение ИТпродукта и характеризующий среду его эксплуатации, а также устанавливающий задачи защиты
и требования, которым должен отвечать продукт;
Задание по безопасности, включающее спецификации средств защиты, а также обоснование со403
ответствия ИТ-продукта задачам защиты из
Профиля защиты и указанным в нем требованиям
«Общих критериев»;
различные обоснования и подтверждения
свойств и возможностей ИТ-продукта, полученные разработчиком;
сам ИТ-продукт;
дополнительные сведения, полученные путем
проведения различных независимых экспертиз.
Процесс квалификационного анализа включает три
стадии:
1. Анализ Профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности
использования в качестве набора требований для анализируемого продукта.
2. Анализ Задания по безопасности на предмет его
соответствия требованиям Профиля защиты, а также полноты, непротиворечивости, реализуемости и возможности
использования в качестве эталона при анализе ИТпродукта;
3. Анализ ИТ-продукта на предмет соответствия
Заданию по безопасности.
Результатом квалификационного анализа является
заключение о том, что проанализированный ИТ-продукт
соответствует представленному Заданию по безопасности.
Структура Профиля защиты показана на рис. 4.12 и
содержит следующие разделы.
404
Профиль защиты
Идентификатор
Введение
Обзор содержания
Описание ИТ- продукта
Условия эксплуатации
Среда эксплуатации
Угрозы безопасности
Задачи защиты
Задачи защиты ИТпродукта
Другие задачи
Требования безопасности
Функциональные требования
Требования доверия
Дополнительные
сведения
Требования к среде эксплуатации
Обоснование задач защиты
Обоснование
Обоснование требований
безопасности
Рис. 4.12. Структура Профиля защиты
Введение содержит информацию, необходимую для
поиска Профиля защиты в библиотеке профилей и включает в себя идентификатор профиля (уникальное имя Профиля для его поиска и ссылок на него) и обзор содержания –
краткую аннотацию, позволяющую сделать вывод о соответствии данного Профиля запросам потребителя.
405
Описание ИТ-продукта содержит его краткую характеристику, функциональное назначение, принципы работы, методы использования и т.д. Эта информация не
подлежит анализу и сертификации, но представляется экспертам для пояснения работы ИТ-продукта.
Среда эксплуатации включает в себя описание
условий эксплуатации (в том числе ограничения на условия применения), угроз безопасности (в том числе источник, способ и объект воздействия), политики безопасности
(правил, определяющих суть политики).
Задачи защиты, включающие раздел с основными
задачами, отражающими потребности пользователей в
противодействии угрозам и/или реализации политики безопасности, и раздел с другими задачами, отражающие
необходимость участия средств защиты ИТ- продукта в
противодействии угрозам и /или реализации политики безопасности совместно с другими компонентами информационных технологий.
Требования безопасности содержат типовые требования, предусмотренные соответствующими разделами ОК
– функциональные, адекватности и требования к среде
эксплуатации (последние необязательны).
Дополнительные сведения – необязательный раздел
Профиля защиты содержит любую дополнительную информацию, полезную для проектирования, разработки,
квалификационного анализа и сертификации ИТ-продукта.
Обоснование должно демонстрировать, что Профиль защиты содержит полное и связное множество требований и что удовлетворяющий им продукт будет эффективно противостоять угрозам безопасности. Оно включает
обоснование задач защиты и требований безопасности.
Обоснование задач защиты должно демонстрировать, что задачи, предложенные в профиле, позволяют эф406
фективно противостоять угрозам и реализовать политику
безопасности.
Обоснование требований показывает, что они позволяют эффективно решать обоснованные задачи защиты,
поскольку:
совокупность целей, преследуемых при реализации отдельных функциональных требований, соответствует установленным задачам защиты;
требования безопасности являются согласованными;
выбор требований является оправданным.
Профиль защиты является отправной точкой для
производителя при создании Задания по безопасности.
Структура Задания по безопасности приведена на
рис. 4.13. Во многом она повторяет структура Профиля
защиты, поскольку оно формируется на основе Профиля.
Особенности в том, что описывается конкретно то,
что должен делать производитель, то есть требования
должны быть не типовыми как в Профиле, а конкретными,
которые способен реализовать производитель, должны
быть описаны спецификации функций защиты и функций
доверия – специальные описания функциональных возможностей механизмов защиты, предусматриваемых производителем и реализующих установленные требования
безопасности и доверия (в виде представления параметров
технологии проектирования и создания ИТ-продукта).
407
Задание по безопасности
Идентификатор
Введение
Обзор содержания
Описание ИТ- продукта
Заявка на соответствие Общим критериям
Среда эксплуатации
Условия эксплуатации
Угрозы безопасности
Политика безопасности
Задачи защиты
Задачи защиты ИТ-продукта
Другие задачи
Требования безопасности
Требования к среде эксплуатации
Функциональные требования безопасности
Требования доверия к безопасности
Общие спецификации ИТпродукта
Спецификации функций защиты
Спецификации уровня доверия
Заявка на соответствие Профилю защиты
Ссылка на Профиль защиты
Соответствие Профилю защиты
Усовершенствование Профиля защиты
Обоснование
Обоснование задач защиты
Обоснование требований безопасности
Обоснование общих спецификаций ИТ-продукта
Обоснование соответствия Профилю защиты
Рис. 4.13. Структура Задания по безопасности
408
При этом ссылка на Профиль защиты однозначно
идентифицирует Профиль защиты, на реализацию которого претендует Задание по безопасности. Следует отметить,
что требования Задания по безопасности могут превышать
требования реализуемого Профиля защиты.
Метастандарт как документ содержит три части:
1) «Введение и общая модель»; 2) «Функциональные требования безопасности»; 3) «Требования доверия к безопасности».
В первой части определяются общие принципы и
концепции оценки безопасности информационных технологий. Здесь же определяется структура профилей защиты
информационных систем, представляющих собой независимую от реализации структуру для определения требований безопасности, неизменный набор функций безопасности с прилагаемым обоснованием. В соответствии с концепцией ОК безопасность связана с защитой так называемых активов от угроз, классифицируемых в зависимости
от ущерба, который они могут нанести этим активам. Активы здесь понимаются как информация или ресурсы, которые должны быть защищены. Во внимание должны приниматься все угрозы, но, прежде всего, те, которые связаны со злонамеренными действиями человека (по терминологии ОК – агента угроз).
В защите активов заинтересованы их владельцы. Но
они представляют интерес и для агентов угроз, которые
стремятся их использовать вопреки интересам владельцев.
Владельцы воспринимают угрозы с точки зрения ущерба,
который они могут причинить, и стремятся уменьшить их
до приемлемого уровня. Чтобы выполнялась политика безопасности владельца, должны быть приняты меры для
уменьшения уязвимостей.
409
Но и после принятия мер могут остаться уязвимые
места. Их могут использовать агенты угроз, создавая остаточный риск для активов. Владельцы стремятся минимизировать этот риск иными средствами. Прежде чем подвергнуть активы риску угроз, владелец должен убедиться,
что принятые меры безопасности адекватны угрозам. Владельцы не всегда в состоянии судить о том, какие меры
необходимы, и нуждаются в их оценке.
Результатом такой оценке является заключение о
степени гарантии, с которой меры уменьшают риск для
активов. В этом заключении устанавливается уровень доверия к мерам защиты от угроз, обеспечивающий уверенность в их надлежащем функционировании. Заключение о
результатах оценки может быть использовано владельцем
для принятия решения о приемлемости риска. Владельцы
обычно несут ответственность за активы и поэтому должны обосновать решение о приемлемости риска. А это в
первую очередь значит, что результаты оценки должны
быть объективны и повторимы, что позволило бы их использовать в качестве доказательств. Чтобы результаты
оценки были значимы и принимались специалистами,
должна быть единая система предъявления требований,
что и обеспечивают ОК.
Основной аспект Общих критериев – это требования, изложенные во второй и третьей частях документа, то
есть функциональные требования безопасности и требования доверия к безопасности.
Функциональные
требования
регламентируют
функционирование обеспечивающих безопасность компонентов ИТ-продукта и определяют возможности средств
защиты.
Доверие к безопасности представляет собой характеристику ИТ-продукта, которая показывает, насколько
410
эффективно обеспечивается заявленный уровень безопасности, а также степень реализации средств защиты. Уровень доверия определяется технологиями, используемыми
в процессе проектирования, создания и эксплуатации ИТпродукта. Поэтому требования доверия регламентируют
технологию и процесс создания ИТ-продукта, а также
необходимость проведения анализа слабых мест защиты.
Следует подчеркнуть, что собственно нормативной
базы с требованиями по защите различных информационных систем, как это имеет место в документах ФСТЭК
России, «Общие критерии» не содержат. В них также не
отражены вопросы защиты информации от утечки по техническим каналам, криптографической защиты и защиты
от электромагнитных воздействий. Нет в них и методического обеспечения количественной оценки эффективности
защиты.
Во второй части приводится каталог функциональных компонентов для задания в стандартизованном виде
функциональных требований для информационных продуктов и систем. Для структуризации пространства требований в ОК введена иерархия «класс-семействокомпонент-элемент». Всего в ОК имеется 11 функциональных классов (табл. 4.3), 66 семейств и 135 компонентов.
В третьей части метастандарта определяются требования доверия к безопасности через множество стандартных составляющих, которые каталогизированы и систематизированы тоже в виде классов, семейств, компонентов и
элементов (табл. 4.4). При этом требования жестко структурированы и регламентируют все этапы проектирования,
создания и эксплуатации ИТ-продукта с точки зрения
обеспечения надежности работы средств защиты и их
адекватности функциональным требованиям.
411
Таблица 4.3
Функциональные требования
Функциональный класс
Направленность требований, содержащихся в классе
Класс FAU: Аудит безопасности
Регламентируют процедуры распознавания, регистрации, хранения и анализа информации, относящейся к системе безопасности
Класс FCO: Связь
Обеспечивает гарантию, что передающий информацию не сможет
отказаться от посланного сообщения, а принимающий – от его
получения
Определяет требования по управлению криптографическими ключами и операциями
Определяет требования к функциям безопасности системы и политикам безопасности, относящимся к защите данных пользователя
Класс FCS: Криптографическая
поддержка
Класс FDP: защита данных пользователя
Класс FIA: Идентификация и
аутентификация
Определяет требования к функциям установления и проверки
подлинности заявленного идентификатора пользователя, а также
связывания атрибутов безопасности с авторизованным пользователем
Класс FMT: Управление безопасностью
Определяет требования, регламентирующие управление функциями безопасности и их данными, атрибутами и ролями безопасности
412
Функциональное семейство
Автоматическая реакция аудита безопасности
Генерация данных аудита безопасности
Анализ аудита безопасности
Просмотр аудита безопасности
Выбор событий аудита безопасности
Сохранение событий аудита безопасности
Подтверждение отправления
Подтверждение приема
Управление криптографическими ключами
Криптографические операции
Политика управления доступом
Функции управления доступом
Аутентификация данных
Экспорт данных за пределы области управления
Политика управления информационными потоками
Функции управления информационными потоками
Импорт данных из-за пределов области управления функций безопасности
Внутренняя передача объекта оценки
Защита остаточной информации
Возврат
Целостность хранимых данных
Защиты конфиденциальности данных при передаче между функциями безопасности
Защита целостности данных при передаче между функциями безопасности
Отказы аутентификации
Определение атрибутов пользователя
Определение секретов
Аутентификация пользователя
Идентификация пользователя
Связи: пользователь-субъект
Управление функциями безопасности
Управление атрибутами безопасности
Управление данными из функций безопасности
Отмена
Срок действий атрибутов безопасности
Роли управления безопасностью
Продолжение табл. 4.3
Функциональный класс
Класс FPR: Приватность
Класс FPT: Защита функций
безопасности
Направленность требований, содержащихся в классе
Определяет требования по защите пользователя от раскрытия несанкционированного использования его идентификационных данных
Определяет требования, направленные на обеспечение архитектурной безопасности, защиту реализации функций безопасности и
защиту данных функций безопасности, а также требования к тестированию, демонстрирующему правильность предположений,
обеспечиваемых программно-аппаратной платформой и касающихся функций безопасности
Класс FRU: Использование ресурсов
Определяет требования, которые поддерживают доступность требуемых ресурсов, а также обеспечивают защиту в случае блокировки функциональных возможностей, вызванных отказами системы
Класс FTA: Доступ к системе
Определяет требования управления сеансами работы пользователя
Функциональное семейство
Анонимность
Псевдонимы
Невозможность обобщения
Ненабдюдаемость
Тест основной абстрактной машины
Защита от сбоев
Доступность экспортируемых данных функций безопасности
Конфиденциальность экспортируемых данных
Целостность экспортируемых данных
Передача данных функций безопасности внутри системы
Физическая защита функций безопасности
Надежное восстановление
Обнаружение подмены
Посредничество при ссылках
Разделение областей
Протокол синхронности состояний
Отметка времени
Согласованность данных функций безопасности при взаимных обменах
Согласованность тиражирования функций безопасности
Отказоустойчивость
Приоритет обслуживания
Распределение ресурсов
Ограничение области выбираемых атрибутов
Ограничение числа одновременных сеансов
Блокирование сеанса
Сообщение при доступе к системе
Хронология доступа
Открытие сеанса
Класс FTP: Надежный путь/ канал
Определяет требования, направленные на обеспечение уверенной
идентификации взаимодействующих сторон, конфиденциальность
и целостность передаваемых данных
413
Надежный внутренний канал функций безопасности
Надежный путь
Таблица 4.4
Классы и семейства требований доверия
Класс требований доверия
Направленность требований, содержащихся в классе
Класс АСМ: Управление конфигурацией
Содержит требования, направленные на обеспечения целостности контролируемых ими частей
объекта оценки (системы), предоставляя метод отслеживания любых изменений, обеспечения
таким образом доверия к тому, что объект оценки и документация представляют собой действительно продукт и документы, подготовленные для распространения
Определяет требования к мерам, процедурам и стандартам, касающимся надежной поставки,
инсталляции продукта, гарантирующие, что меры безопасности не скомпрометированы во время перемещения продукта, его инсталляции, запуска и функционирования
Определяет требования к пошаговому уточнению функций безопасности в процессе разработки
Класс ADO: Поставка и функционирование
Класс ADV: Разработки
Класс AGD: Руководящие документы
Класс ADC: Поддержка жизненного цикла
Содержит требования, направленные на обеспечение понятности и полноты документации,
представляемой разработчиком
Определяет требования, определяющие доверия к модели жизненного цикла для всех шагов
разработки системы, в том числе процедур и политики устранения изъянов, правильного использования инструментов и методов, а также мер безопасности, применяемых для защиты
среды разработки
Класс АТЕ: Испытания
Устанавливает требования к испытаниям, которые демонстрируют, что функции безопасности
удовлетворяют установленным требованиям
Класс AVA: Оценивание уязвимости
Определяет требования, направленные на идентификацию уязвимостей, сохраняющихся при
эксплуатации (возникающих при проектировании, построении, функционировании, неправильном использовании или конфигурировании системы)
414
Семейство требований доверия
Автоматизация управления конфигурацией
Объем управления конфигурацией
Поставка
Инсталляция, генерация и запуск
Функциональная спецификация
Высокоуровневый проект
Представление реализации
Внутренние организации функции безопасности
Низкоуровневый проект
Соответствие представлений
Моделирование политики безопасности
Руководство администратора
Руководство пользователя
Безопасность разработки
Устранение изъянов
Определение жизненного цикла
Инструменты и методы
Покрытие
Глубина
Функциональные тесты
Независимое тестирование
Анализ скрытых каналов
Неправомерное использование
Стойкость функции безопасности
Анализ уязвимости
Таксономия требований доверия приведена на
рис. 4.14. Кроме того, в третьей части определяются критерии оценки для профилей защиты и целей обеспечения
безопасности информационных систем, а также представлены уровни доверия оценки, которые устанавливают качественную шкалу для такой оценки.
4.6. Специальные требования и рекомендации
по защите информации
При проектировании ИТКС в защищенном исполнении или СЗИ для функционирующих ИТКС необходимо
учитывать требования по организации защиты информации ограниченного доступа, не содержащей сведения, составляющих государственную тайну (далее конфиденциальной информации), которые регламентируются специальным нормативно-методическим документов «Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К)» [52].
Именно этот документ определяет необходимость
классификации ИТКС, не относящихся к государственным
информационным системам или к информационным системам персональных данных, по классам защищенности в
целях дифференцированного подхода к защите информации, обрабатываемой в ИТКС различного уровня и назначения.
Некоторые из положений этого документа, касающиеся создания ИТКС в защищенном исполнении и СЗИ,
сводятся к следующему.
415
Требования доверия
Управление доступом
Дистрибуция
Средства управления проектом
Поставка
Управление версиями
Установка,
настройка,
запуск
Конфигурация
проекта
Разработка
Общие функциональные спецификации
Архитектура
защиты
Документация
Процесс разработки
Руководство
администратора
Безопасность
среды разработки
Руководство
пользователя
Исправление
ошибок и
устранения
уязвимостей
Форма представления продукта
на сертификацию
Структура
средств защиты
Технология
разработки
Средства разработки
Частные спецификации средств
защиты
Соответствие
описаний различного уровня
Средства разработки
Рис. 4.14. Таксономия требований доверия
416
Тестирование
Анализ защиты
Полнота тестирования
Анализ скрытых каналов
Методика тестирования
Анализ стойкости средств
защиты
Независимое
тестирование
Анализ продукта на наличие уязвимостей
Организация защиты информации в ИТКС должна
возлагаться на руководителей организаций, руководителей
подразделений, осуществляющих разработку проектов
ИТКС в защищенном исполнении и их эксплуатацию, а
методическое руководство и контроль эффективности
предусмотренных мер ЗИ – на руководителей подразделений по защите информации (служб безопасности) организации. Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ
в ИТКС должен осуществлять ее главный конструктор или
другое должностное лицо, обеспечивающее научнотехническое руководство созданием СЗИ для ИТКС.
Разработка СЗИ может осуществляться как подразделением организации, так и другими специализированными организациями, имеющими лицензии ФСТЭК России на соответствующий вид деятельности.
В случае разработки СЗИ или ее отдельных компонентов специализированными организациями, в организации-заказчике определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение мероприятий по ЗИ.
Разработка и внедрение СЗИ должны вестись во
взаимодействии разработчика со службой безопасности
организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных
требований по ЗИ, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных
средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на
нее и предупреждению утечки и нарушения целостности
защищаемой информации, в аттестации ИТКС.
В организации должен быть документально оформлен
417
перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная
система доступа персонала к такого рода сведениям.
По результатам предпроектного обследования
функционирующей ИТКС разрабатывается аналитическое
обоснование необходимости создания в ней (модернизации) СЗИ (см. раздел 1.3). Предпроектное обследование
может быть поручено специализированной организации,
имеющей соответствующую лицензию, но и в этом случае
анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям организации-заказчика при методической помощи
специализированной организации. Ознакомление специалистов этой организации с защищаемыми сведениями
осуществляется в установленном в организации-заказчике
порядке.
Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны ИТКС, необходимо использовать защищенные каналы связи, в том числе
защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи – применять сертифицированные криптографические средства ЗИ.
Для обеспечения ЗИ в процессе эксплуатации
ИТКС должно быть предусмотрено соблюдение следующих основных положений и требований:
допуск к защищаемой информации лиц, работающих в ИТКС (пользователей, обслуживающего
персонала), должен производиться в соответствии с порядком, установленным разрешительной системой допуска;
на период обработки защищаемой информации в
помещениях, где размещаются основные техни418
ческие средства и системы23, могут находиться
только лица, допущенные в установленном порядке к обрабатываемой информации, допуск
других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с разрешения руководителя организации или руководителя
службы безопасности;
в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
по окончании обработки информации пользователь обязан произвести стирание остаточной информации на несъёмных носителях (жестких
дисках) и в оперативной памяти. Одним из способов стирания остаточной информации в оперативной памяти является перезагрузка компьютеров;
изменение или ввод новых программ обработки
защищаемой информации в ИТКС должен осуществляться совместно разработчиком ИТКС и
администратором ИТКС, при этом ИТКС подлежит переаттестации;
при увольнении или перемещении администраторов ИТКС руководителем организации по согласованию со службой безопасности должны
быть приняты меры по оперативному изменению
паролей и идентификаторов.
Средства и системы, в которых обрабатывается защищаемая информация
23
419
Все носители информации на бумажной, магнитной,
оптической (магнито-оптической) основе, используемые в
технологическом процессе обработки информации в
ИТКС, подлежат учету в соответствующем подразделении.
Учет съемных носителей информации (гибких магнитных
дисков, съемных накопителей информации большой емкости или картриджей, съемных пакетов дисков, иных магнитных, оптических или магнито-оптических дисков, магнитных лент и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой
(прозрачной) основе должно осуществляться по карточкам
или журналам установленной формы, в том числе автоматизировано с использованием средств вычислительной
техники. Журнальная форма учета может использоваться в
ИТКС с небольшим объемом документооборота. Съемные
носители информации на магнитной или оптической основе, в зависимости от характера или длительности использования, допускается учитывать совместно с другими документами по установленным для этого учетным формам.
При этом перед выполнением работ сотрудником,
ответственным за их учет, на этих носителях информации
предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата,
гриф конфиденциальности, номер экземпляра, подпись
этого сотрудника, а также другие возможные реквизиты,
идентифицирующие носитель информации.
Временно не используемые носители информации
должны храниться пользователем в местах, не доступных
для посторонних лиц.
Контроль взаимодействия ИТКС с другими сетями
общего пользования должен быть постоянным и осуществляться с использованием сертифицированных по
требованиям безопасности информации средств контроля.
420
При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и др.)
рекомендуется разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ИТКС.
Подключение ИТКС к другой информационной системе (локальной или распределенной сети) должно осуществляться с использованием межсетевых экранов, требования к которым определяются в [52]:
в ИТКС класса 1Г – МЭ не ниже класса 4;
в ИТКС класса 1Д и 2Б – МЭ класса 5 или выше.
Решение о составе и содержании мероприятий, а
также используемых средств ЗИ принимается руководителем организации по результатам обследования создаваемой (модернизируемой) ИТКС с учетом важности (ценности) защищаемой информации. Эксплуатация ИТКС должна осуществляться в полном соответствии с утвержденной
организационно-распорядительной и эксплуатационной
документацией.
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и
требований по защите его информации в ИТКС.
Наконец, необходимо отметить, что, если в защищаемой информации содержатся сведения ограниченного
доступа, перечень которых определен на федеральном
уровне, то необходимо выполнять требования указа Президента РФ «Требования Указа Президента Российской
Федерации от 17марта 2008 г. № 351 «О мерах по обеспечению безопасности РФ при использовании ИТКС международного информационного обмена» (см. раздел 4.3).
421
5. МЕРЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
В ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
5.1. Общая характеристика и классификация мер
и средств защиты информации в информационнотелекоммуникационных системах
Меры и средства защиты информации в информационно-телекоммуникационных системах применяются в
интересах парирования возможности реализации угроз:
непосредственного доступа в операционную среду элементов ИТКС (рабочих станций, серверов,
коммуникационных элементов) за счет затруднения или исключения физического доступа к указанным элементам и последующего виртуального
доступа с использованием программных средств
операционной системы или специальных программных средств с реализацией всех возможных
несанкционированных действий в операционной
среде;
удаленного доступа в операционную среду с использованием протоколов межсетевого взаимодействия с последующей реализацией всех возможных несанкционированных действий в операционной среде (сетевых атак);
несанкционированной передачи информации из
ИТКС во внешние сети;
хищения, блокирования информации или несанкционированного воздействия на нее при хранении в узлах сети и при передаче по каналам
связи;
422
воздействия вредоносными программами, в том
числе в интересах нарушения функционирования
ИТКС,
а также в интересах резервирования и восстановления программ и данных, уничтожения остаточной информации,
контроля целостности операционной среды и данных, анализа защищенности информации в ИТКС от несанкционированных действий и выявления уязвимостей.
При этом под мерой защиты понимается прием,
способ действия, направленного на повышение защищенности информации. Мера защиты может быть организационной, технической или организационно-технической. Организационная мера защиты информации - это мера, состоящая в организации, упорядочении, согласовании, придании планомерности действиям по защите информации. Организационные меры ориентированы на руководство предприятия (организации), на подразделения по защите информации и персонал ИТКС и не связаны непосредственно
с применением технических средств и решений.
Техническая мера защиты информации – это мера,
состоящая в применении технических средств и технических решений по защите информации. Организационнотехническая мера защиты информации - это мера, состоящая в организации, упорядочении, согласовании, придании
планомерности действиям подразделений по защите информации и персонала по применению технических
средств и технических решений по защите информации.
Под техническим средством защиты понимается
устройство, вещество или материал, предназначенное или
используемое для защиты информации [10]. Применительно к проблематике защиты информации от НСД средство
защиты информации – это программное или программноаппаратное средство, предназначенные или используемые
423
для защиты информации. Следует отметить, что средство
защиты может быть достаточно сложным программным
(или программно-аппаратным) продуктом, компоненты
которого могут инсталлироваться на различных элементах
информационной системы. В этом случае такое средство
часто называют системой. Признаки, по которым средство
защиты относят к системе, приведены на рис. 5.1. Примерами таких систем являются система обнаружения вторжений, система антивирусной защиты и др.
Распределение компонентов системы защиты по элементам информационной системы
Реализация в системе защиты комплексного подхода для нейтрализации совокупности актуальных угроз НСД
Наличие подсистемы управления совокупностью средств защиты в
составе системы
Распределение требований по защите между средствами в составе
системы защиты при реализации сходных функций безопасности
Рис. 5.1. Признаки системы защиты информации
Общая классификационная схема для мер защиты
информации в ИТКС и ее элементах приведена на рис. 5.2,
а для средств защиты - на рис. 5.3.
Краткая характеристика мер и средств защиты
информации от непосредственного доступа сводится к
следующему.
Меры и средства защиты от физического доступа
направлены на создание препятствия для нарушителей на
путях к защищаемой информации (к данным, к программам), например, на территорию, на которой располагаются
объекты информатизации, в помещения с аппаратурой, носителями данных и т.п., или обеспечивают контроль такого
доступа.
424
Организационные и организационно-технические
По степени использования технических мер
защиты
Организационные меры
Организационно-технические меры
По объекту
По реализуемым функциям
По содержанию действий
доступа
Организационные меры разграничения и контроля физического
на территорию
доступа
Организационные меры разделения обязанностей и привилегий
Классификация ИТКС по уровням защищенности, формирование
требований к мерам и средствам защиты
в помещение
Применение сертифицированных средств и систем защиты
По содержанию действий
Назначение
должностных лиц,
ответственных за
ЗИ
Введение грифов
на документы и
материалы
Введение
инструкций для
должностных
лиц
Разграничение
задач
исполнителей
Введение
атрибутивных
средств (пропусков,
жетонов)
к аппаратуре
Организация технического мониторинга действий пользователей
к отчуждаемым
носителям
Введение системы
допусков для
персонала
Организация дублирования и резервирования защищаемой
информации
Выделение специальных автоматизированных рабочих мест для
обработки конфиденциальной информации
Организационные меры учета и регистрации
Выделение специальных автоматизированных рабочих мест для
соединения с сетями общего пользования
По содержанию действий
Учет
Учет и
Инвентаризация
отчуждаемы
регистрация
информационных и
х носителей
пользователей
аппаратных ресурсов
ИТКС
Учет и регистрация выдачи
Ведение журналов
печатных (графических)
регистрации м
документовна "твердую"
учета
копию
Обеспечение резервного электропитания
Запрет на использование нештатных программных средств
Отключение неиспользуемых протоколов межсетевового
взаимодействия
Разработка и внедрение документационного обеспечения по защите
Совершенствование кадрового обеспечения
Рис. 5.2. Классификация организационных и организационно-технических мер защиты информации
425
Средства защиты
По степени привязки к
аппаратной платформе
По месту (уровню) установки в сети
По реализуемым функциям безопасности
Программные
Программноаппаратные
Аппаратные
Средства контроля
физического доступа
Средства защиты трафика на
основе шифрования,
стеганографии, создания скрытых
каналов
Средства идентификации
Средства контроля утечки
информации
Средства аутентификации
Средства отвлечения (обмана)
Средства сетевого
экранирования
По степени привязки к
операционной системе
ИС
Независимые от
ОС защищаемой
ИС
Прокси-серверы
Устанавливаемые по периметру
сети
Устанавливаемые в составе
системного ПО северов (на уровне
системных сервисов)
Средства восстановления
Средства изолирования,
разделения операционной среды
Средства (детекторы)
обнаружения вторжений
Средства блокирования
Средства резервирования
Средства антивирусной защиты
Средства пресечения
Средства анализа защищенности
(сканеры безопасности)
Средства уничтожения
остаточной информации
Зависимые
от ОС
защищаемой ИС
Устанавливаемые на выходе ИС
для защиты трафика
Средства обнаружения
нарушений
Средства контроля целостности
Устанавливаемые в составе
системного программного
обеспечения рабочих станций
Устанавливаемые в составе или в
виде прикладного ПО на серверах
или рабочих станциях(на уровне
прикладных сервисов)
Устанавливаемые в составе
аппаратного обеспечения северов
и рабочих станций
На уровне носителей информации
На уровне ядра ОС и архитектуры
процессора
Рис. 5.3. Классификация средств защиты информации
426
Средства защиты от физического доступа выполняют следующие основные функции:
1) контроля доступа на территорию и в здания и исключения или затруднения такого доступа;
2) контроля доступа в защищаемые зоны и к аппаратуре и исключения или затруднения такого доступа;
3) контроля вскрытия аппаратуры и сигнализации;
4) создания препятствий визуальному наблюдению
и подслушиванию;
5) противопожарной защиты и сигнализации;
6) блокировки действий нарушителя и др.
Для предотвращения проникновения нарушителей
на охраняемую территорию применяются следующие технические устройства (рис. 5.4):
сверхвысокочастотные (СВЧ), ультразвуковые
(УЗ) и инфракрасные (ИК) сигнализационные
системы;
сейсмические, виброакустические, магнитометрические сигнализационные системы и датчики
давления;
лазерные и оптические сигнализационные системы (по прерыванию луча);
телевизионные системы наблюдения;
кабельные системы;
системы защиты окон и дверей;
атрибутивные средства контроля доступа;
биометрические средства контроля доступа.
427
Средства защиты от угроз физического доступа (контроля физического доступа))
Средства контроля доступа на территорию объекта и в помещения
Средства защиты от физического
доступа к аппаратуре
Средства сигнализации и системы
наблюдения
Средства создания пропускного режима
Сверхвысокочастотные
Биометрические
средства контроля
Атрибутивные
средства контроля
Документы,
удостоверения
Средства контроля по квазистатическим характеристикам
По отпечаткам
пальцев
Средства контроля
по квазидинамическимхарактеристикам
По пульсу
По кардиограмме
По строению
лица, руки
По строениюсетчатки глаза
Ультразвуковые
Ключи, жетоны,
брелоки
Активные
Фотографии
Смарт-карты
Контактные
датчики
Средства блокирования действий нарушителя
Световые
датчики
Телевизионные
средстванаблюдения
Датчики изменения положения
Средствабиометрической
аутентификации
пользователей
Вибродатчики
Средства учета и
уничтожения носителей
Системы защиты
окон и дверей
Магнитометрические
Инфракрасные
Специальные
карты
Замки, брелоки
Средства контроля
вскрытия аппаратуры
Пассивные
Оптические и лазерные системыконтроля пересечения светового луча
Телевизионные системы наблюдения
Тепловые
датчики
Емкостные
датчики
По речи
По почерку
Электронные
замки
Кабельные системы
Сейсмические системы
Виброакустические системы
По строениюкровеносных
сосудов
Рис. 5.4. Состав мер и средств, включаемых в подсистему защиты информации от угроз несанкционированного физического доступа
428
Для технического контроля доступа к аппаратуре
применяют:
телевизионные системы наблюдения;
биометрические средства контроля доступа;
атрибутивные средства контроля доступа;
средства контроля и сигнализации вскрытия аппаратуры;
физические средства ограничения доступа.
Кратко рассмотрим некоторые из указанных
средств и систем защиты от физического доступа.
СВЧ, УЗ и ИК системы предназначены для обнаружения движущихся объектов, определения их размеров,
скорости и направления перемещения. Принцип их действия основан на изменении частоты отраженного от движущегося объекта сигнала.
ИК системы бывают активными и пассивными. Активные системы содержат источник излучения и его приемник. Функционирование пассивных систем основано на
фиксации теплового излучения ИК-датчиками.
УЗ и ИК системы применяются, главным образом,
внутри помещений. СВЧ системы могут применяться как
внутри помещений, так и для охраны зданий и территорий.
Сейсмические сигнализационные системыоснованы
на регистрации колебания почвы при проникновения нарушителя на охраняемую территорию.
Такие системы представляют собой размещенные
по территории геофоны на опасных участках или направлениях возможного проникновения нарушителя с сигнализационными устройствами, передающими сигналы тревоги
на пульт управления охраны.
Виброакустические сигнализационные системы основаны на регистрации акустических колебаний, возникающих в результате стуков, ударов и других звуков, рас-
429
пространяемых через конструкции здания. Их основу составляют устройства – стетоскопы, часто совмещенные с
радиопередатчиком, передающие сигналы тревоги на
пульт управления охраны.
Магнитометрические сигнализационные системы
основаны на регистрации изменений магнитного поля,
возникающих чаще всего в результате появления в зоне
чувствительности приборов металлических предметов.
Датчики давления чаще всего являются электретными устройствами, выдающими электрический сигнал
даже при незначительном нажатии на датчик, устанавливаются на возможных путях проникновения нарушителей
на охраняемую территорию.
Лазерные и оптические системы, работающие в видимой части спектра, реагируют на пересечение нарушителями светового луча и применяются, в основном, внутри
помещений.
Телевизионные системы применяются для наблюдения как за территорией охраняемого объекта, так и за
обстановкой внутри помещений. При этом могут быть системы наблюдения как в видимом, так и в ИК диапазонах
длин волн.
Кабельные системы используются для охраны небольших объектов, обычно временно находящихся на территории, а также оборудования внутри помещений. Они
состоят из заглубленного (или спрятанного в постройках)
кабеля, окружающего защищаемый объект или помещение
и излучающего радиоволны. Приемник излучения реагирует на изменение поля, создаваемого нарушителем.
Системы защиты окон и дверей предназначены не
только для препятствия механическому проникновению,
но и, главным образом, для защиты от наблюдения и подслушивания. Регулирование доступа на территорию и в
помещения может осуществляться и с помощью специаль430
ных замков, в том числе замков с управлением от микропроцессоров и компьютеров.
Биометрические средства контроля доступа основаны на регистрации или измерении характеристик субъекта
как биологического существа. Различают квазистатические
и квазидинамические характеристики, используемые в биометрии. К квазистатическим характеристикам относятся:
отпечатки пальцев; строение лица; строение сетчатки глаза;
геометрия рук; строение кровеносных сосудов и т.п. К квазидинамическим характеристикам относят: пульс; речь; почерк; кардиограмма (более подробно о современных методах биометрической аутентификации в разделе 5.5).
К атрибутивным средствам контроля доступа относят специальные карты, документы, ключи и жетоны. Специальные карты – это фотографии, смарт1-карты (пластиковые карты, магнитные карты, карты памяти, собственно
смарт-карты (карты с процессором и памятью), суперсмарт-карты -смарт-карты с дисплеем).
К документам в данном случае относятся: пропуска,
удостоверения личности, идентификационные карты.
Проектирование систем защиты от физического
доступа начинают, как правило, с выявления необходимых
организационных мер защиты, связанных, прежде всего, с
установлением режима допуска на территорию и в помещения. После этого рассматривается необходимость и возможность установки технических средств контроля и защиты. Для обеспечения надежности охраны должна предусматриваться эшелонированная защита с рубежами:
по территории организации (предприятия, фирмы);
внутри помещений;
для защиты от доступа к аппаратуре.
1
smart - интеллектуальный
431
Эшелонированная защита позволяет парировать угрозы дискредитации тех или иных подсистем сигнализации и контроля доступа, что может быть реализовано в
случае проникновения опытных нарушителей.
В организациях, где отсутствует пропускной режим,
основное внимание должно быть уделено контролю доступа к аппаратуре.
В основу выбора мер и средств контроля физического доступа должны быть положены требования стандарта ГОСТ Р 51241-2008 [54].
Проектированием и установкой подсистем защиты
от физического доступа должны заниматься специализированные организации, имеющие соответствующие лицензии.
Высоконадежная система защиты от физического доступа
является непременным условием эффективности СЗИ в целом.
Средства защиты от непосредственного виртуального доступа и воздействия вредоносными программами(иногда их называют узловыми программными средствами, средствами защиты хоста и т.п.) направлены на исключение или затруднение проникновения нарушителя с использованием программных средств в операционную среду
компьютера и на защиту операционной среды от вредоносных программ. Эти средства реализуются или операционной системой компьютера, или путем применения специальных программ, программных и программно-аппаратных
комплексов (рис. 5.5). Следует подчеркнуть, что эти средства одновременно направлены на защиту информации и от
удаленного доступа (сетевых атак) при проникновении нарушителя или инициированного им процесса в операционную среду компьютера, вызове команд операционной системы и попытках выполнения несанкционированных действий с информацией.
432
Средства защиты информации
Средства, реализуемые операционной системой
Специальные программы и программно-аппаратные комплексы защиты
Программные средства анализа кодов программ
Средства администрирования пользователей
BOON
Встроенные утилиты резервирования, восстановления
CQua
l
FlawFind
er
PSca
n
MemWatch
АК-ВС
АИСТ-С
Встроенные средства противодействия дизассемблированию
программ
Внешние утилиты восстановленияинформации и программы безвозвратного удаления остаточной информации
Средства идентификации и аутентификации пользователей,
файлов, процессов, команд
R-Studio
Назначение минимально необходимых прав и привилегий пользователям
Undelete Plus
Cipher
Easy Recovery Prof.
CCleaner
Eraser
Специальные программные комплексы (сканеры безопасности) анализа защищенности
Средства реализации технологии RAID для обеспечения отказоустойчивости и повышения производительности
Nessus
Xspider
Retina
Languard
Max Patrol
Ревизор
Internet Security
Scanner(ISS)
Средства регистрации, протоколирования и аудита
Антивирусные пакеты
Средства разграничение доступа к каталогам и файлам на
уровне реестра операционной системы
Средства разграничения и контроля доступа к реестру
Программные средства блокирования выполнения из-за неправильных данных, форматов и др.
АВ Касперского
Dr.Web
ESET NOD32
Awast
Anti-Virus Toolkit
Программно-аппаратные комплексы доверенной загрузки, разграничения доступа и блокирования
Аккорд-АМДЗ
Лабиринт-Д3
Максим-М1
Центурион
Блокхост-МДЗ
TSM
Средства контроля целостности операционной среды
Средства регламентации и контроля использования технологий
беспроводного доступа
МДЗ-Эшелон
Криптон-Замок
Форпост-Экспресс
Электронный замок Altell Trust
Dallas Lock 8.0, 10
Secret Net
Электронный замок «Соболь 3.0.6»
Рис. 5.5. Средства защиты информации от виртуального НСД и связанных с ним действий в операционной среде компьютера
433
Кроме того, некоторые из указанных средств по
своему назначению являются одновременно средствами
защиты как от непосредственного, так и от удаленного
доступа, например, сканеры безопасности и антивирусные
пакеты. Необходимо отметить, что некоторые из средств
лишь опосредованно влияют на защиту информации, например, средства анализа кодов и выявления недекларированных возможностей, сканеры безопасности и т.п.
На рис. 5.5, конечно, приведены не все известные
средства защиты, а лишь наиболее распространенные, однако даже приведенный состав свидетельствует о значительном разнообразии применяемых на практике средств
защиты. Сегодня активно разрабатываются новые, все более эффективные меры и средства защиты, что обусловлено, во-первых, интенсивным развитием системного и прикладного программного обеспечения, во-вторых, разработкой и внедрением в практику новых информационных технологий, в том числе в области защиты информации, и, втретьих, существенным возрастанием влияния нарушений
безопасности информации на деятельность общества и государства в условиях тотальной информатизации.
Краткая характеристика мер и средств защиты информации от удаленного доступа, от несанкционированной
ее передачи из ИТКС во внешние сети и от воздействия на
нее при санкционированной передаче информации во
внешние сети сводится к следующему.
Меры и средства защиты информации от НСД,
обусловленные применением сетевых технологий взаимодействия, направлены на исключение или затруднение
проникновения нарушителя в операционную среду ИТКС
(операционную среду серверов, рабочих станций, коммуникационных элементов сети, программных и программноаппаратных средств защиты и т.п.) с использованием про434
токолов межсетевого взаимодействия или воздействия на
эту среду (рис. 5.6). Эти меры и средства можно условно
разделить на три группы: первая включает в себя меры и
программные средства операционной системы, основанные на соответствующих ее настройках и реализуемые без
изменения топологии информационной системы, вторая –
меры, основанные на изменении топологии защищаемой
информационной системы, третья группа – это меры, основанные на применении специальных программных комплексов и систем защиты, устанавливаемых дополнительно в информационную систему. На практике могут применяться и смешанные варианты.
К первой группе относятся следующие основные
меры:
управления входящими и исходящими информационными потоками;
регламентации и контроля использования в информационной системе технологий беспроводного доступа;
обеспечения подлинности сетевых соединений
(сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
(как правило, за счет идентификации, аутентификации и авторизации абонентов);
исключения возможности отрицания пользователем факта отправки информации другому пользователю;
обнаружение и реагирование на поступление в
информационную систему незапрашиваемых
электронных сообщений (защита от «спама»);
регламентация и контроль использования в информационной системе технологий беспроводного доступа.
435
Рис. 5.6. Меры и средства защиты информации от сетевых атак
и от несанкционированной передачи во внешние сети
436
Следует отметить, что современные операционные
системы достаточно часто поставляются разработчиками
со встроенными программными межсетевыми экранами и
программными средствами формирования частных виртуальных сетей.
Ко второй группе относятся такие меры как сегментирование информационной системы и обеспечение защиты периметра каждого сегмента, а также построение информационной системы на основе терминальной технологии «Тонкий клиент» (см. раздел 6).
К третьей группе относятся все остальные меры,
основанные на применении специально создаваемых программных комплексов.
Меры и средства защиты информации при передаче по каналам связи, то есть меры и средства защиты
трафика, как правило, основаны сегодня на применении
методов криптографии (в данной книге не рассматриваются), контроля сетевых взаимодействий с резервированием
и восстановлением передаваемой информации (достигается, как правило, средствами операционной системы или
специальными утилитами и программными комплексами
защиты), средствами создания скрытых каналов передачи
данных, например, на основе стеганографической передачи информации, а также построением частных виртуальных сетей (см. раздел 5.7);
Меры и средства защиты информации от воздействия вредоносными программами, в том числе в интересах нарушения функционирования ИТКС, рассматриваются в разделе 5.4.
437
5.2. Межсетевые экраны, требования к ним и способы
применения
Межсетевой экран (МЭ) – это локальное (однокомпонентное) или функционально-распределенное средство
(комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей
из информационной системы, и обеспечивающее защиту
информационной системы посредством фильтрации информации, т.е. ее анализа по совокупности критериев и
принятия решения о ее распространении в (из) информационной системы [53]. Межсетевой экран (в иностранной
литературе брандмауэр – от немецкого Brandmauer или
файрвол – от английского Firewall, означает в переводе
«огненная стена») может быть программным или программно-аппаратным средством, самостоятельно функционирующим в информационной системе или функционирующим в составе операционной системы хоста.
МЭ располагается между защищаемой сетью, называемой внутренней, и потенциально враждебной внешней
сетью. Организационно он входит в состав защищаемой
сети. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот. В
общем случае работа МЭ основана на динамическом выполнении двух групп функций:
1)
фильтрации проходящих через него информационных потоков;
2)
посредничества при реализации межсетевых
взаимодействий.
В зависимости от типа экрана эти функции выполняются с различной полнотой. Классификация МЭ приведена на рис. 5.7.
438
Межсетевые экраны
По выполняемым функциям
МЭ, реализующие
функции фильтрации
МЭ, реализующие
функции посредничества
По уровням эталонной модели OSI
По исполнению
Пакетный фильтр сетевого уровня
(экранирующий маршрутизатор)
Программный
Шлюз сеансового уровня маршрутизатор (экранирующий транспорт)
Программно-аппаратный
Прикладной шлюз
Шлюз экспертного уровня (фильтрация с контролем состояния соединения на основе методов многоуровневого анализа)
Рис. 5.7. Классификация межсетевых экранов
439
Простые экраны выполняют функции из одной
группы или даже одну из функций. Комплексные экраны
обеспечивают совместное выполнение указанных функций. Рассмотрим несколько подробнее эти функции.
Фильтрация трафика состоит в выборочном пропускании информационных потоков через экран, возможно, с
выполнением некоторых преобразований и извещением
отправителя о том, что его данным в пропуске отказано
(рис. 5.8) [53].
Фильтрация осуществляется на основе набора правил,
предварительно загруженных в экран и являющихся выражением сетевых аспектов принятого замысла защиты информации.
Рис. 5.8. Функции межсетевого экрана при фильтрации
Его можно представить в виде последовательности
фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдель-
440
ных правил фильтрации, на основе которых принимается
одно из следующих решений:
не пропустить данные;
обработать данные от имени получателя и возвратить результат отправителю;
передать данные на следующий фильтр для продолжения анализа;
пропустить данные, игнорируя следующие
фильтры.
То есть в межсетевом экране осуществляется разрешение или запрещение дальнейшей передачи данных и
выполнение дополнительных защитных функций. В качестве характеристик, анализируемых при фильтрации, могут быть:
служебные поля пакетов сообщений, содержащие
сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.;
непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
внешние характеристики потока информации,
например, временные, частотные характеристики, объем данных и т.п.
Функции посредничества межсетевой экран выполняет с помощью специальных программ, называемых экранирующими агентами или просто программами – посредниками (рис. 5.9).
Они являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью. При необходимости доступа из
внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программой
– посредником, функционирующей в компьютере экрана.
441
Межсетевой экран
Программапосредник №1
Программапосредник №2
Программапосредник №K
Функции посредничества, выполняемые экранирующими агентами
Проверка подлинности
передаваемых данных
Преобразованием потока сообщений
(динамический поиск вирусов, прозрачное шифрование)
Разграничение доступа к
ресурсам внутренней сети
Разграничение доступа к
ресурсам внешней сети
Кэширование данных, запрашиваемых
из внешней сети
Идентификация и аутентификация пользователей
Трансляция IP-адресов
для исходящих пакетов
сообщений
Регистрация событий, реагирование на
задаваемые события
Анализ зарегистрированной информации, генерация отчетов
Рис. 5.9. Функции посредничества при межсетевом экранировании
442
Программа – посредник проверяет допустимость
запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Дальнейший обмен осуществляется
через программу – посредника.
При этом может осуществляться фильтрация потока
сообщений и выполняться другие защитные функции:
идентификация и аутентификация пользователей;
проверка подлинности передаваемых данных;
разграничение доступа к ресурсам внутренней
сети;
разграничение доступа к ресурсам внешней сети;
преобразование потока сообщений, например,
динамический поиск вирусов и шифрование информации;
регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной
информации и генерацию отчетов;
кэширование данных, запрашиваемых из внешней сети и др.
В зависимости от того, на каком уровне модели OSI
поддерживается безопасность межсетевого взаимодействия, различают следующие виды (классы) экранов: экранирующие маршрутизаторы; шлюзы сеансового уровня;
прикладные шлюзы.
Экранирующий маршрутизатор, который называют
еще пакетным фильтром, предназначен для фильтрации
пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения
своих отдельных функций может охватывать и транспортный уровень. Решение о том, пропустить и отбраковать
данные, принимается для каждого пакета независимо на
443
основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровня. В качестве анализируемых полей IP- и
TCP-заголовков каждого пакета выступают: адрес отправителя; адрес получателя; тип пакета; флаг фрагментации
пакета; номер порта источника; номер порта получателя.
Первые 4 параметра относятся к IP, а остальные к TCPзаголовку.
При обработке пакета экранирующий маршрутизатор последовательно просматривает заданную таблицу
правил, пока не найдет правило, с которым согласуется вся
совокупность параметров пакета. Если таковых нет, то пакет отбраковывается.
Шлюз сеансового уровня, называемый еще экранирующим транспортом, предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Защитные функции относятся к
функциям посредничества. Контроль виртуальных соединений заключается в контроле квитирования связи, а также
контроле передачи информации по установленным виртуальным каналам. При контроле квитирования шлюз определяет, является запрашиваемый сеанс связи допустимым.
Эта процедура состоит из обмена ТСР-пакетами, которые
помечаются флагами SYN (синхронизировать) и ACK
(подтвердить). Сеанс считается допустимым только в том
случае, когда флаги SYN и ACK, а также числа, содержащиеся в заголовках ТСР-пакетов, оказываются логически
связанными друг с другом. После того как шлюз определил, что рабочая станция внутренней сети и компьютер
внешней сети являются авторизованными участниками сеанса, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, контро444
лируя передачу информации по установленному виртуальному соединению. Он поддерживает таблицу установленных соединений. Когда сеанс завершается, из таблицы
удаляется соответствующая запись. Шлюз сеансового
уровня обеспечивает трансляцию (NetworkAddressTranslation – NAT) внутренних IP-адресов сетевого уровня при
взаимодействии с внешней сетью. При этом IP-адреса пакетов, следующих из внутренней сети во внешнюю, автоматически преобразуются в один IP- адрес, ассоциируемый
с экранирующим транспортом. Это исключает прямой
контакт между внутренней и внешней сетью. Недостатки у
шлюза сеансового уровня такие же, как и у экранирующего
маршрутизатора: не обеспечивается контроль и защита содержимого пакетов, не поддерживается аутентификация
пользователей и конечных узлов.
На практике большинство шлюзов сеансового
уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня.
Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне эталонной модели и обеспечивает наиболее надежную защиту
межсетевых взаимодействий. Защитные функции относятся к функциям посредничества, но при этом выполняется
значительно большее количество функций, а именно:
идентификация и аутентификация пользователей
при попытке установления соединения через МЭ;
проверка подлинности информации, передаваемой через шлюз;
разграничение доступа к ресурсам внутренней и
внешней сети;
фильтрация потоков сообщений на прикладном
уровне, а также преобразование потоков сообщений, например, динамический поиск вирусов и
445
прозрачное шифрование информации;
регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной
информации и генерация отчетов;
кэширование данных, запрашиваемых из внешней сети.
Важнейшее отличие прикладного шлюза в том, что
посреднические программы шлюза связаны с конкретными
приложениями (программными серверами конкретных
служб TCP/ IP, то есть серверы HTTP, FTP, SMTP, NNTP и
др.), которые функционируют в резидентном режиме и
реализуют функции экранирования.
Как правило, на практике используют комплексные
МЭ.
Из изложенного видно, что разные МЭ обладают
разными возможностями по экранированию трафика. Для
их применения в ИТКС разных классов защищенности в
[53] установлены требования, в которых определены пять
классов защищенности, обеспечиваемых МЭ. Каждый
класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый
низкий класс защищенности- пятый, применяемый для
безопасного взаимодействия информационных систем
класса 1Д с внешней средой, четвертый - для 1Г, третий 1В, второй - 1Б, самый высокий - первый, применяемый
для безопасного взаимодействия информационных систем
класса 1А с внешней средой.
При включении МЭ в ИТКС определенного класса
защищенности класс защищенности совокупной ИТКС,
полученной из исходной путем добавления в нее МЭ, не
должен понижаться.
Для ИТКС, соединенных с сетями общего пользования, где не должна обрабатываться информация, содер446
жащая сведения, составляющие государственную тайну,
необходимо применять МЭ 5 и 4 класса соответственно
для информационных систем класса 1Д и1Г.
Требования к пятому классу защищенности МЭзаключаются в следующем.
1. МЭ должен обеспечивать управление доступом
путем фильтрации пакетов на сетевом уровне. Решение по
фильтрации принимается для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
2. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность
для идентификации и аутентификации по идентификатору
(коду) и паролю условно-постоянного действия.
3. МЭ должен обеспечивать регистрацию входа
(выхода) администратора МЭ в систему (из системы) либо
загрузку и инициализацию системы и ее программный останов. Регистрация выхода из системы не проводится в
моменты аппаратурного отключения МЭ. В параметрах
регистрации указываются:
дата, время и код регистрируемого события;
результат попытки осуществления регистрируемого события - успешная или неуспешная;
идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.
4. МЭ должен содержать средства контроля целостности своей программной и информационной части.
5. В МЭ должна быть предусмотрена процедура
восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.
447
6. В МЭ должна обеспечиваться возможность регламентного тестирования:
реализации правил фильтрации (см. п. 1);
процесса идентификации и аутентификации администратора МЭ (см. п. 2);
процесса регистрации действий администратора
МЭ (см. п. 3.);
процесса контроля целостности программной и
информационной части МЭ (см. п. 4);
процедуры восстановления (см. п. 5).
7. Руководство администратора МЭ должно содержать:
описание контролируемых функций МЭ,
руководство по настройке и конфигурированию
МЭ,
описание старта МЭ и процедур проверки правильности старта;
руководство по процедуре восстановления.
8.Тестовая документация должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п.6), и результаты тестирования.
9. Конструкторская (проектная) документация
должна содержать:
общую схему МЭ,
общее описание принципов работы МЭ;
описание правил фильтрации;
описание средств и процесса идентификации и
аутентификации;
описание средств и процесса регистрации;
описание средств и процесса контроля целостностью программной и информационной части МЭ;
описание процедуры восстановления свойств МЭ.
448
Требования к четвертому классу защищенности
МЭ заключаются в следующем.
1. В части управления доступом требования полностью включают аналогичные требования пятого класса
(п. 1). Дополнительно МЭ должен обеспечивать:
фильтрацию пакетов служебных протоколов,
служащих для диагностики и управления работой
сетевых устройств;
фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
фильтрацию с учетом любых значимых полей сетевых пакетов.
2. МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
3. В части идентификации и аутентификации при
администрировании требования полностью совпадают с
аналогичными требованиями пятого класса (п.2).
4. В части регистрации при администрировании
требования включают аналогичные требования пятого
класса (п.3). Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
5. В части обеспечения целостности требования
полностью совпадают с аналогичными требованиями пятого класса (п.4).
6. В части обеспечения восстановления требования
полностью совпадают с аналогичными требованиями пятого класса (п.5).
7. В МЭ должна обеспечиваться возможность регламентного тестирования:
реализации правил фильтрации (см. п.1),
процесса регистрации (см. п.2);
449
процесса идентификации и аутентификации администратора МЭ (см. п.3);
процесса регистрации действий администратора
МЭ (см. п.4),
процесса контроля целостности программной и
информационной части МЭ (см. п.5);
процедуры восстановления (см. п.6).
8.Требования, касающиеся Руководства администратора МЭ, полностью совпадают с аналогичными требованиями пятого класса (п.7).
9. Тестовая документация должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п.7), и результаты тестирования.
10. Требования, касающиеся конструкторской (проектной) документации, полностью совпадают с аналогичными требованиями пятого класса (п.9) по составу документации.
Некоторые варианты применения межсетевых экранов приведены на рис. 5.10 [54, 55].
В варианте а) МЭ полностью экранирует локальную
сеть от сети общего пользования. Открытые серверы, входящие в локальную сеть, также защищаются межсетевым
экраном, однако предоставление сервисов внешним пользователям в ходе взаимодействия с внешними сетями создает опасность для других ресурсов защищаемой сети, что
обусловливает необходимость усиления возможностей по
аутентификации абонентов, ограничения их списка, протоколирования доступа и т.д. Такой вариант применения может оказаться неприемлемым для некоторых сетей.
450
Демилитаризованная
зона
б) Схема экранирования при наличии демилитаризованной зоны
а) Простая схема экранирования локальной
сети
Демилитаризованная
зона
в) Схема с раздельным экранированием закрытой и открытой подсети на основе одного МЭ
г) Схема с раздельным экранированием закрытой
и открытой подсети на основе двух МЭ
Рис. 5.10. Варианты применения межсетевых экранов
451
При варианте б) в сети имеется так называемая демилитаризованная зона, которая представляет собой область в сети, к которой возможен, по сути, открытый доступ пользователей внешней сети общего пользования, с
отделением этой области от той части сети, с которой работают только сотрудники организации.
Демилитаризованные зоны также могут использоваться при работе с партнерами по бизнесу и другими
внешними сторонами. Демилитаризованная зона сначала в
обычном порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со
строгими фильтрами.
Затем посредством элементов управления сетью определяются условия, какому трафику разрешается проникновение в демилитаризованную зону и какому трафику
разрешено выходить за ее пределы. Как правило, любая
система, с которой может быть установлен прямой контакт
внешним пользователем, должна находиться в демилитаризованной зоне. Данный вариант соответствует более высокой защищенности закрытой части локальной сети, но не
обеспечивает безопасность открытых сервисов. Если к
безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с
раздельной защитой закрытой и открытой подсетей, то
есть варианты в) или г).
При варианте в) используется один МЭ с тремя сетевыми интерфейсами, а в варианте г) – два МЭ с двумя
сетевыми интерфейсами каждый. При этом доступ к открытой и закрытой подсетям возможен только через МЭ и
доступ к открытой подсети не позволяет получить НСД к
закрытой подсети. Из этих двух схем больший уровень
безопасности межсетевых взаимодействий обеспечивает
452
схема с двумя МЭ, поскольку защищаемая открытая подсеть выступает в качестве экранирующей подсети [55].
5.3. Системы обнаружения вторжений, требования
к ним и способы применения
Создание систем обнаружения вторжений связано,
прежде всего, с внедрением адаптивных методов защиты
информации в ИТКС. Такие системы строятся с учетом
особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения вторжений.
Выделяют три группы методов обнаружения вторжений:
сигнатурные методы;
методы выявления аномалий;
комбинированные методы (использующие совместно алгоритмы, определенные в сигнатурных методах и методах выявления аномалий).
Сигнатурные методы основаны на том, что большинство возможных атак на ИТКС известны и развиваются по схожим сценариям (см. раздел 3.5).
Метод выявления аномалий базируется на сравнении так называемого профиля нормального поведения
пользователя с реальным поведением. При этом могут выявляться аномалии в сигнатурах атак (отклонения от известных сигнатур), выявляемые статистическими методами, аномалии трафика (например, в интенсивности передачи пакетов данных с определенным сетевым адресом отправителя), выявляемые как обычными статистическим
методами, так и специфическими методами, основанными,
например, на использовании аппарата нейронных сетей, а
также аномалии в служебных данных, вызванные преднамеренно вводимыми нарушителем ошибками и др. При
453
использовании данного метода предполагается, что отклонение от нормального поведения является подозрительным
и может быть оценено как признак атаки.
Классификационная схема методов обнаружения
вторжений приведена на рис. 5.11. Приведенная классификация учитывает основные методы выявления атак, известные на данный момент. Следует подчеркнуть, что некоторые из них пока только прорабатываются и не применяются на практике, некоторые находят весьма ограниченное применение из-за низкой эффективности обнаружения
вторжений, однако в настоящее время ведутся работы по
их совершенствованию. Краткая характеристика указанных методов, позволяющие составить общее представление об их возможностях и тенденциях развития, сводится к
следующему.
Сигнатурные методы включают в себя две группы
методов, основанные на контекстном анализе и не связанных с таким анализом.
В методах, основанных на контекстном анализе,
проводится:
а) анализ регулярных выражений. Алгебра регулярных выражений строится по схеме использования констант, переменных и операторов для обозначения операций объединения, конкатенации и итерации. При этом
объединение двух множеств цепочек символов L и M
(LM) – это множество цепочек символов, которые содержатся либо в L, либо в M, либо в обоих множествах.
Конкатенация двух множеств цепочек символов L и M –
это совокупность цепочек символов множеств L и M.
454
Методы обнаружения вторжений
По использованию сигнатуры атаки
Методы, основанные на анализе сигнатур атак
Методы выявления аномалий
Комбинированные методы
По привязке к контексту трафика
Методы, основанные на
контекстном анализе
На использовании
регулярных выражений
На использовании
детерминированных
контекстносвободных грамматик
На использования
грамматики атрибутов
Методы, не связанные с контекстным анализом
Методы статистической обработки
Адаптивные методы
По признаку обучения
Неадаптивные методы
Адаптивные методы
Методы, основанные на
реализации продукционноэкспертных систем
Метод, основанный на использовании нейронных сетей
Метод соответствия модели
вторжения
Метод, основанный на использования генетических алгоритмов
Метод анализа состояний
Метод, основанный на использования иммунных алгоритмов
Методы без
учета времени
Методы с учетом
времени
Метод, основанный на
операторной
модели
Метод, основанный на
анализе среднестатистических характеристик
Метод, основанный на
многовариационной модели
Рис. 5.11. Классификация методов обнаружения вторжений
455
Метод, основанный на модели временных серий
Метод, основанный на
применении
модели процессов Маркова
Метод, основанный на использовании нейронных сетей
Метод, основанный на использовании генетических алгоритмов
Метод, основанный на использовании иммунных алгоритмов
Метод кластеризации
Итерация (замыкание Клини) множества цепочек
символов L – представляет собой множество всех тех цепочек символов, которые можно образовать путем конкатенации любого количества цепочек из L [56]. Эти операции позволяют сравнивать формализованные описания
сигнатур с эталонными описаниями для обнаружения и
распознавания атак.
Использование регулярных выражений – традиционный подход при распознавании сигнатур. К преимуществам данного подхода относятся высокая производительность (распознавание имеет полиномиальную сложность
по отношению к входным данным) и простота реализации.
К недостаткам данного подхода относятся невозможность
учета взаимосвязей последовательных событий и временных характеристик атаки при описании сценария, что позволяет описать только простые классы атак.
б) анализ сигнатур с использованием детерминированных контекстно-свободных грамматик. Грамматика
языка описания атак включает в себя следующие четыре
компонента:
конечное множество символов, из которых состоят цепочки определяемого языка;
конечное множество синтаксических категорий,
при этом каждой категории соответствует конечное множеством цепочек символов;
стартовая синтаксическая категория;
конечное множество правил вывода или правил
подстановки, которые представляют рекурсивное
определение языка, при этом каждое правило состоит из следующих частей синтаксической категории (A); символа вывода; цепочки символов
и/или синтаксических категорий ( ).
456
Формально правило вывода может быть записано
следующим образом: A . Символ означает «может
быть заменено на».
Описанные четыре компонента образуют контекстно-свободную грамматику, то есть замена A на можно
проводиться независимо от контекста, в котором встречается A .
К недостаткам данного подхода относятся невозможность учета последовательности событий и временных
характеристик атаки;
в) анализ сигнатур с использованием грамматики
атрибутов. Грамматика атрибутов определяет семантику
для конкретной контекстно-свободной грамматики. Грамматики атрибутов используются для описания реализации
или расширения существующих языков.
Эти грамматики обеспечивают мощный инструмент
для представления атак, но не позволяют описать атаку в
интуитивно понятной для человека форме (в том числе отсутствует графическое представление). Расширение грамматик атрибутов с использованием графического представления делает их сходными с сетями Петри [57]. Для
того чтобы пользователь мог свободно разрабатывать сигнатуры с использованием данных грамматик, они должны
быть контекстно-свободными, а для эффективного распознавания – детерминировано контекстно-свободными, что
влечет все соответствующие недостатки.
Рассмотренные выше сигнатурные методы, базирующиеся на контекстном анализе, не позволяют выявлять
атаки со сложными сценариями. Для преодоления этого
недостатка чаще всего используют методы, описанные ниже.
В методах, основанных на использовании продукционных экспертных систем, применяются правила им457
пликации «если – то», при этом по указанным правилам
определяются условия, необходимые для осуществления
атаки (в части «если») и когда эти условия подтверждаются на основании зарегистрированных событий, выполняется часть «то» правил, то есть принимается решение о наличии вторжения. Продукционные системы обнаружения
вторжений осуществляют логический вывод на основании
анализа данных аудита.
Примерами продукционных экспертных систем обнаружения атак являются системы IDES, NADIR и
Wisdom&Sense. Продукционные правила, заложенные в
эти системы, позволяют описать известные уязвимости,
учесть прошлые нарушения безопасности информации.
Записи аудита (факты) по мере поступления отображаются
в правилах, записываемых в базу знаний. По мере поступлений фактов (срабатывания правил) увеличивается фактор «подозрительности» поведения. После того как фактор
«подозрительности» превышает некоторый порог, администратор безопасности получает оповещение. К основным
недостаткам продукционных экспертных систем обнаружения вторжений следует отнести:
трудность учета последовательности событий,
что заставляет ввести дополнительные проверки
данных, определяющие их последовательность;
сложность формирования и поддержки базы знаний системы;
обнаружение только известных атак.
Метод, основанный на модели вторжения, состоит в моделировании поведения нарушителя на более
высоком уровне абстракции, чем записи журналов аудита.
Данный метод позволяет определить характеристики модели, описывающей сценарии атаки. Этот метод объединяет модели вторжения и доказательства, поддерживающие
458
вывод о наличии вторжения. При этом ведется база данных
со сценариями атак. Каждый из сценариев представляет
собой последовательность событий, описывающих атаку.
Система, реализующая этот метод, пытается выявлять эти
сценарии по записям в журнале аудита и доказывать или
опровергать наличие атаки на основе сравнения с шаблонами. Метод основан на накоплении контрольной информации, и поэтому возврат к предыдущему результату проверки сценария не вызывает осложнений. Для оценки возможности вторжения используется отношение вероятности
вторжения к вероятности нормального поведения. Превышение порогового уровня этого отношения сигнализирует
о вторжении.
Преимуществами метода обнаружения атак, основанного на модели вторжений, являются:
математическая база поддержки вывода в условиях неопределенности;
обеспечение независимого представления данных аудита.
Недостатками данного метода являются:
сложность описания значений характеристических параметров модели вторжения;
трудности описания сложных атак в связи с тем,
что поведение описывается последовательным
множеством событий.
При использовании метода, основанного на анализе переходов системы из состояния в состояние,
вторжение рассматривается как последовательность действий, приводящих данную систему из начального состояния
в скомпрометированное (конечное) состояние, то есть атака моделируется как множество состояний и переходов.
Состояния системы рассматриваются как переменные,
описывающие объекты, представленные в сигнатуре атаки.
459
Начальное состояние ассоциируется с состоянием до выполнения атаки, а скомпрометированное состояние соответствует состоянию по окончании атаки. Переходы из состояния в состояние ассоциируются с новыми событиями в
системе, влияющими на исполнение сценария атаки (например, запуск приложения, открытие TCP-соединения).
Типы допустимых событий встроены в модель. Между начальным и скомпрометированным состояниями существует множество переходов. Такой подход позволяет абстрагировать описание атаки от содержания конкретных записей журналов аудита.
Ключевыми факторами применимости данного метода являются следующие:
атака должна приводить к видимым изменениям
системе (в смысле нарушения безопасности информации);
метод не позволяет выявлять атаки, связанные с
пассивными действиями нарушителя в среде
ИТКС;
скомпрометированное состояние должно быть
распознано без использования внешних знаний о
намерениях нарушителя.
Таким образом, с помощью данного метода можно
определять только те атаки, которые состоят из последовательных событий, не позволяя описать и обнаружить атаки
с более сложной структурой. Развитием данного метода
является метод, использующий формализм раскрашенных
сетей Петри [57], его особенность состоит в возможности
моделирования переходов системы в частично упорядоченные состояния.
Каждая сигнатура вторжения в данном методе соответствует экземпляру сети Петри. Раскрашенная сеть Петри, описывающая сценарий атаки, может иметь более од460
ного начального состояния, что обеспечивает частичную
упорядоченность, и единственное конечное состояние.
Сигнатура считается распознанной при достижении конечного состояния сети.
Отличие данного подхода от классических раскрашенных сетей Петри состоит в том, что при распознавании
опущены такие особенности раскрашенных сетей Петри,
как конкуренция, локальные переменные переходов, преди постусловия.
Пример процедуры обнаружения сетевой атаки
приведен на рис. 5.12.
S4
t3
S5
t4
S6
t5
S1
t1
S2
t2
S7
S3
Рис. 5.12. Пример сети Петри, моделирующей процедуру
обнаружения сетевых атак
Состояния сети обозначаются кружками. В стартовом состоянии сети маркеры помещаются во все начальные состояния (начальная разметка сети). Для сценария
атаки, показанного на рис. 5.12, начальными состояниями
являются S1 и S4, а конечным состоянием – S7. Каждое
состояние может иметь произвольное количество маркеров. Дуги связывают переходы и состояния. Если дуга связывает состояния, то переход считается безусловным и
маркируется новое состояние.
Хотя использование данного метода позволяет обнаруживать широкий спектр сетевых атак, он требует зна-
461
чительных вычислений (время распознавания экспоненциально по отношению к размеру раскрашенных сетей Петри), и пока не может использоваться в системах обнаружения атак реального времени.
Адаптивные методы обнаружения атак по их
сигнатурам основаны на обучении и динамическом формировании баз данных по сигнатурам атак. Практическое
применение в настоящее время находят в основном алгоритмы, основанные на нейронных сетях. Использование
нейросетей в рамках сигнатурных методов обусловлено
тем, что они:
позволяют реализовывать достаточно большой
перечень функций при условии их обучения на
определенном объеме информации;
способны к самообучению и переобучению на
образцах атак;
позволяют реализовывать внутри себя нелинейные отображения, что является важным для решения задач обнаружения атак с существенными
нелинейностями;
не требуют полного объема априорной информации об объекте защиты, что характерно для традиционных методов адаптивного управления, и
это делает их эффективными в условиях существенных неопределенностей;
архитектурно ориентированы на высокую степень параллельной обработки данных, что позволяет повысить эффективность такой обработки
на многопроцессорных вычислительных архитектурах и повысить надежность обработки, так
как повреждение отдельных элементов не может
существенно повлиять на работу нейросети в целом.
462
В самом простом случае используется многослойный персептрон – нейронная сеть без обратной связи, состоящая из слоев нейронов, соединенных по принципу
«каждый с каждым».
Процесс обучения системы обнаружения вторжений
на нейросетях проводится на образцах атак, искусственно
моделируемых в ИТКС. Преимуществом использования
обучения в данном случае является возможность обнаружения вариаций известных атак – решение проблемы мутации атак. Данная проблема в общем случае может быть
успешно решена для некоторого подмножества атак.
Вместе с тем, при использовании нейронных сетей
остаются пока нерешенными следующие вопросы:
время на обучение при больших множествах
примеров может быть достаточно велико;
нейросети не позволяют проследить логику принятия решения;
нейросети требуют четкой настройки топологии
и параметров сети, при этом во многих случаях
нейросеть, подходящая по характеристикам для
обнаружения одного типа атак, оказывается неприемлемой для обнаружения атак другого типа,
изменение же параметров и топологии сети может приводить к противоположному результату.
Тем не менее, нейросетевые технологии в настоящее время привлекают пристальное внимание, поскольку
позволяют осуществлять обнаружение атак в масштабе
времени, близком к реальному.
В последнее время появились сообщения о новых
методах обнаружения, например, основанных на так называемых генетических алгоритмах и иммунных алгоритмах.
463
Метод генетических алгоритмов основан на сходстве процессов обнаружения атак с механизм амиестественного отбора в природе. Наименование «генетический
алгоритм» происходит из аналогии представления сложной
биологической структуры посредством вектора ее компонент, которое широко используется биологами для представления генетической структуры хромосом. В данном
случае каждая хромосома соответствует состоянию ИТКС,
которое сопоставляется с определенными классами сетевых атак.
Выделяются следующие основные свойства генетических алгоритмов, которые позволяют рассматривать их в
качестве перспективных для обнаружения и выявления сетевых атак:
генетические алгоритмы внешне просты и универсальны, при их построении никакие обучающие выборки не требуются;
генетические алгоритмы легко распараллеливаются путем структурирования популяции;
генетические алгоритмы оперируют с кодами параметров, процедура поиска оптимального решения - достаточно общая.
На основе метода генетических алгоритмов создана
во Франции система обнаружения gassata (geneticalgorithmforsimplifiedaudittrailananlysis).
Методы, основанные на иммунных алгоритмах,
возникли в связи с аналогией системы обнаружения атак с
иммунной системой человека, функцией которой является
обнаружение болезнетворных процессов в организме человека, «предупреждение» о них и введение в действие защитных механизмов. Система обнаружения, построенная
на принципах иммунной системы человека, могла бы стать
идеальным средством обнаружения любых сетевых атак.
464
однако, в настоящее время эти методы только декларированы и до их практического применения пока достаточно
далеко.
Методы обнаружения вторжений на основе анализа аномалий базируются на сравнении профиля нормального поведения пользователя с профилем текущего
поведения. При использовании данных методов предполагается, что отклонение от нормального поведения является
подозрительным и может быть оценено как признак атаки.
В методах выявления аномалий чаще всего используются статистические алгоритмы сравнения текущего поведения с шаблонным профилем характеристик ожидаемого функционирования информационной системы. Параметры функционирования системы, используемые для построения профиля, могут изменяться в зависимости от условий функционирования.
Применение методов обнаружения вторжений на основе выявления аномалий может быть целесообразным
только в том случае, если можно предсказать, как будет вести себя ИТКС. Это особенно трудно в ситуациях, когда
нужно сформировать профиль для нового пользователя.
Основой этого профиля должно служить ранее наблюдавшееся поведение, однако если такого поведения еще не было, то в общем случае нужно опираться на приблизительное
предсказание поведения. В экстремальных ситуациях можно представить, что нового пользователя попросят указать,
каких типов поведения можно от него ожидать.
Однако в большинстве случаев в качестве информации, присутствующей в профилях, используется:
описание сессий (для данного пользователя или
системы профили могут характеризовать обычное число сессий в данное время дня, время начало сессии, максимальную длительность сессии
465
и т.д.);
параметры выполнения функций пользователя
(создают профили частоты чтения и записи некоторых файлов, числа отказов на запросы и т.д.);
доступ к ресурсам(профили устанавливаются в
зависимости от предполагаемого типа использования ресурсов ИТКС).
Выявление аномалий осуществляется неадаптивными методами, основанными на использовании аппарата
математической статистики, и адаптивными методами.
В неадаптивных методах, основанных на использовании аппарата математической статистики, нормальное
поведение пользователя определяется на основе статистической обработки заданных параметров. Статистические
методы разделяют на два класса:
учитывающие временной фактор;
не учитывающие временной фактор.
Методы, не учитывающие временной фактор,
включают в себя методы, основанные на операционной
модели, на модели среднего значения и среднеквадратичного отклонения и на многовариационной модели.
Метод, основанный на операционной модели, базируется на том, что каждое новое наблюдение переменной
должно укладываться в некоторых границах. Если этого не
происходит, то имеет место отклонение. Допустимые границы определяются на основе анализа предыдущих значений переменной. Данная модель может использоваться,
если некоторое значение метрики можно аргументировано
связать с попыткой вторжения (например, количество попыток ввода пароля более 10).
Метод, основанный на модели среднего значения,
базируется на том, что все, что известно о предыдущих наблюдениях некоторой величины (x1, …, xn), – это ее сред466
нее значение и среднеквадратичное отклонение . Тогда
новое наблюдение является аномальным, если оно не укладывается в границы доверительного интервала. Модель
применима для измерения счетчиков событий, длительности интервалов работы пользователей и используемых ресурсов.
Метод, основанный на многовариационной модели,
аналогичен методу, основанному на модели среднего значения и среднеквадратичного отклонения, но учитывает корреляцию между двумя или большим количеством метрик
(использование центрального процессорного устройства и
количество операций ввода-вывода, количество выполненных процедур входа в систему и длительность сессии).
К методам, учитывающим временной фактор, относятся методы, основанные на модели марковских процессов и модели временных серий.
В методе, основанном на модели марковских процессов, рассматривается каждый тип событий как переменная
состояния, и используется матрица переходов для характеристики частот переходов между состояниями. Поведение является аномальным, если вероятность перехода, определенная предыдущим состоянием и матрицей перехода, очень
мала. Модель применима в том случае, если рассматривается
множество команд, последовательность которых может быть
использована для реализации той или иной атаки.
Метод, основанный на модели временных серий,учитывает как значения наблюдений x1, …, xn, так и
временные интервалы между ними. Новое наблюдение является аномальным, если вероятность его появления с учетом времени низка. Преимуществом данной модели является учет временного сдвига между событиями, а недостаток – значительное усложнение процессов вычисления по
сравнению с методами, использующими модель среднего
467
значения и среднеквадратичного отклонения.
Адаптивные методы связаны с процедурами обучения системы обнаружения вторжений, что позволяет
улучшить эффективность выявления аномалий. В отличие
от сигнатурного метода выявления атак в данном случае
проводится обучение на образцах «нормального поведения» для дальнейшего распознавания отличий от этого поведения (аномалий). Эффективное применение методов
обучения для выявления аномалий возможно только в том
случае, если нормальное поведение ИТКС носит устойчивый характер. Адаптивные методы включают в себя методы, основанные на применении нейронных сетей, генетических и иммунных алгоритмов и метод кластеризации.
Методы выявления аномалий, основанные на использовании искусственных нейронных сетей, генетических и иммунологических алгоритмов, аналогичны сигнатурным методам, рассмотренным выше, только в этом случае обучение проводится на нормальном и аномальном поведении пользователей.
В методах, основанных на кластеризации данных,
используются различные модели анализа данных, применяемые по отношению к последовательности событий, генерируемых программами пользователя во время их исполнения.
Такие последовательности событий формально можно представить как цепочки символов некоторого алфавита.
Потенциально могут использоваться следующие
методы анализа данных:
а) простая нумерация последовательностей;
б) относительная частота последовательностей;
в) машина конечных состояний.
Метод простой нумерации последовательностей состоит в нумерации цепочек событий, обнаруженных в трассе программы при нормальном исполнении. Возможно два
468
варианта данного метода. Первый вариант («вероятные пары») состоит в ведении баз данных нормальных шаблонов,
состоящих из списка событий, следующих друг за другом
на расстоянии 0, 1, …, k событий. Второй вариант заключается в том, что в базе данных хранятся цепочки событий некоторой фиксированной длины k, описывающих нормальную активность программы.
Каждая необнаруженная в базе данных последовательность именуется «пропущенной» и может обозначать
как аномальное поведение, так и ложное обнаружение, то
есть отсутствие цепочки в базе данных нормального шаблона. Сигнал об аномалии может вырабатываться в случае
превышения количеством цепочек, не обнаруженных в базе
данных, некоторого порогового значения.
Метод анализа относительной частоты последовательностей основан на частотном распределении различных
событий (под событием понимается определенная последовательность системных вызовов). Каждая последовательность характеризуется значением, определяемым на основе
того, как часто она встречается в нормальном поведении.
Таким образом, каждое выполнение программы может быть
представлено гистограммой последовательностей вызовов.
Каждая гистограмма определяет точку в многомерном пространстве. Множество нормальных исполнений программы
образует центроиды, величина отклонения от которых позволяет судить о нормальности текущего выполнения.
Метод машины конечных состояний состоит в разработке машины конечных состояний для распознавания семантики последовательности событий, генерируемых программой. Для решения данной задачи существует много методов, основанных на использовании как детерминистских,
так и вероятностных автоматов. При этом обычно определяется частота, с которой появляются отдельные события в за469
висимости от некоторого числа предыдущих событий. Состояния соответствуют истории системы, а переходы показывают вероятность появления следующего символа. Одной
из основных моделей построения таких систем является
Скрытая Модель Маркова. Состояния такой модели представляют некоторые ненаблюдаемые условия моделируемой
системы. В каждом состоянии существует вероятность некоторого наблюдаемого вывода системы и отдельная вероятность, определяющая следующее состояние. Наличие в модели отдельного распределения вероятности вывода для каждого состояния и возможности изменений состояний во
времени позволяет представить в модели нестационарные
последовательности. Модель является достаточно эффективной, но требует большого объема вычислений.
Описанные методы в той или иной мере реализованы в самых разнообразных системах обнаружения атак,
созданных как в достаточно крупных фирмах, так и отдельными специалистами.
Сегодня системы обнаружения сетевых атак классифицируются по следующим первичным классификационным признакам:
методу обнаружения;
этапу сетевой атаки, на котором происходит ее
обнаружение;
уровню централизации решений в системе о наличии атаки;
уровню ИТКС, на котором размещаются сенсоры
системы обнаружения.
Совокупность этих признаков позволяет систематизировать представления практически обо всех известных сегодня системах обнаружения атак. Вместе с тем необходимо
отметить, что сегодня подавляющее большинство систем обнаружения атак фактически охватывают лишь один из этапов
470
атаки – этап вторжения (см. раздел 3.5). Для выявления атак
на этапах сбора информации, реализации деструктивных
действий и ликвидации следов атаки используются преимущественно иные программные средства. В связи с этим системы обнаружения атак чаще называют системами обнаружения вторжений (СОВ).
Классификационная схема, построенная по указанным признакам, приведена на рис. 5.13.
Следует отметить, что системы отличаются не
только построением сенсорных устройств и применяемыми критериями принятия решения, но и различным содержанием и структурой баз данных, используемых для реализации каждого метода.
Весьма существенным является разделение систем обнаружения атак на системы с централизованным и децентрализованным (распределенным) принятием решений о наличии
атак. В настоящее время практически применяются только
системы с централизованным принятием решений, когда все
данные от сенсорных устройств системы собираются на консоли администратора и по результатам их централизованной
обработки принимается окончательное решение о наличии
или отсутствии атаки. Вместе с тем сегодня разрабатываются
(преимущественно за рубежом) перспективные системы с децентрализованными процедурами обработки признаков наличия атак и принятия соответствующих решений – так называемые многоагентные системы (см. раздел 5.9). Наконец,
разделение систем обнаружения атак по уровням системы, на
которых устанавливаются сенсоры (на уровне сети, на уровне
операционной системы хоста, на уровне архитектуры процессора хоста), обусловливает возможность учета принципиально
различных вариантов архитектуры построения систем, несмотря на то, что на разных уровнях могут применяться сходные методы обнаружения атак.
471
Системы обнаружения атак
По методам обнаружения
По степени централизации решений о наличии атаки
Системы, реализующие сигнатурные методы обнаружения
Системы с централизованной
системой принятия решений о
наличии атаки
Системы, реализующие методы выявления аномалий
Системы с децентрализованной
системой принятия решений о
наличии атаки (многоагентные
системы)
Системы, основанные
на комплексном применении сигнатурных
методов и методов
выявления аномалий
По уровню системы, накотором устанавливаются сенсоры обнаружения
Системы обнаружения атак на
сетевом уровне
Системы обнаружения атак на
уровне хоста
Системы обнаружения атак на
уровне процессора хоста
Комбинированные системы
обнаружения атак
Рис. 5.13. Классификация систем обнаружения атак (вторжений)
472
Требования к СОВ определены в нормативноправовом акте [58]. В этом документе использованы подходы к формированию требований, применяемые в международных стандартах. При этом класс защиты и тип СОВ
(здесь рассматриваются два типа: СОВ уровня сети и
уровня хоста) определяют совокупность требований к
функциям безопасности СОВ.
Возможности различных СОВ по предотвращению
угроз безопасности информации определяются набором
реализуемых функций безопасности, составом базы решающих правил, полнотой базы сигнатур, используемыми
методами обнаружения вторжений, а также имеющимися
дополнительными функциональными возможностями.
Для дифференциации требований к функциям безопасности СОВ выделяются шесть классов защиты систем
обнаружения вторжений. Самый низкий класс – шестой,
самый высокий – первый.
СОВ, соответствующие 6 классу защиты, применяются в информационных системах, в которых обрабатывается информация, не являющаяся информацией ограниченного доступа.
СОВ, соответствующие 5 классу защиты, применяются в информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая
сведения, составляющие государственную тайну (далее информация конфиденциального характера) и являющаяся
государственным информационным ресурсом, и (или) персональные данные (за исключением специальных категорий персональных данных).
СОВ, соответствующие 4 классу защиты, применяются в информационных системах, в которых обрабатывается информация конфиденциального характера, являющаяся государственным информационным ресурсом, и
473
(или) специальные категории персональных данных, а
также в информационных системах общего пользования II
класса, установленного в соответствии с Требованиями о
защите информации, содержащейся в информационных
системах общего пользования, утвержденными приказом
ФСБ России и ФСТЭК России от 31 августа 2010 г.
№ 416/489[60].
СОВ, соответствующие 3 классу защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие
государственную тайну.
СОВ, соответствующие 2 классу защиты, применяются с информационных системах, в которых обрабатывается информация, содержащая совершенно секретные сведения.
СОВ, соответствующие 1 классу защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения особой важности.
Для обеспечения реализации функций безопасности
СОВ в среде функционирования СОВ должны быть обеспечены следующие условия:
установка, конфигурирование и управление СОВ
в соответствии с эксплуатационной документацией;
предоставление доступа СОВ к контролируемым
объектам информационной системы;
совместимость компонентов СОВ с элементами
контролируемой информационной системы;
физическая защита элементов информационной
системы, на которых установлены компоненты
СОВ.
Помимо угроз безопасности информации, обрабатываемой в ИТКС, СОВ должны обеспечивать обнаружение
474
и(или) блокирование угроз безопасности информации, которым подвержены сами СОВ. К таким угрозам относятся:
нарушение целостности программного обеспечения СОВ;
нарушение целостности данных, собранных или
созданных СОВ;
отключение или блокирование нарушителями
компонентов СОВ;
несанкционированное изменение конфигурации
СОВ;
несанкционированное внесение изменений в логику функционирования СОВ через механизм
обновления базы решающих правил.
Нейтрализация указанных угроз безопасности информации обеспечивается механизмами самих СОВ или
внешними по отношению к СОВ механизмами и мерами
защиты информации, реализуемыми в среде функционирования СОВ.
К функциям безопасности СОВ предъявляются требования, установленные на основе национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408 [17], в
том числе:
требования к составу функций безопасности СОВ
(табл. 5.1) и сред (табл.5.2), в которых эти системы функционируют;
требования к составу функциональных возможностей СОВ (табл. 5.3), обеспечивающих реализацию функций безопасности;
требования к реализации функциональных возможностей СОВ (табл. 5.4);
требования доверия к безопасности систем обнаружения вторжений (табл. 5.5).
475
Детализация требований к функциям безопасности
СОВ, установленных настоящим разделом, а также взаимосвязи этих требований указываются в профилях защиты,
разрабатываемых в документах ФСТЭК России и утверждаемых в пределах ее полномочий.
Спецификации профилей защиты СОВ уровня сети
и узла для каждого класса защиты СОВ приведены в
табл. 5.6. Идентификаторы профилей защиты приводятся в
формате ИТ.СОВ.ТК.ПЗ, где обозначение «С» определяет,
что система обнаружения вторжений относится к уровню
сети, обозначение «У» определяет, что система обнаружения вторжений относится к уровню узла, цифра определяет
класс защиты системы обнаружения вторжений от 1 до 6.
Примеры построения систем обнаружения вторжений показаны на рис. 5.14 и 5.15.
476
Таблица 5.1
Состав функций безопасности системы обнаружения вторжений
Условное обозначение
функции
безопасности
ФБ 1
ФБ 2
ФБ 3
ФБ 4
ФБ 5
Наименование функции
безопасности
Разграничение доступа к
управлению СОВ
Управление
работой
СОВ
Управление параметрами системы обнаружения
вторжений
Управление установкой
обновлений (актуализации) базы решающих
правил СРВ
Анализ данных СОВ
Краткое содержание функции безопасности
Разграничение доступа к управлению СОВ на основе ролей
администраторов СОВ
Управление со стороны администраторов СОВ режимами выполнения функций безопасности СОВ
Управление параметрами системы обнаружения вторжений
(правилами в базе решающих правил системы обнаружения
вторжений, другими данными системы обнаружения
вторжений), которые влияют на выполнение функций
безопасности системы обнаружения вторжений, со стороны
администраторов системы обнаружения вторжений
Управление режимами получения и установки обновлений
(актуализации) базы решающих правил СОВ
Анализ заданными методами (сигнатурный, эвристический)
собранных СОВ данных о функционировании контролируемой
информационной системы с целью вынесения решения об обнаружении вторжения (атаки)
477
Продолжение табл. 5.1
Условное обозначение
функции
безопасности
ФБ 6
Наименование функции
безопасности
ФБ 9
Аудит
безопасности
СОВ
Контроль целостности
СОВ
Сбор данных о событиях
и
активности
в
контролируемой
информационной
системе
Реагирование
СОВ
ФБ 10
Маскирование СОВ
ФБ 7
ФБ 8
Краткое содержание функции безопасности
Регистрация и учет выполнения функций безопасности СОВ
Контроль целостности программного кода и базы решающих
правил СОВ
Сбор информации о передаче сетевого трафика; событиях, регистрируемых в журналах аудита элементов информационной
системы
Реагирование СОВ на выявленные вторжения (атаки):
фиксация факта обнаружения вторжения, уведомление
уполномоченных лиц, блокирование вторжения (атаки)
Маскирование наличия датчиков СОВ в информационной системе способами, затрудняющими нарушителям их выявление с
целью последующего отключения или блокирования работы
компонентов СОВ
478
Таблица 5.2
Состав функций безопасности среды, в которых функционирует система обнаружения
вторжений
Условное обозначение функции
безопасности
ФБС 1
Наименование функции безопасности
Краткое содержание функции безопасности, реализуемой в среде функционирования
Обеспечение доверенной связи
Обеспечение идентификации и аутентификации администраторов системы обнаружения вторжений.
Обеспечение доверенной связи между системой
обнаружения вторжений и администраторами системы
обнаружения вторжений
Обеспечение доверенного канала получения обновлений
базы решающих правил системы обнаружения вторжений от разработчика
Обеспечение защищенной области для выполнения
функций безопасности системы обнаружения вторжений.
Обеспечение меток времени для реализации функции
аудита безопасности системы обнаружения вторжений
Обеспечение возможности управления атрибутами безопасности компонентов системы обнаружения вторжений
и объектов информационной системы
ФБС 2
Обеспечение доверенного канала
ФБС 3
Обеспечение условий безопасного функционирования
ФБС 4
Управление атрибутами безопасности
479
Таблица 5.3
Состав функциональных возможностей система обнаружения вторжений
Условное
обозначение
реализуемой
функции
безопасности
ФБ 1
ФБ 2
ФБ 3
ФБ 4
ФБ 5
ФБ 6
ФБ 7
ФБ 8
ФБ 9
ФБ 10
Состав функциональных возможностей СОВ
Условное обозначение
семейства(функциональной
Наименование функциональной возможности
возможности)в соответствии с
ГОСТ Р ИСО/ МЭК 15408-2
FMT_MOF
Управление отдельными функциями функций безопасности СОВ
FMT_MTD
Управление данными функций безопасности СОВ
FMT_SMR
Роли управления безопасностью
FMT_MOF
Управление отдельными функциями функций безопасности СОВ
FID_CON_EXT
Управление системой обнаружения вторжений
FID_INF_EXT
Интерфейс СОВ
FMT_MTD
Управление данными функций безопасности СОВ
FID_UPD_EXT
Обновление базы решающих правил СОВ
FID_ANL_EXT
Анализ данных СОВ
FAU_GEN
Генерация данных аудита безопасности
FAU_SAR
Просмотр аудита безопасности
FPT_TST
Самотестирование функций безопасности СОВ
FID_COL_EXT
Сбор системных данных СОВ
FID_RSC_EXT
Контроль ресурсов
FID_PCL_EXT
Анализ протоколов
FID_RCT_EXT
Реагирование СОВ
FID_MSK_EXT
Маскирование СОВ
480
Таблица 5.4
Состав стандартных и специальных компонент в зависимости от типа и класса системы
обнаружения вторжений
Условное обозначение семейства
FAU_GEN
Условное обозначение компонента
FMT_MOF
FAU_SAR.1
FAU_SAR.2
FAU_SAR.3
FMT_MOF.1
FMT_MTD
FMT_MTD.1
FMT_MTD.2
FMT_MTD.3
FMT_SMR
Класс защиты
6
5
4
3
2
Стандартные функциональные компоненты в соответствии с ГОСТ Р ИСО/МЭК 15408-2
FAU_GEN.1
Генерация данных аудита
+
=
=
=
=
FAU_GEN.2
FAU_SAR
Наименование компонента
FMT_SMR.1
FMT_SMR.2
Ассоциация
идентификатора
пользователя
Просмотр аудита
Ограниченный просмотр аудита
Выборочный просмотр аудита
Управление режимом выполнения функций безопасности
Управление данными функций
безопасности
Управление
ограничениями
данных функций безопасности
Безопасные данные функций
безопасности
Роли безопасности
Ограничения на роли безопасности
481
1
+
=
=
=
=
=
+
=
+
+
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
+
=
=
+
=
=
+
=
=
=
=
+
=
+
+
=
=
=
=
+
Продолжение табл. 5.4
Условное обозначение семейства
FPT_TST
FID_COL_EXT
FID_ANL_EXT
FID_MTH_EXT
FID_SEL_EXT
FID_RCT_EXT
FID_PCL_EXT
Условное обозначение компонента
Наименование компонента
Класс защиты
6
FMT_SMR.3
FPT_TST.1
Принятие ролей
Тестирование функций безопасности
Специальные функциональные компоненты
Система обнаружения вторжений уровня сети
FID_COL_EXT.1
Сбор данных о сетевом трафике
+
FID_ANL_EXT.1
Базовый анализ данных систе+
мы обнаружения вторжений
FID_MTH_EXT.1
Методы анализа
+
FID_MTH_EXT.2
Детализация
эвристического
+
метода анализа
FID_SEL_EXT.1
Избирательный аудит данных
системы обнаружения вторжений
FID_RCT_EXT.1
Базовое реагирование системы
+
обнаружения вторжений
FID_RCT_EXT.2
Реагирование системы обнаружения вторжений
FID_PCL_EXT.1
Анализ протоколов
+
482
5
4
3
2
1
+
=
+
=
+
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
+
=
=
=
+
+
=
=
=
=
=
=
+
=
Продолжение табл. 5.4
Условное обозначение семейства
FID_CON_EXT
FID_MSK_EXT
FID_UPD_EXT
FID_INF_EXT
FID_COL_EXT
FID_ANL_EXT
FID_MTH_EXT
FID_SEL_EXT
Условное обозначение компонента
Наименование компонента
Класс защиты
6
5
4
3
2
1
Механизмы администрирова+
ния
FID_CON_EXT.2
Управление
распределенной
конфигурацией системы обнаружения вторжений
FID_MSK_EXT.1
Маскирование
FID_UPD_EXT.1
Обновление базы решающих
+
правил системы обнаружения
вторжений
FID_INF_EXT.1
Интерфейс системы обнаружения вторжений
Система обнаружения вторжений уровня узла
FID_COL_EXT.2
Сбор данных о событиях на
+
узлах сети
FID_ANL_EXT.2
Анализ данных системы обна+
ружения вторжений
FID_MTH_EXT.1
Методы анализа
+
FID_MTH_EXT.2
Детализация
эвристического
+
метода анализа
FID_SEL_EXT.1
Избирательный аудит данных
системы обнаружения вторжений
=
=
=
+
=
FID_CON_EXT.1
483
+
=
=
+
=
+
=
=
=
=
=
+
=
=
=
=
=
=
=
=
=
=
+
+
=
=
=
=
=
=
=
=
=
=
+
=
Окончание табл. 5.4
Условное обозначение семейства
FID_RCT_EXT
Условное обозначение компонента
Наименование компонента
Класс защиты
6
FID_RCT_EXT.1
5
4
3
2
Базовое реагирование системы
+
=
=
+
=
обнаружения вторжений
FID_RCT_EXT.2
Реагирование системы обнару+
жения вторжений
FID_RSC_EXT
FID_RSC_EXT.1
Контроль ресурсов
+
+
FID_PCL_EXT
FID_PCL_EXT.1
Анализ протоколов
+
=
=
+
=
FID_CON_EXT
FID_CON_EXT.1
Механизмы администрирова+
=
=
=
+
ния
FID_CON_EXT.2
Управление
распределенной
конфигурацией системы обнаружения вторжений
FID_MSK_EXT
FID_MSK_EXT.1
Маскирование
+
+
FID_UPD_EXT
FID_UPD_EXT.1
Обновление базы решающих
+
=
=
=
=
правил системы обнаружения
вторжений
FID_INF_EXT
FID_INF_EXT.1
Интерфейс системы обнаруже+
=
=
+
=
ния вторжений
Примечание: Обозначение «+» или «=» в строке функционального компонента указывает на использование этого компонента для соответствующего класса защиты СОВ.
Обозначение «+» означает, что на основе данного компонента заданы усиленные требования к
системе обнаружения вторжений по сравнению с аналогичными требованиями для предыдущего класса
защиты системы обнаружения вторжений.
484
1
+
=
=
=
=
+
=
=
=
Таблица 5.5
Требования доверия к безопасности системы обнаружения вторжений
Класс защиты системы обнаружения
вторжений
1
Оценочный
уровень доверияпо ГОСТ Р
ИСО/МЭК
15408-3
ОУД6
2
ОУД5
3
ОУД4
Требования доверия
Дополнительные требования доверия к безопасности,
определенные на основе ГОСТ Р ИСО/МЭК 15408-3
ALC_FLR.3 «Систематическое устранение недостатков»
ALC_UPI_EXT.1 «Процедуры обновления базы решающих
правил»
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы решающих правил на безопасность объекта оценки»
ALC_FLR.3 «Систематическое устранение недостатков»
AVA_VLA.4 «Высоко стойкий»
ALC_UPI_EXT.1 «Процедуры обновления базы решающих
правил»
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы решающих правил на безопасность объекта оценки»
ADV_IMP.2 «Реализация функций безопасности объекта»
ALC_FLR.2 «Процедуры сообщений о недостатках»
AVA_VLA.3 «Умеренно стойкий»
ALC_UPI_EXT.1 «Процедуры обновления базы решающих
правил»
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы решающих правил на безопасность объекта оценки»
485
Уровень контроля недекларированных
возможностей
1
2
3
Продолжение табл. 5.5
Класс защиты системы обнаружения
вторжений
4
Оценочный
уровень доверияпо ГОСТ Р
ИСО/МЭК
15408-3
ОУД3
5
ОУД2
6
ОУД1
Требования доверия
Дополнительные требования доверия к безопасности,
определенные на основе ГОСТ Р ИСО/МЭК 15408-3
ALC_FLR.1 «Базовое устранение недостатков»
AVA_VLA.3 «Умеренно стойкий»
ALC_UPI_EXT.1 «Процедуры обновления базы решающих
правил»
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы решающих правил на безопасность объекта оценки»
ALC_FLR.1 «Базовое устранение недостатков»
ALC_UPI_EXT.1 «Процедуры обновления базы решающих
правил»
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы решающих правил на безопасность объекта оценки»
AVA_SOF.1 «Оценка стойкости функции безопасности объекта оценки»
ALC_UPI_EXT.1 «Процедуры обновления базы решающих
правил»
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы решающих правил на безопасность объекта оценки»
486
Уровень контроля недекларированных
возможностей
4
-
-
Таблица 5.6
Спецификации профилей защиты системы обнаружения вторжений
Класс защиты
Тип СОВ
6
5
4
3
2
1
СОВ уровня сети
ИТ.СОВ.С6.ПЗ ИТ.СОВ.С5.ПЗ ИТ.CОВ.С4.ПЗ ИТ.СОВ.С3.ПЗ ИТ.СОВ.С2.ПЗ ИТ.СОВ.С1.ПЗ
СОВ уровня узла
ИТ.СОВ.У6.ПЗ ИТ.СОВ.У5.ПЗ ИТ.СОВ.У4.ПЗ ИТ.СОВ.У3.ПЗ ИТ.СОВ.У2.ПЗ ИТ.СОВ.У1.ПЗ
487
Рис. 5.14. Пример построения системы обнаружения вторжений уровня сети в ИТКС
488
Рис. 5.15. Пример построения системы обнаружения вторжений уровня
хоста сети в ИТКС
489
5.4. Средства антивирусной защиты, требования
к ним и способы применения
Некоторые СОВ в качестве отдельного компонента
содержат средства обнаружения вредоносных программ
(ВП). Но чаще в составе СЗИ ИТКС создается соответствующая подсистема– система защиты от ВП (СЗВП), содержащая совокупность средств антивирусной защиты
(САВЗ). Как и в СОВ в рассматриваемых СЗВП может
реализовываться как централизованный, так и децентрализованный принцип принятия решения о наличии ВП в
ИТКС. В настоящее время, в основном, применяется централизованный принцип, в соответствии с которым периферийные сенсоры собирают информацию по компьютерной системе о появлении подозрительных сигнатур и передают ее в центр обработки для окончательного диагноза и
принятия соответствующих мер.
В состав СЗВП могут включаться разнообразные
меры и средства, классификация которых приведена на
рис. 5.16.
Основными задачами, которые решаются в СЗВП,
являются:
активный аудит функционирования всех элементов ИТКС, в том числе контроль и анализ действий пользователей, операционной системы,
СУБД, других приложений на всех участках
ИТКС, формирование статистических данных о
функционировании;
анализ элементов ИТКС на наличие уязвимостей,
определение ошибок в конфигурации и (возможно) их исправление;
490
Меры и средства защиты от вредоносных программ («антивирусной» защиты)
По признаку применения
специального программного обеспечения
Организационно-технические меры
Программно-аппаратные средства
Архивирование данных и файлов
Применение лицензионного программного обеспечения
Универсальные
Специализированные
Профилактическая проверка администратором программ и файлов на наличие вредоносных программ
Отключение дисководов гибких дисков, применение только зарегистрированных дискет
Нерезидентные
Фаги, полифаги
Ревизоры (сканеры)
На основе контрольного
суммирования
На основе анализа сигнатур
По изменению файлов,
каталогов
Регулярное обновление базы данных
по сигнатурам вредоносных программ
Организация спецпроверок
Резидентные
Средства блокирования
По изменению системных
областей
Иммунизаторы
Программные
Сообщающие о внедрении вредоносной программы
Программно-аппаратные
Блокирующие вредоносную
программу
Рис. 5.16.Меры и средства защиты от вредоносных программ
491
распознавание образцов действий (сигнатур ВП),
совпадающих с известными воздействиями (обнаружение существующих типов воздействий), и
оповещение о факте попытки внедрения или внедрения ВП;
оценка целостности операционной системы,
СУБД, файлов баз данных, в частности, выявление изменений файлов данных;
хранение и постоянное обновление сигнатур известных ВП;
обеспечение администраторов безопасности информации данными об уже происшедших попытках внедрения ВП, с целью ускорить диагностику
функционирования оборудования и программного обеспечения, а при необходимости и восстановления рабочего состояния подвергшейся воздействию отдельной рабочей станции или сети в
целом;
тестирование самой СЗВП;
оперативное блокирование функционирования
элементов ИТКС при обнаружении опасных ВП
и др.
Требования к СЗВП определены в нормативноправовом акте ФСТЭК России [61]. В этом документе, так
же, как и для СОВ, использованы подходы к формированию требований, применяемые в международных стандартах.
В соответствии с этим документом требования к
СЗВП включают в себя общие требования и требования к
функциям безопасности.
В соответствии с общими требованиями СЗВП
должна обеспечивать реализацию одного или совокупности следующих методов обнаружения ВП:
492
сигнатурный метод, основанный на обнаружении
известных ВП по их сигнатурам;
эвристические методы, направленные на обнаружение неизвестных ВП (сигнатуры которых не
известны).
При этом СЗВП должны реализовывать свои
функции в отношении следующих основных объектов
информационной системы, подвергающихся воздействию
ВП (объектов воздействия):
объектов файловой системы;
объектов,
создаваемых
прикладными
программами;
системных областей машинных носителей
информации;
оперативной памяти.
В состав СЗВП, как правило, включается модуль
сканирования, база данных сигнатур ВП и модуль
осуществления эвристического анализа. При этом база
данныхсигнатур ВП должна своевременно обновляться и
поддерживаться в актуальном состоянии. Модуль
осуществления
эвристического
анализа
должен
обнаруживать ранее не известные ВП путем проверки
потенциальных
объектов
воздействия
с
целью
обнаружения в них кода, характерного для ВП. В состав
СЗВП могут входить другие дополнительные компоненты,
обеспечивающие контроль потенциальных объектов
воздействия.
В документе выделены следующие типы САВЗ:
тип «А» – САВЗ, предназначенные для
централизованного администрирования САВЗ,
установленных на компонентах информационной
системы;
493
тип «Б» – САВЗ, предназначенные для
применения на серверах информационной
системы;
тип «В» – САВЗ, предназначенные для
применения на автоматизированных рабочих
местах информационной системы;
тип «Е» – САВЗ, предназначенные для
применения на автономных автоматизированных
рабочих местах.
При этом САВЗ типа «А» не применяются в информационных системах самостоятельно и предназначены для
использования совместно с САВЗ типа «Б» и (или) «В».
Для дифференцированного задания требований к
функциям безопасности САВЗ выделяют шесть классов
защиты СЗВП; самый низкий класс – шестой, самый высокий – первый.
СЗВП шестого класса применяются в информационных системах персональных данных 3 и 4 класса защищенности, СЗВП пятого класса – в информационных системах персональных данных 2 класса защищенности.
СЗВП четвертого класса применяются в государственных информационных системах, в которых обрабатывается информация, не содержащая сведения, составляющие государственную тайну, в информационных системах
персональных данных 1 класса, а также в информационных системах общего пользования II класса (классы систем
общего пользования установлены документом [60].
СЗВП 3 класса защиты применяются в информационных системах, в которых обрабатывается информация,
содержащая секретные сведения.
СЗВП 2 класса защиты применяются в информационных системах, в которых обрабатывается информация,
содержащая совершенно секретные сведения.
494
СЗВП 2 класса защиты применяются в информационных системах, в которых обрабатывается информация,
содержащая сведения особой важности.
Тип САВЗ и класс защиты СЗВП определяют требования к функциям безопасности САВЗ. Для обеспечения
реализации функций безопасности в среде функционирования СЗВП должны быть обеспечены следующие основные условия:
установка, конфигурирование и управление
СЗВП должны проводиться в соответствии с эксплуатационной документацией;
должен быть предоставлен доступ СЗВП к контролируемым объектам информационной системы;
должны быть обеспечена функциональная совместимость СЗВП с компонентами информационной системы и СЗВП других производителей в
случае их совместного использования в информационной системе;
должна быть обеспечена защита от физического
доступа к элементам информационной системы,
на которых установлены СЗВП.
Помимо этого, СЗВП должны обеспечивать обнаружение и блокирование угроз безопасности информации,
которым подвержены сами СЗВП, таких как:
нарушение целостности программного обеспечения СЗВП;
отключение и блокирование СЗВП;
несанкционированное изменение конфигурации
СЗВП;
495
несанкционированное внесение изменений в логику функционирования СЗВП через механизм
обновления баз данных сигнатур СЗВП.
Нейтрализация указанных угроз обеспечивается механизмами самих СЗВП или внешними по отношению к
СЗВП механизмами, реализуемыми в среде функционирования СЗВП.
Требования к функциям безопасности САВЗ включают в себя:
требования к составу функций безопасности
САВЗ (табл. 5.7) и функций безопасности сред
(табл. 5.8), в которых САВЗ функционируют;
требования к составу функциональных возможностей САВЗ, обеспечивающих реализацию
функций безопасности (табл. 5.9);
требования к реализации функциональных возможностей САВЗ (табл. 5.10);
требования доверия к безопасности САВЗ
(табл. 5.11).
Детализация требований к функциям безопасности,
а также взаимосвязи этих требований приведены для каждого класса СЗВП и типа САВЗ в профилях защиты, утвержденных ФСТЭК России в качестве методических документов. Спецификация профилей защиты САВЗ для каждого типа средства антивирусной защиты и класса защиты приведена в табл. 5.12.
На основании профиля защиты разрабатывается задание по безопасности на конкретную СЗВП, предъявляемую для обязательной сертификации на соответствие рассмотренному нормативно-правовому акту ФСТЭК России.
Примерная схема построения СЗВП с применением
указанных типов САВЗ в соответствии с рассматриваемым
документом приведена на рис. 5.17.
496
Таблица 5.7
Требования к составу функций безопасности САВЗ
Условное обозначение
функций безопасности
ФБ 1
ФБ 2
ФБ 3
ФБ 4
ФБ 5
ФБ 6
Наименование функций безопасности
Разграничение доступа
к управлению САВЗ
Управление
работой
САВЗ
Управление параметрами САВЗ
Управление установкой обновлений базы
данных сигнатур ВП
Аудит
безопасности
САВЗ
Выполнение проверок
объектов воздействия
ФБ 7
Обработка
воздействия
объектов
ФБ 8
Сигнализация САВЗ
Краткое содержание функций безопасности
Разграничение доступа к управлению САВЗ на основе
ролей пользователей САВЗ
Управление со стороны пользователей САВЗ режимами выполнения функций безопасности САВЗ
Управление параметрами САВЗ, которые влияют на
выполнение функций безопасности САВЗ, со стороны
пользователей САВЗ
Управление режимами получения и установки обновлений базы данных сигнатур ВП
Регистрация и учет выполнения функций безопасности
САВЗ
Выполнение проверок
объектов,
потенциально
подверженных воздействию в заданных областях
носителей информации
Выполнение заданных действий по обработке
объектов, подвергшихся воздействию (удаление,
блокирование, изолирование, перемещение в заданный
каталог)
Сигнализация
пользователям САВЗ о событиях, связанных с обнаружением ВП
497
Таблица 5.8
Состав функций безопасности среды функционирования САВЗ
Условное обозначение функций
безопасности среды
ФБС 1
ФБС 2
ФБС 3
ФБС 4
ФБС 5
Наименование
Краткое содержание функций безопасности,
функций
реализуемой в среде функционирования САВЗ
безопасности
Обеспечение дове- Обеспечение идентификации и аутентификации
ренной связи
пользователей САВЗ. Обеспечение доверенной связи между САВЗ и пользователями САВЗ
Обеспечение дове- Обеспечение доверенного канала получения обновренного канала
лений базы данных сигнатур ВП от разработчика
(заявителя).
Обеспечение усло- Обеспечение защищенной области для выполнения
вий
безопасного функций безопасности САВЗ. Обеспечение меток
функционирования времени для реализации функций аудита безопасности САВЗ
Управление
Обеспечение возможности управления атрибутами
атрибутами
безопасности компонентов САВЗ и объектов инбезопасности
формационной системы
Контроль целост- Контроль целостности программного кода САВЗ и
ности САВЗ
базы данных сигнатур САВЗ
498
Таблица 5.9
Состав функциональных возможностей САВЗ
Условное
обозначение
функций
безопасности
ФБ 1
ФБ 2
ФБ 3
ФБ 4
ФБ 5
ФБ 6
ФБ 7
ФБ 8
Состав функциональных возможностей САВЗ
Условное обозначение
Наименование функциональной возможности
семейства (функциональной
возможности) в соответствии с
ГОСТ ИСО/ МЭК 15408-2
FMT_MOV
Управление отдельными функциями безопасности САВЗ
FMT_MTD
Управление данными функций безопасности САВЗ
FMT_SMR
Роли управления безопасностью
FMT_MOV
Управление отдельными функциями безопасности САВЗ
FMT_MTD
Управление данными функций безопасности САВЗ
FAV_UPD_EXT
Обновление базы данных сигнатур ВП
FAU_GEN
Генерация данных аудита безопасности
FAU_SAR
Просмотр аудита безопасности
FAV_DET_EXT
Проверка объектов воздействия
FAV_MTH_EXT
Методы проверок объектов воздействия
FAV_ACT_EXT
Обработка объектов, подвергшихся воздействию
FAV_BLC_EXT
Блокирование
FAV_REC_EXT
Восстановление объектов воздействия
FAV_ALR_EXT
Сигнализация
499
Таблица 5.10
Состав стандартных и специальных компонентов САВЗ
Условное обозначение семейства
FAU_GEN
FAU_SAR
FMT_MOF
FMT_MTD
FMT_SMR
Условное обозначение компонента
Наименование компонента
6
5
Класс защиты
4
3
2
Стандартные функциональные компоненты в соответствии с ГОСТ 15408-2
FAU_GEN.1
Генерация данных аудита
+
=
=
=
FAU_GEN.2
Ассоциация идентификатора
+
=
=
пользователя
FAU_SAR.1
Просмотр аудита
+
=
=
=
FAU_SAR.2
Ограниченный просмотр ау+
=
=
дита
FAU_SAR.3
Выборочный просмотр аудита
+
=
=
FMT_MOF.1
Управление режимом выпол- +
=
=
=
нения функций безопасности
FMT_MTD.1
Управление данными функций +
=
=
=
безопасности
FMT_SMR.1
Роли безопасности
+
=
=
=
FMT_SMR.2
Ограничение на роли безопасности
FMT_SMR.3
Принятие ролей
500
1
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
=
+
+
Продолжение табл. 5.10
Условное обозначение семейства
FAV_ALR_EXT
FAV_UPD_EXT
FAV_CLT_EXT
FAV_DET_EXT
FAV_MTH_EXT
FAV_ACT_EXT
FAV_BLC_EXT
Условное обозначение компонента
Наименование компонента
6
Специальные функциональные компоненты
САВЗ типа «А»
FAV_ALR_EXT.2 Оповещение администратора +
безопасности
FAV_UPD_EXT.1 Обновление базы данных сиг- +
натур ВП
FAV_CLT_EXT.1 Централизованная установка
компонентов САВЗ
САВЗ типа «Б»
FAV_DET_EXT.1 Базовое обнаружение ВП
+
FAV_DET_EXT.3 Проверка файлов, полученных +
по каналам передачи данных
FAV_MTH_EXT.1 Методы анализа
+
FAV_MTH_EXT.2 Выполнение проверок
+
FAV_MTH_EXT.3 Запуск выполнения проверок +
внешней программой
FAV_ACT_EXT.1 Удаление ВП
+
FAV_ACT_EXT.2 Обработка объектов воздействия
FAV_BLC_EXT.1 Действия по блокированию
FAV_BLC_EXT.2 Блокирование АРМ
501
5
Класс защиты
4
3
2
1
=
=
+
=
=
=
=
+
=
=
+
=
=
=
=
=
=
+
+
=
=
=
=
=
=
=
=
=
=
+
+
+
=
=
=
=
=
=
=
=
=
+
=
=
=
=
+
+
=
=
=
=
Продолжение табл. 5.10
Условное обозначение семейства
FAV_ALR_EXT
FAV_REC_EXT
Условное обозначение компонента
Наименование компонента
FAV_ALR_EXT.1
FAV_REC_EXT.1
FAV_UPD_EXT
FAV_UPD_EXT.1
FAV_DET_EXT
FAV_DET_EXT.1
FAV_DET_EXT.2
FAV_DET_EXT.3
Сигналы тревоги САВЗ
Восстановление
функциональных свойств
Обновление базы данных сигнатур ВП
САВЗ типа «В»
Базовое обнаружение ВП
Обнаружение ВП
Проверка файлов, полученных
по каналам передачи данных
Методы анализа
Выполнение проверок
Удаление ВП
Обработка объектов воздействия
Действия по блокированию
Блокирование АРМ
Сигналы тревоги САВЗ
Восстановление
функциональных свойств
FAV_MTH_EXT
FAV_ACT_EXT
FAV_BLC_EXT
FAV_ALR_EXT
FAV_REC_EXT
FAV_MTH_EXT.1
FAV_MTH_EXT.2
FAV_ACT_EXT.1
FAV_ACT_EXT.2
FAV_BLC_EXT.1
FAV_BLC_EXT.2
FAV_ALR_EXT.1
FAV_REC_EXT.1
6
502
5
Класс защиты
4
3
2
+
=
=
+
=
=
+
+
+
=
=
=
=
=
=
1
+
+
=
=
=
=
+
=
=
+
+
=
=
=
=
+
+
+
+
=
=
=
=
=
=
=
=
+
+
+
+
=
=
=
=
=
=
=
=
Окончание табл. 5.10
Условное обозначение семейства
FAV_UPD_EXT
Условное обозначение компонента
Наименование компонента
6
FAV_UPD_EXT.1
5
Класс защиты
4
3
2
1
Обновление базы данных сиг- +
=
=
+
=
=
натур ВП
САВЗ типа «Г»
FAV_DET_EXT FAV_DET_EXT.1 Базовое обнаружение ВП
+
=
=
FAV_DET_EXT.2 Обнаружение ВП
+
=
=
FAV_MTH_EXT FAV_MTH_EXT.1 Методы анализа
+
=
=
+
=
=
FAV_MTH_EXT.2 Выполнение проверок
+
=
=
+
=
=
FAV_ACT_EXT FAV_ACT_EXT.1 Удаление ВП
+
=
=
+
=
=
FAV_ACT_EXT.2 Обработка объектов воздейст+
=
=
вия
FAV_BLC_EXT FAV_BLC_EXT.1 Действия по блокированию
+
=
=
FAV_ALR_EXT FAV_ALR_EXT.1 Сигналы тревоги САВЗ
+
=
=
FAV_REC_EXT FAV_REC_EXT.1 Восстановление
функцио+
=
=
нальных свойств
FAV_UPD_EXT FAV_UPD_EXT.1 Обновление базы данных сиг- +
=
=
+
=
=
натур ВП
Примечание: Обозначение «+» или «=» в строке функционального компонента указывает на использование этого компонента для соответствующего класса защиты САВЗ.
Обозначение «+» означает, что на основе данного компонента заданы усиленные требования к
САВЗ по сравнению с аналогичными требованиями для предыдущего класса защиты САВЗ.
503
Таблица 5.11
Требования доверия к безопасности САВЗ
Класс
защиты
САВЗ
Оценочный уровень доверия по
1
ОУД 5
2
ОУД 5
Требования доверия к безопасности САВЗ
Дополнительные компоненты доверия к безопасности, определенные на основе ГОСТ ИСО/ МЭК 15408-3
Уровень контроля недекларированных
возможностей
ADV_LLD.2 «Полуформальный проект нижнего уровня».
ALC_FLR.3 «Систематическое устранение недостатков».
AVA_VLA.4 «Высокостойкий».
ALC_UPV_EXT.1 «Процедуры обновления базы данных сигнатур ВП».
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы данных сигнатур ВП на безопасность объекта оценки»
ALC_FLR.3 «Систематическое устранение недостатков».
AVA_VLA.4 «Высокостойкий».
ALC_UPV_EXT.1 «Процедуры обновления базы данных сигнатур ВП».
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы данных сигнатур ВП на безопасность объекта оценки»
1
ГОСТИСО/ МЭК
15408-3
504
2
Продолжение табл. 5.11
Класс
защиты
САВЗ
Оценочный уровень доверия по
3
ОУД 4
4
ОУД 3
5
ОУД 2
Требования доверия к безопасности САВЗ
Дополнительные компоненты доверия к безопасности, определенные на основе ГОСТ ИСО/ МЭК 15408-3
Уровень контроля недекларированных
возможностей
ADV_IMP.2 «Реализация функций безопасности объекта
оценки».
ALC_FLR.2 «Процедура сообщений о недостатках».
AVA_VLA.3 «Умеренно стойкий».
ALC_UPV_EXT.1 «Процедуры обновления базы данных сигнатур ВП».
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы данных сигнатур ВП на безопасность объекта оценки»
ALC_FLR.1 «Базовое устранение недостатков».
AVA_VLA.3 «Умеренно стойкий».
ALC_UPV_EXT.1 «Процедуры обновления базы данных сигнатур ВП».
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы данных сигнатур ВП на безопасность объекта оценки»
ALC_FLR.1 «Базовое устранение недостатков».
ALC_UPV_EXT.1 «Процедуры обновления базы данных сигнатур ВП».
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы данных сигнатур ВП на безопасность объекта оценки»
3
ГОСТ ИСО/ МЭК
15408-3
505
4
-
Окончание табл. 5.11
Класс
защиты
САВЗ
Оценочный уровень доверия по
6
ОУД 1
Требования доверия к безопасности САВЗ
Дополнительные компоненты доверия к безопасности, определенные на основе ГОСТ ИСО/ МЭК 15408-3
Уровень контроля недекларированных
возможностей
AVA_SOF.1 «Оценка стойкости функции безопасности объекта оценки».
ALC_UPV_EXT.1 «Процедуры обновления базы данных сигнатур ВП».
AMA_SIA_EXT.3 «Экспертиза анализа влияния обновлений
базы данных сигнатур ВП на безопасность объекта оценки»
-
ГОСТ ИСО/ МЭК
15408-3
Таблица 5.12
Спецификация профилей защиты для каждого типа и класса защиты САВЗ
Тип САВЗ
6
5
4
Класс защиты
3
2
1
тип «А»
ИТ.САВЗ.А6.ПЗ ИТ.САВЗ.А5.ПЗ ИТ.САВЗ.А4.ПЗ ИТ.САВЗ.А3.ПЗ ИТ.САВЗ.А2.ПЗ ИТ.САВЗ.А1.ПЗ
тип «Б»
ИТ.САВЗ.Б6.ПЗ ИТ.САВЗ.Б5.ПЗ ИТ.САВЗ.Б4.ПЗ ИТ.САВЗ.Б3.ПЗ ИТ.САВЗ.Б2.ПЗ
тип «В»
ИТ.САВЗ.В6.ПЗ ИТ.САВЗ.В5.ПЗ ИТ.САВЗ.В4.ПЗ ИТ.САВЗ.В3.ПЗ ИТ.САВЗ.В2.ПЗ ИТ.САВЗ.В1.ПЗ
тип «Г»
ИТ.САВЗ.Г6.ПЗ ИТ.САВЗ.Г5.ПЗ ИТ.САВЗ.Г4.ПЗ ИТ.САВЗ.Г3.ПЗ ИТ.САВЗ.Г2.ПЗ
ИТ.САВЗ.Б1.ПЗ
ИТ.САВЗ.Г1.ПЗ
Примечание идентификаторы профилей защит приводятся в формате «ИТ.САВЗ.тип.класс.ПЗ»
506
Система защиты от ВП является многоуровневой.
На первом уровне системы размещаются элементы,
осуществляющие защиту от ВП из внешней сети, то есть
через коммутационные элементы ИТКС (шлюзы, маршрутизаторы, коммутаторы). При этом располагаться эти элементы могут на периферийных узлах, на специально выделенных узлах, а также могут интегрироваться в коммутационные элементы ИТКС.
На втором уровне размещаются элементы, осуществляющие обнаружение ВП на уровне операционной системы, СУБД и приложений периферийных узлов ИТКС.
На третьем уровне располагаются элементы, предназначенные для централизованного управления работой
системы антивирусной защиты.
Эти элементы образуют ядро рассматриваемой системы и должны размещаться в виде отдельного программного модуля на центральном сервере ИТКС или на специально выделенном и предназначенном только для целей
управления хосте (АРМ администратора безопасности).
В перспективе возможности СЗВП будут развиваться как в части внедрения элементов искусственного интеллекта в процедуры обнаружения ВП, так и в направлении
их интегрирования в многоагентные системы защиты информации в ИТКС (см. раздел 6).
507
Рис. 5.17. Примерная схема построения системы
защиты от вредоносных программ с применением
различных типов САВЗ
508
5.5. Перспективные технологии биометрической
аутентификации
Биометрия сегодня – это наука, использующая измеряемые параметры самого человека и его поведения, так
называемые биометрические характеристики для количественного описания облика индивидуума. Одним из важнейших практических приложений биометрии стала идентификация человека по таким характеристикам. С древних
времен биометрические характеристики человека, связанные с особенностями построения его тела, лица, рук, стоп
ног, головы, ушей, глаз, с параметрами голоса (высоты тона, тембра, скорости произношения, особенностей дикции), запаха, походки и т.д. использовались при решении
многих жизненно важных вопросов, например, при поиске
пропавших соплеменников или врагов по оставленным
следам, при пошиве индивидуальной одежды и обуви, при
определении принадлежности некоторых товаров к собственности определенных лиц и др. Вместе с тем, такие характеристики часто не относились к конфиденциальным,
более того, для решения целого ряда вопросов дополнительно использовались искусственно создаваемые индивидуальные метки, позволяющие, например, определить
принадлежность человека к роду, племени, отряду, дружине, рабовладельцу, помещику и т.д. Такими метками могли
быть кличка, клеймо, татуировка, особенности прически
(вспомним запорожских казаков) или специально формируемые необратимые изменения формы тела (удлиненная
шея у женщин в племени падунг), форма головы и, наконец, имя, фамилия, титул. Указанные органолептические
признаки (в том числе произнесенные имя, фамилия, титул) позволяли с определенной достоверностью идентифи-
509
цировать личность или принадлежность ее к той или иной
группе людей, касте, сословию.
В 19-м веке биометрические характеристики стали
активно применяться в криминалистике. Так, Фулдсом и
Гершелем еще в 1880 г. было предложено использовать
для идентификации личности папиллярные рисунки пальцев рук, и появилась дактилоскопия. В 1935 г. Саймон и
Голдштейн доказали уникальность дерева кровеносных
сосудов глазного дна для каждого конкретного индивидуума, что позволило использовать ее для решения задач
идентификации личности в криминальной медицине, в
системах контроля доступа на территории и в помещения и
т.д. К концу 20-го века стали разрабатываться автоматические и автоматизированные системы идентификации людей по геометрии лица, по термографическому рисунку
лицевых артерий и вен, рисунку вен кисти руки (в том
числе на основе анализа как двумерных, так и трехмерных
изображений) и т.д. Все эти системы базировались на определении, в основном, квазистатических биометрических
характеристиках человека. В последующем стали развиваться методы, основанные на анализе так называемых
квазидинамических биометрических характеристик, например, характеристик динамики написания автографа,
почерка, речи (характеристик голоса человека).
Сегодня развитие биометрических механизмов
идентификации личности связывается со становлением
информационного общества, с развитием «цифровой революции». Появление Интернета и наполнение его огромными объемами оцифрованной информации, резко возросшая
опасность хищения, уничтожения, модификации такой
информации обусловили активную разработку способов и
средств проверки подлинности субъектов доступа к защищаемой информации. В этой связи возникли понятия ау510
тентификация, стали активно развиваться разнообразные
механизмы аутентификации, в том числе основанные на
биометрии. При этом, если раньше аутентификация людей
могла быть поручена только людям, то сегодня начали активно создаваться автоматы, ориентированные на распознавание людей по их биометрическим признакам. Возникла наука «Биометрия», одной из целей развития которой стало создание биометрических автоматов, способных
безошибочно узнавать людей.
Следует рассматривать биометрические автоматы
как новые элементы механизмов идентификации, аутентификации и учета людей, которые будут широко использоваться в информационном обществе. При этом различают
«общественные» биометрические автоматы (государственные, корпоративные, коллективные) и «личные» биометрические автоматы (обеспечивающие ввод и проверку
конфиденциальных персональных биометрических данных). Эти автоматы создаются с разной целью и к ним
предъявляются разные требования.
Например, государственные биометрические автоматы сегодня повсеместно используются на пограничных
пунктах для автоматизированной биометрической аутентификации иностранных граждан, въезжающих в страну по
их достоверным биометрическим данным, размещенным в
«радиочитаемой» микросхеме их международного биометрического паспорта [62]. При этом личные биометрические
параметры (биометрические шаблоны) международного
биометрического паспорта следует рассматривать как открытую, общественную (опубликованную и доступную
неограниченному кругу лиц) информацию. Такую информацию нельзя использовать в «личных» биометрических
автоматах, защищающих информационные права своего
хозяина в сети Internet и иных информационных системах
511
общего пользования [63]. Даже однократное открытое появление цифровой фотографии человека или оцифрованного рисунка его отпечатка пальца достаточно для их компрометации. Необходимо создавать целую систему организационно-технических мероприятий, обеспечивающих
конфиденциальность оборота персональных биометрических данных человека при их использовании в информационных системах общего пользования. Личные (не опубликованные) биометрические образы вполне могут быть
использованы человеком для обеспечения своей личной
информационной безопасности в информационных системах общего пользования, например, в среде Internet, если
обеспечена анонимность (обезличенность) действий человека. Операторы различных услуг в открытых информационных системах не должны видеть, какой биометрический
образ применяет человек и не должны знать его имени. В
связи с этим органолептическая биометрическая проверка
«человека человеком», господствовавшая в предыдущее
время, должна уступить место биометрической проверке
людей биометрическими автоматами.
Использование биометрических образов человека
для идентификации личности с применением автоматов
связано с преобразованием персональных биометрических
данных в цифровые коды. Формально для этой цели можно
воспользоваться обычным аналого-цифровым преобразованием (АЦП) и осуществить с помощью них преобразование каждой из множества непрерывных биометрических
величин в соответствующий дискретный код. Необходимо
отметить, что все автоматы, работающие по такой схеме,
должны иметь биометрический шаблон, содержащий запись в явной форме нелинейного преобразования. Располагая таким шаблоном, всегда можно восстановить хранящийся в автомате биометрический образ. Блок-схема про512
Сравнение
вектора биопараметров
1
Вычисление вектора
контролируемых
биопараметров
Первичное преобразование физического
образа в электронный
Биометрический
образ на физическом
уровне
стейшего преобразователя «биометрия-код» приведена на
рис. 5.18 [64].
2
3
Да / Нет
4
Биометрический
шаблон
Рис. 5.18. Блок-схема простейшего преобразователя
«биометрия-код»
Если средство биометрической аутентификации
выполнено аппаратно, а биометрические шаблоны заранее
«загружены» в него, то оно является безопасным. Если подобное средство биометрической аутентификации выполнено программно или по условиям его работы нужно «подгружать» новые биометрические шаблоны, то такое средство не может считаться надежным, так как не обеспечивает защиту конфиденциальности биометрических шаблонов. Пример подобного преобразования непрерывного
биометрического параметра ν1 образа «Свой» и аналогичного биометрического параметра ξ1 образа «Чужие» в четырехразрядный бинарный код приведен на рис. 5.19.
513
Рис. 5.19. Плотности распределения вероятностей
значений выходных параметров при преобразовании
непрерывных биометрических параметров ν1 образа
«Свой» и ξ1 образа все «Чужие» в цифровой код
Перед аналого-цифровым преобразованием биометрические параметры масштабируются и центрируются так,
чтобы динамический диапазон АЦП совпал с входным динамическим диапазоном образов все «Чужие».В этом случае каждый выходной код АЦП будет соответствовать некоторому положению входного непрерывного биометрического параметра. При этом часть выходных кодов будет
соответствовать биометрическому образу «Свой».
В первом приближении распределения вероятностей значений входных биометрических параметров образа
«Свой» - p(νi ) и биометрических параметров образа «Чу-
514
жие» - p(ξ i ) можно считать, что подчиняются нормальному закону. Биометрические параметры образа «Свой» считаются стабильными, если динамический диапазон их изменения занимает менее 30% динамического диапазона
образа «Чужие». Параметры средней стабильности имеют
динамический диапазон от 30% до 60% от возможного динамического диапазона биометрических параметров образа
«Чужие».
Однако применение биометрического материала в
качестве источника ключевой информации для идентификации и аутентификации наталкивается на ряд сложностей,
поскольку биометрические данные:
нечетко воспроизводимы и не имеют равномерного распределения;
могут изменяться со временем и в зависимости
от физического и эмоционального состояния их
владельца;
невозможно все время держать в тайне, например, отпечатки пальцев могут быть оставлены на
различных поверхностях, а изображение радужной оболочки глаза может быть зафиксировано
камерой;
могут быть украдены при хранении в виде электронных образов со всеми вытекающими последствиями и др.
На данный момент существуют два пути решения
проблемы, связанных с использованием так называемой
высоконадежной биометрии и основанных на технологиях,
во-первых, нечетких экстракторов и, во-вторых, больших
нейронных сетей, заранее обученных преобразованию
биометрического образа пользователя в его личный ключ.
Пользователь при использовании указанных технологий
515
избавлен от необходимости хранить надлежащим образом
ключ или запоминать длинный случайный пароль, через
присущие ему биометрические данные он сам является
ключом (паролем) доступа (аутентификации).
В обоих случаях реализуется так называемая
высоконадежная биометрическая аутентификация путем
преобразования исходных биометрических параметров по
схеме преобразований, типовая структура которой
приведена на рис. 5.20.
Рис. 5.20. Структурная схема обработки
информации в средствах высоконадежной
биометрической аутентификации
Необходимо отметить, что при такой схеме могут
сочетаться методы биометрии и криптографии, что
существенно повышает надежность аутентификации.
Высоконадежные варианты технической реализации
биометрической защиты не должны содержать примеров
биометрических образов пользователя, биометрического
эталона образов пользователя и кода ключа (пароля)
пользователя.
Эта
информация
является
516
конфиденциальной и должна быть защищена при
хранении. Кроме того, следы этой конфиденциальной
информации должны быть гарантированно уничтожены
после выполнения каждой конкретной процедуры
аутентификации [65].
С учетом изложенного ниже дается краткая
характеристика каждого из двух указанных выше путей
решения проблемы высоконадежной биометрической
аутентификации.
Путь, основанный на создании нечетких экстракторов, сводится к следующему.
При биометрической аутентификации измеряемые
параметры биометрического образа, как правило, имеют
случайный разброс, то есть являются случайными или
«зашумленными», что приводит к ошибкам аутентификации. Строка случайных значений биометрических параметров субъекта может быть распознана как принадлежащая к образу «Свой» (правильно распознана) или к образу
«Чужой» (ошибка пропуска), или в случае, если образ относится к образу «Чужой», принять его за образ «Свой»
(ошибка «Ложная тревога»). Важной задачей является преобразование зашумленных неравномерных данных входа в
достоверно воспроизводимые, случайные равномерно распределенные строки. С этой целью в [66] был предложен
новый базисный элемент, который был назван нечетким
экстрактором. Он извлекает равномерно распределенную
случайную строку R из своего входа w в условиях зашумленности, то есть на входе биометрический параметр изменится с w на некоторый w', но останется близким к нему, строка R на выходе будет воспроизведена точно. Нечеткий экстрактор – это пара функций Gen (от англ. generate - порождать) и Rep (от англ. Reproduce - воспроизводить) со следующими свойствами:
517
1. Функция Gen, получая w на входе, возвращает
извлеченную строку R (последовательность битов) и вспомогательную битовую строку P (рис. 5.21).
Рис. 5.21. Схема нечеткого экстрактора
2. Функция Rep, получает на входе данные w' и битовую строку P. Если w и w' незначительно различаются
(на величину , которая может быть, например, расстоянием Хемминга и не превышает допустимое значение ) и
строки R и P были порождены функцией Gen, то на выходе
гарантированно будет значение R, что формально записывается следующим образом:
Если ( w, w' ) и Gen(w) ( R, P), то Rep( w' , P) R;
при (w, w' ) , то Rep не определена.
3. Нечеткий экстрактор эффективен, если функции
Gen и Rep выполняются за полиномиальное время (время
работы полиноминально зависит от размера входных данных).
Последовательность R, извлеченная из w, может
быть использована в качестве ключей в криптографических приложениях, но в отличие от традиционных ключей
ее не нужно хранить (потому что она может быть извлечена из любого w', близкого к w). Нечеткие экстракторы оп518
ределены как теоретически надежные, поэтому они могут
использоваться в криптографических системах без введения каких-либо допущений(предполагается, что криптографические приложения сами надежны).
Недостатком систем аутентификации на основе нечетких экстракторов является то, что в них пока достаточно сложно использовать мультибиометрию, то есть распознавание одновременно по нескольким биометрическим
образам субъекта (например, по голосу, по отпечаткам
пальцев, по радужной оболочке глаза и т.п.). Способы аутентификации, основанные на нечетких экстракторах, развиваются преимущественно за рубежом.
Путь, основанный на использовании нейросетевой
биометрической аутентификации, сводится к следующему.
Искусственные нейронные сети - математические
модели, а также их программные или аппаратные реализации, построенные по принципу организации и функционирования биологических нейронных сетей – сетей нервных
клеток живого организма. Искусственная нейронная сеть
представляют собой систему соединённых и взаимодействующих между собой простых искусственных нейронов.
Каждый искусственный нейрон подобной сети имеет дело
только с сигналами, которые он периодически получает, и
сигналами, которые он периодически посылает другим
нейронам. И, тем не менее, будучи соединёнными в достаточно большую сеть с управляемым взаимодействием, такие нейроны вместе способны выполнять довольно сложные задачи [67].
Математическая модель искусственного нейрона
была предложена У. Маккалоком и У. Питтсом вместе с
моделью сети, состоящей из этих нейронов. Сеть на таких
элементах может выполнять числовые и логические опера519
ции. Практически сеть была реализована Фрэнком Розенблаттом в 1958 году как компьютерная программа, а впоследствии как электронное устройство — перцептрон.
Первоначально нейрон мог оперировать только с сигналами логического нуля и логической единицы, поскольку
был построен на основе биологического прототипа, который может пребывать только в двух состояниях — возбужденном или невозбужденном. Развитие нейронных сетей
показало, что для расширения области их применения необходимо, чтобы нейрон мог работать не только с бинарными, но и с непрерывными (аналоговыми) сигналами. Такое обобщение модели нейрона было сделано Уидроу и
Хоффом [67].
Математически нейрон представляет собой взвешенный сумматор (рис. 5.22), единственный выход которого определяется через его входы и матрицу весов следующим образом:
I
y f ( s ), s ( wi xi w0 x0 ) ,
i 1
где
и
— соответственно сигналы на входах нейрона
(заданы в интервале [0,1]) и веса входов, а f ( s) - активационная функция.
Рис. 5.22. Схема искусственного нейрона
520
Дополнительный вход
и соответствующий ему
вес
используются для инициализации нейрона, то есть
для смещения активационной функции нейрона по горизонтальной оси и формирования таким образом порога
чувствительности нейрона. Использование различных передаточных функций позволяет вносить нелинейность в
работу нейрона и в целом нейронной сети. Простейшая
нейронная сеть показана на рис. 5.23.
Регулярное
обновление
базы дан-
Выходной
нейрон
Входные
нейроны
Рис. 5.23. Схема простой нейронной сети
Однако простейшая нейронная сеть не позволяет
создавать программные биометрические автоматы, ориентированные на применение высоконадежной биометрической аутентификации в сетях общего пользования.
Фактически биометрические параметры пользователя должны быть связаны с его уникальным криптографическим ключом или длинным паролем доступа. Если
при доступе к своей информации человек имеет ключ или
пароль, состоящие из 256 бит, то необходимо иметь нейронную сеть с 256 выходами. При этом входной биометрический образ «Свой» должен порождать на выходах ней521
ронной сети нужный код доступа. Если же средством биометрической аутентификации хочет воспользоваться «Чужой», то его образ должен породить на выходах нейронной
сети случайный код. Блок-схема такого нейросетевого
преобразователя «биометрия-код приведена на рис. 5.24.
Нейронные сети не программируются в привычном
смысле этого слова, они обучаются. Возможность обучения — одно из главных преимуществ нейронных сетей перед традиционными алгоритмами. Технически обучение
заключается в нахождении коэффициентов связей между
нейронами. В процессе обучения нейронная сеть способна
выявлять сложные зависимости между входными данными
и выходными, а также выполнять обобщение. Это значит,
что в случае успешного обучения сеть сможет вернуть
верный результат на основании данных, которые отсутствовали в обучающей выборке, а также неполных и/или
«зашумленных», частично искаженных данных.
При создании программных биометрических автоматов по блок-схеме рис. 5.24 хакеры, пытающиеся исследовать программу, сталкиваются с проблемой перебора
возможных состояний кода ключа, а это является вычислительно сложной задачей. При этом хакеры не видят сам
биометрический образ, так как он размещен в нейросетевом контейнере, а код доступа подобрать не могут из-за
высокой вычислительной сложности этой задачи.
В связи с этим имеются предпосылки для создания
программных автоматов, способных защищать личную
информацию пользователей в сетях общего пользования, в
том числе в сети Интернете. Требования к таким автоматам изложены в пакете национальных стандартов ГОСТ Р
52633.хх [65, 68].
522
Н е й росе тев ой к он те йн ер д ля
хр ан ен и я ли чн ой б и ом етр ии
Т аб ли цы свя зе й и таб ли ц ы
вес овых
коэф фи ци ен т ов,
об учен н ой не й рон но й се ти
3
Код ключа доступа
2
М но го слой н ая
н ей рос еть с б оль ш и м
чи слом вход ов и
вы хо дов
Крипто-протокол
аутентификации
Вычисление вектора
контролируемых
биопараметров
Первичное преобразование физического
образа в электронный
Биометрический
образ на физическом
уровне
1
4
5
Д а / Н ет
Рис. 5.24. Блок-схема преобразователя «биометрия-код», построенного с использованием
многослойной нейронной сети с большим числом входов и выходов
523
5.6. DLP-системы, их возможности и перспективы
применения
Возможность несанкционированной передачи информации из локальных и корпоративных сетей во внешние сети, особенно, с использованием скрытых каналов,
обусловил необходимость поиска решений по обнаружению и блокированию такой передачи. В результате появились специализированные системы защиты от утечек конфиденциальной
информации
или
DLP-системы
(Data Loss Prevention - DLP), предназначенные для отслеживания и блокирования попыток несанкционированной
передачи данных за пределы защищаемой сети, подключенной к внешним сетям (как правило, сетям общего пользования).
Помимо предотвращения утечек информации DLPсистема может выполнять функции по отслеживанию действий пользователей, записи и анализу их коммуникаций
через электронную почту, социальные сети, чаты и т.д.
Использование DLP-систем наиболее актуально для организаций, где риск утечки конфиденциальной информации
повлечет серьезный финансовый или репутационный
ущерб, а также для организаций, которые настороженно
относятся к лояльности своих сотрудников.
При использовании традиционных (штатных) каналов передачи данных DLP-системы должны выполнять
следующие основные функции:
контроль передачи информации через Интернет с использованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ
и других приложений и протоколов;
контроль сохранения информации на внешние носители - CD, DVD, flash, мобильные телефоны и т.п.;
524
защита информации от утечки путем контроля вывода данных на печать;
блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов безопасности информации об инцидентах,
создание теневых копий, использование карантинной
папки;
поиск конфиденциальной информации на рабочих
станциях и файловых серверах по ключевым словам,
меткам документов, атрибутам файлов и цифровым
отпечаткам;
предотвращение утечек информации путем контроля
движения конфиденциальных сведений.
В настоящее время в России используется значительное количество DLP-систем, основанных на различных
технологиях обнаружения несанкционированной передачи
информации (табл. 5.13) [69]. Этими DLP-системами могут
контролироваться как разные сетевые каналы (табл. 5.14),
так и локальные устройства (табл. 5.15) [69].
525
Таблица 5.13
Примеры применяемых в России DLP-систем и используемые в них технологии
обнаружения несанкционированной передачи информации
Технология обнаружения
Наименование DLP-системы (ее разработчик)
несанкционированной пе- InfoWatch McAfee Symantec Websense Zecurion Дозор-Джет
редачи информации
+
+
+
+
+
+
Использование формальных признаков
+
+
+
Морфологический анализ
+
+
+
+
+
+
Использование цифровых
отпечатков
+
+
+
Использование
метода
статистического
распознавания
по
+
+
+
+
+
+
критерию
Байеса
Анализ
сигнатур
+
+
+
+
+
+
Анализ трафика на основе
регулярных выражений
+
Анализ замаскированного
текста
+
+
+
+
Распознавание
графических файлов
526
Таблица 5.14
Каналы несанкционированной передачи информации, которые могут
контролироваться с использованием DLP-систем
Канал
Наименование DLP-системы
несанкционированной
InfoWatch McAfee
Symantec Websense Zecurion Дозор-Джет
передачи информации
+
+
С использованием протокола HTTP
+
+
+
+
+
+
С использованием протокола FTP
+
+
+
+
+
С использованием протокола P2P
+
+
+
+
+
С использованием программы ICQ (протокол
OSCAR)
+
С использованием mail.ru
Агент
+
+
+
+
С
использованием
программы
WindowsLifeMessenger
+
+
+
+
+
+
С использованием программы Skype
527
Таблица 5.15
Локальные устройства, которые могут контролироваться с использованием DLP-систем
Канал
Наименование DLP-системы
несанкционированной
InfoWatch McAfee
Symantec Websense Zecurion Дозор-Джет
передачи информации
+
+
+
+
+
+
USB-устройства
+
+
LPT/COM-устройства
+
+
+
+
Bluetooth/Wi-Fiустройства
+
+
+
+
+
+
Локальные принтеры
+
+
Устройства шифрования
файлов на USB
528
Возможности DLP-систем сегодня активно расширяются и, прежде всего, в направлении выявления скрытых
каналов передачи данных (см. раздел 3.7).
Для защиты от несанкционированной передачи с
использованием СК по памяти с сокрытием информации в структурированных данных можно выделить несколько основных методов:
нормализация структур данных – приведение
элементов данных в составе структур данных в
соответствие с заданными правилами формирования структур, в том числе приведение размеров
служебных полей (длин структур данных) в соответствие с реальным объёмам передаваемых
данных, очистка (обнуление) неиспользуемых
элементов (полей) данных;
проверка полей данных – поиск ключевых слов
по словарям и аномальных числовых или символьных последовательностей в основных полях
данных, тестирование на отсутствие ошибок в
адресных и других хорошо описанных полях
данных;
фильтрация потока данных по уровням модели
OSI обособленными, доверенными инструментами. Например, соединения TCP для подключения
к HTTP-ресурсам должны выполняться через доверенный прокси-сервер, самостоятельно формирующий пакеты протокола TCP;
отказ от избыточной поддержки протоколов обмена данными, замена более уязвимых способов
доступа к внешним ресурсам на более защищённые. Например, отказ от пропуска пакетов ICMP,
NTP, SMB и тому подобных через шлюзы; отключение неиспользуемых в допустимых (раз529
решённых) каналах протоколов; упаковка потока
данных в защищённые каналы с шифрованием
(например, через SSL-соединения) с целью минимизации разнообразия структур данных, используемых при передаче по открытым каналам;
противодействие попыткам организации соединений типа «точка-точка».
В настоящее время отсутствуют сведения о существующих и готовых к использованию средствах защиты от
угроз безопасности информации, основанных на СК с использованием сокрытия информации в структурированных
данных, за исключением сведений о блокировке потоков
данных по протоколу ICMP и выдаче сообщения «Detected
covert channel exploit in ICMP packet» модулем «Personal
Firewall Active Defense System», входящим в состав программного пакета «ESET Smart Security», при обнаружении фрагментированных пакетов ICMP [70].
В скрытых каналах, основанных на сокрытии
информации в неструктурированных данных, для скрытия информации используются преимущественно стеганографические преобразования (см. раздел 3.7.2). При этом
пока нет возможности выделить набор общих методов защиты от утечки с использованием таких СК. В каждом
конкретном случае используются алгоритмы анализа, специфичные для каждого из методов сокрытия с применением стеганографических преобразований.
Наименование и классификация методов защиты от
несанкционированной передачи информации по СК с использованием стеганографических преобразований приведены на рис. 5.25. Суть основных методов обнаружения
стеганографических преобразований сводится к следующему.
530
Методы защиты от несанкционированной передачи информации, скрываемой стеганографическими преобразованиями
По направленности защиты
Методы обнаружения стеганографических преобразований
По наличию априорной информации
о стегоконтейнере или сообщении
Методы обнаружения
при отсутствии информации о стегоконтейнере и передаваемом сообщении
Методы противодействия несанкционированной передаче
По месту реализации
По приему обнаружения
Методы обнаружения
на основе психофизического анализа (сенсорной оценки) человеком
Методы обнаружения на основе
статистического
анализа
Методы обнаружения, основанные на
особенностях форматов файлов
Методы, реализуемые на хостах сети
при передаче контейнера по ней
Методы, реализуемые на стороне отправителя скрытой
информации
Методы, реализуемые на стороне получателя
По содержанию действия
Методы обнаружения
в случае, если известна
информация о пустом
контейнере или о наборе пустых контейнеров
Методы, в которых
обнаруживающей стороне известно передаваемое сообщение или
набор сообщений, одно из которых передается
Методы, когда известна только математическая модель контейнера
Метод обнаружения на
основе подсчета нулей и
единиц
Метод обнаружения
искажений визуально, на слух
Метод обнаружения
с предварительной
обработкой (выделением НЗБ)
Метод обнаружения на
основе подсчета отношений числа переходов
между битами соседних
пикселей
Метод обнаружения на
основе оценки энтропии
Методы обнаружения на
основе расчета коэффициентов корреляции
Изменение контейнера, исключающее
его дальнейшее использование
Метод "двойных
пиков"
Методы, блокирования отправления скрытой информации
Методы, блокирования приема
получателем скрытой информации
Методы, затрудняющие
или исключающие извлечение скрытой информации из контейнера
Метод выявления
статистических
изменений яркости
соседних пикселей
Метод сравнения
JPEGкоэффициентов
Методы обнаружения на основе сравнения статистических распределений
Уничтожение
контейнера
или его части
Методы, направленные на
исключение возможности
использования контейнера
со скрытой информации
Пересылка контейнера или его
части другому
адресу
Методы, направленные
на уничтожение скрытой информации
Блокировка доступа пользователей к
контейнеру
Рис. 5.25. Классификация методов защиты от несанкционированной передачи информации по стеганографическим скрытым каналам
531
Под обнаружением информации, скрываемой стеганографическими методами, понимается процесс принятия
решения о наличии заполненного стегоконтейнера, то есть
о наличии в передаваемом сообщении стеганограммы.
Процесс обнаружения стеганограммы при передаче по сети является достаточно сложным, так как стегоконтейнер
разбивается на пакеты, передаваемые по сети, при этом
собранные пакеты требуется либо задерживать до получения недостающих, либо копировать содержимое пакетов в
буфер и анализировать копию контейнера.
В первом случае в сети будет возникать задержка, а
при втором - исключается возможность противодействия
несанкционированной передаче.
При анализе отдельного набора пакетов могут возникать ошибки ложного обнаружения несанкционированной скрытой передачи информации, а также ошибки пропуска скрытой передачи информации. В ходе стегоанализа,
как правило, определяется:
наличие и примерный объем стеганограммы;
вид стеганографического преобразования;
содержание скрытого сообщения.
Все способы стегоанализа разделяются на три группы: способы психофизического анализа (сенсорной оценки)человеком, способы, основанные на особенностях форматов, и статистические способы анализа.
Способы психофизического анализа (сенсорной
оценки) человеком целиком основаны на возможностях
человека выявлять отклонения зрительных изображений
или звуков от «эталонных» изображений, мелодий, речи и
т.п., в которых заведомо отсутствует встроенная информация. Наиболее характерным является применение этих
способов обнаружения в случае, когда для скрытия информации применяется метод наименьших значащих бит
532
(НЗБ). В этом случае стегоанализ, например, может осуществляться следующим образом: убираются в файле изображения все биты, кроме самых младших, если самый
младший бит в байте цвета (красного, синего или зеленого) равен 1, то весь байт принимает значение 255, а если 0,
то весь байт становится равным 0 (рис. 5.26).
Таким образом, если в файле-контейнере спрятана
информация, то рисунок изменяется очень сильно (до неузнаваемости), иначе - видимые глазом изменения не
очень существенны.
Изменение
б)
Рис. 5.26. Контейнер, не содержащий (а)
и содержащий (б) информацию
Эти способы малоэффективны во многих случаях
применения современных стегосистем (например, скрытие
информации в изображении с применением дискретного
косинусного преобразования). Кроме того, при оперативном контроле трафика в сетях общего пользования, где
объем трафика весьма велик, такие способы практически
не состоятельны.
К способам, основанным на особенностях форматов файлов, прежде всего, относится способ стегоанализа,
основанный на свойствах формата JPEG и применяемый
при работе с изображениями, которые были переконвертированы из формата JPEG в форматы без сжатия типа BMP.
533
Оказывается, что такая конвертация определяет
чёткую структуру полученных изображений, позволяющую выявлять изменения в таких изображениях, вносимые
большинством прямых стеганографических методов.
При компрессии чёрно-белого изображения в формат JPEG первоначально вычисляется дискретное косинусное преобразование (ДКП) блока пикселей изображения размером 8*8, затем значения ДКП квантуются в соответствии с некоторой матрицей квантования. При декомпрессии изображения из данного формата производят обратные операции, сначала квантованные коэффициенты
умножают на соответствующие коэффициенты матрицы
квантования, а затем вычисляют обратное ДКП и результаты вычисления округляют до значений из {0, 1,…,255}.
В [70] был также предложен способ определения
матрицы квантования по блоку пикселей B. С помощью
полученных способов определения JPEG-совместимости
блоков пикселей изображения (с учетом того, что при сжатии изображения в формате JPEG используется одна и та
же матрица квантования для всего изображения)можно получить следующую информацию об изображении,:
а) все блоки пикселей изображения JPEGсовместимы;
б) все блоки пикселей изображения не являются
JPEG-совместимыми;
в) некоторые блоки изображения пикселей изображения JPEG-совместимы, некоторые – нет.
Случай а) соответствует тому, что данное изображение не подвергалось модификации после преобразования из формата JPEG. В случае б) рассматриваемое изображение изначально не было представлено в формате
JPEG. В случае в) выявляется факт модификации изображения после переконвертирования из формата JPEG, что
534
может быть следствием использования данного изображения в качестве контейнера для скрытной передачи информации.
Данный способ стегоанализа является одним из немногих нестатистических способов, который позволяет
выявлять даже незначительные модификации в изображении. Этот способ показывает, что качество стеганографической вставки в контейнер сильно зависит от свойств
конкретного контейнера. В случае прямых методов применять изображения, изначально сохранённые в формате
JPEG, представляется нецелесообразным, в случае отсутствия других возможных контейнеров необходима предварительная обработка изображений с помощью цифровых
фильтров, уменьшающих JPEG-совместимость изображения.
Значительно более перспективны статистические
способы, к которым относятся способы:
подсчета частот появления нулей и единиц;
подсчета отношений числа переходов между битами соседних пикселей;
оценки энтропии;
расчета коэффициентов корреляции;
сравнения статистических распределений.
При этом указанные способы подразделяются на 4
группы:
1) способы обнаружения в условиях, когда информация о стегоконтейнере и передаваемом сообщении обнаруживающей стороне неизвестна;
2) способы, в которых обнаруживающей стороне
известна информация о пустом контейнере или о наборе
пустых контейнеров;
535
3) способы, в которых обнаруживающей стороне
известно передаваемое сообщение или набор сообщений,
одно из которых передается;
4) способы, когда известна только математическая
модель контейнера.
Способ подсчета частот появления нулей и единиц
применим, когда контейнер содержит изображение, в котором значительно различается число единиц и нулей, и
основан на вычислении отношения числа единиц в исследуемых битах изображения к максимально возможному.
При этом изображение со встроенной информацией разбивается на блоки определенного размера и для каждого из
них считается указанное отношение. Данный способ не
ограничивается только подсчетом частот встречаемости 0
и 1 в младших битах. Его можно также рассматривать
применительно к различным комбинациям 0 и 1 в другом
наборе бит изображения. Однако, с помощью данного способа для файлов-контейнеров с почти одинаковым числом
0 и 1 затруднительно получить однозначный ответ о наличии скрытого сообщения, поэтому для них необходимо использовать более сложные алгоритмы анализа.
Способ подсчета отношений числа переходов между битами соседних пикселей к максимально возможному,
а также их комбинаций более чувствителен к наличию
встроенных изображений, однако так же, как и предыдущий способ, не позволяет надежно обнаруживать скрытую
информацию.
Более перспективными и более эффективными являются интенсивно развиваемые статистические способы, направленные на нахождение нарушений статистических закономерностей естественных контейнеров, так какв
процессе встраивания сообщения искажаются спектральные и статистические характеристики исходного несущего
536
сигнала. При данном подходе анализируются статистические характеристики исследуемой последовательности и
определяется, похожи ли они на характеристики естественных контейнеров (если да, то скрытой передачи информации нет), или они похожи на характеристики стегоконтейнера с сообщением (если да, то выявлен факт существования скрытого канала передачи информации). Эти способы
являются вероятностными, то есть они не дают однозначного ответа, а формируют оценки типа «данная исследуемая
последовательность с вероятностью 90% содержит скрываемое сообщение». В классе статистических способов стегоанализа используется множество статистических характеристик, таких как коэффициенты корреляции, энтропия,
различимость распределений по критерию Хи-квадрат и др.
Рассматривая способ корреляционного анализа,
необходимо отметить, что в нем используется тот факт,
что НЗБ соседних отсчетов, например, речевого сигнала
обладают некоторой корреляцией. Степень корреляции
изменяется при внедрении в контейнер сообщения и
приближается к корреляции, характерной для данного
класса
сообщений.
Например,
при
внедрении
зашифрованного сообщения (или случайного набора бит)
степень корреляции уменьшается, при внедрении
осмысленного текста степень корреляции увеличивается.
В работе [71] исследовалось изменение коэффициента корреляции при внедрении в звуковые файлы случайных сообщений.
На рис. 5.27 представлена зависимость частоты значений модуля коэффициента корреляции для исходных
файлов и файлов, обработанных программой стеганографического преобразования S-Tools.
537
Рис. 5.27. Распределение значения модуля коэффициента
корреляции для файлов с внедренным сообщением
и исходных файлов
Данный способ позволяет вычислительно просто
определить наличие стеганограммы в звуковом файле, что
дает возможность организовать на его основе линии поточной обработки исследуемых файлов. Однако, данный
способ имеет значительные ограничения. Во-первых, он
позволяет определить наличие стеганограммы, внедренной, в основном, по алгоритму НЗБ и его модификациям,
во-вторых, вероятность точного определения наличия стеганограммы уменьшается при уменьшении объема стеганограммы в исследуемом файле.
Способ статистического анализа на основе сравнения распределений по критерию Хи-квадрат основан на
том, что в пустом контейнере наименьшие значащие биты
и остальные биты сигнала взаимно зависимы, в то время
как при внесении сообщения в контейнер характеристика
зависимости несколько изменяется и приближается к соответствующей характеристике сообщения. Выявление данного изменения проводится путем анализа отличия пустых
и заполненных контейнеров от бернуллиевского распреде538
ления, характерного для сообщений, по критерию Хиквадрат.
В работе [71] приведены результаты исследования
данной характеристики для исходных файлов и файлов,
полученных с помощью нескольких стеганографических
программных пакетов. В качестве исходных файлов использовались считанные с компакт дисков 100 музыкальных фрагментов длительностью порядка 15 секунд каждый. В качестве скрываемого сообщения использовалась
псевдослучайная последовательность объемом 83 Кбайт.
Для скрытия сообщений применялись программы Steganos
(версии 1.0a) и S-Tools (SteganographyforWinodws, версии 4.0). Методы скрытия – побитное внедрение в каждый
НЗБ контейнера, начиная с первого. Усредненные результаты для двух программ стеганографических преобразований S-Tools и Steganos представлены на рис. 5.28.
а)
539
б)
Рис. 5.28.Распределение характеристики Хи-квадрат
для файлов, полученных с помощью программы
а) S-Tools и б) Steganos
Из рис. 5.27 видно, что значение Хи-квадрат для
пустого контейнера значительно больше, чем значение Хиквадрат для заполненного контейнера, что свидетельствует
о большем отклонении исходных файлов от бернуллиевского распределения. Важным фактом в данном случае является то, что распределения для исходных файлов и файлов с внедренным сообщением не пересекаются, что позволяет сделать процедуру определения наличия стеганограммы достаточно простой. Достоинства и недостатки
данного способы примерно такие же, как и в предыдущем
случае.
Рассматривая способы стегоанализа графических
контейнеров, необходимо отметить, что они в основном
ориентированы на НЗБ-методы стеганографического преобразования информации.
540
В первую очередь к ним относятся способ двойных
пиков, способ выявления статистических изменений яркости соседних пикселей, способ сравнения гистограмма
JPEG-коэффициентов и др.
Способ двойных пиков (гистограммы изображения)
является одним из самых первых опубликованных способов стегоанализа и позволяет выявлять изменения в изображениях, модифицированных с помощью прямых стеганографических способов с фиксированным уровнем изменения контейнера [71]. К таким способам относятся большинство НЗБ-методов, где модифицированное значение
компоненты цвета пикселя (или яркости пикселя) может
быть изменено на фиксированную величину d .
Для НЗБ-методов d традиционно равно 1. Для других методов d может меняться от изображения к изображению, но для каждого фиксированного изображения остаётся неизменным.
Если рассматривать чёрно-белые изображения, то
для таких изображений стеганографический метод с фиксированным уровнем изменения контейнера увеличивает
или уменьшает значение яркости пикселей. При анализе
гистограммы яркости пикселей таких изображений было
отмечено, что при использовании для встраивания информации большого количества пикселей изображения пики
рассматриваемых гистограмм раздваиваются. Это объясняется следующим образом. В табл. 5.16 изображены значения части гистограммы некоторого гипотетического
изображения.
Таблица 5.16
Пример гистограммы блока изображения
10
11
12
13
14
0
0
1000
0
0
541
В верхней строке таблицы представлены пять близких значений яркости пикселей, а в нижней – количество
пикселей с такими же значениями яркости в изображении.
В данном случае присутствует ярко выраженный
пик, соответствующий значению яркости, равному 12. Если при встраивании информации в данное изображение
было модифицировано порядка 98% пикселей изображения, при фиксированной величине изменения d = 1, то соответствующая часть гистограммы модифицированного
изображения будет выглядеть следующим образом
(табл. 5.17).
Таблица 5.17
Гистограмма модифицированного изображения
10
11
12
13
14
0
485
18
497
0
Из табл. 5.17 следует, что примерно половина значений яркости пикселей была уменьшена на 1, а другая половина – увеличена на 1. Неравное разделение значений
яркости обусловливается тем, что процесс встраивания
обычно рандомизирован2, при этом модифицируются случайно выбранные пиксели всего изображения. В результате встраивания исходный пик гистограммы был разделён
на 2, отстоящих друг от друга на расстояние, равное 2d.
Данные рассуждения также подтверждаются практическими наблюдениями за гистограммами цветных изображений, в которых были модифицированы значения цветовых
компонент (рис. 5.29).
2
Рандомизация (англ. random -выбранный наугад, случайный)- процедура отбора признаков для исследования (или получения сопоставимых групп в эксперименте), когда каждый признак из некоторой
совокупности и каждая комбинация признаков заданного размера имеет равные с другими шансы на попадание в выборку
542
Рис. 5.29. Гистограммы цветных изображений
543
На данном рисунке показаны гистограммы значений цветовых компонент двух изображений - до и после
встраивания информации. Нижняя пара гистограмм демонстрирует характерные раздвоения пиков (на гистограмме справа) после встраивания информации.
Данный способ стегоанализ позволяет эффективно
выявлять встроенную информации лишь для изображений
с ярко выраженными узкими пиками исходной гистограммы, а также при модификации значительной части пикселей изображения.
Способ выявления статистических изменений яркости
соседних пикселей основан на наблюдении статистических
изменений в группах из нескольких соседних пикселей
изображения. При этом было отмечено, что если чётное
число представлено в двоичном формате, то последний бит
такого представления равен 0, если же этот бит заменить
на 1, то число увеличивается на единицу и превращается в
нечётное. Если же последний бит двоичного представления числа равен 1, то оно нечётно, и при замене 1 на 0 становится чётным.
Таким образом, при встраивании информации в последние биты значений компонентов цветов пикселей чётные значения компонент могут только увеличиться, а нечётные, наоборот, только уменьшиться [72].
Способ сравнения JPEG-коэффициентов основаны
на предположении, что с помощью переконвертации изображения со стеганографической вставкой из формата
JPEG в формат без сжатия (типа BMP), а затем новой конвертации изображения в формат JPEG, но с использованием нового разбиения изображения на блоки, можно получить аппроксимацию исходного контейнера. Сравнивая
статистические свойства изображения до и после такого
преобразования можно получить информацию об измене544
нии JPEG-коэффициентов исходного изображения, а также
оценить величину таких изменений. Известно два способа,
применяемые на практике, получившие наименование F5 и
Outguess [73].
Способ выявления встроенной с помощью алгоритма F5 информации основан на анализе гистограммы JPEGкоэффициентов изображения. При встраивании информации модифицируются ненулевые JPEG-коэффициенты, при
этом абсолютное значение (модуль) коэффициентов может
только уменьшиться на единицу. Если результатом встраивания бита информационной последовательности в некоторый JPEG-коэффициент является его обнуление, то
встраивание бита происходит в следующий ненулевой коэффициент, выбранный с помощью алгоритма рандомизации. В результате гистограмма JPEG-коэффициентов изображения изменяется таким образом, что увеличивается
количество нулевых коэффициентов, а количество остальных коэффициентов уменьшается.
Для
получения
оценки
значений
JPEGкоэффициентов в [73] предложен следующий способ. Изображение из формата JPEG конвертировалось в простое
представление (типа BMP), в изображении удалялись первые 4 столбца пикселей, затем оно конвертировалось обратно в формат JPEG. Гистограмма преобразованного таким образом изображения использовалась как оценка гистограммы исходного изображения (рис. 5.30).
545
Рис. 5.30. Различия в гистограммах исходного
изображения, изображения со стеговставкой
и оценочной гистограммы
Из приведенного рисунка видно, насколько гистограмма изображение со стеговставкой отличается от оценочной гистограммы, которая практически совпадает с
гистограммой исходного изображения. Эффективность такого рода оценки гистограммы исходного изображения
объясняется тем, что при удалении 4-х первых столбцов
изображения происходит переразбиение изображения на
новые блоки пикселей. При этом незначительные изменения, внесённые в исходные значения JPEG-коэффициентов
при встраивании информации, перераспределяются между
новыми блоками пикселей и в своём большинстве нивелируются в процессе квантования.
Способ OutGuess, в отличие от способа F5, компенсирует изменения гистограммы изображения в процессе
встраивания дополнительных битовых последовательностей, модифицируя при этом только последние биты JPEG546
коэффициентов изображения, неравных 0 и 1.В данном
случае использован тот факт, что при повторном встраивании сообщения максимально возможной длины в изображение с помощью способа OutGuess величина неоднородности на границе блоков будет меньше, чем при встраивании того же сообщения в изображение без стеговставки.
Наконец, следует отметить, что указанные на
рис. 5.25 методы противодействия несанкционированной
передаче реализуются преимущественно путем вызова
DLP-системой команд операционной системы с целью исключение возможности использования контейнера со
скрытой информации или уничтожение самой скрытой
информации в контейнере (путем его зашумления или различных преобразований).
В настоящее время DLP-системы, реализующие
описанные методы защиты информации от несанкционированной передачи во внешние сети, активно развиваются
и уже в ближайшее время появятся программные продукты, в которых будут применяться описанные способы защиты информации от утечки по скрытым каналам.
5.7. Частные виртуальные сети и их применение
Безопасность информационного взаимодействия
локальных сетей и отдельных компьютеров через открытые сети типа Internet требуют качественного решения не
только задачи защиты локальных сетей и отдельных компьютеров со стороны внешней среды, но и задачи защиты
информации в процессе передачи по открытым каналам
связи. Для решения второй из указанных задач, наряду с
описанными ранее мерами и средствами защиты, сегодня
активно применяются частные виртуальные сети.
547
Частная виртуальная сеть (VirtualPrivateNetwork VPN) – это объединение локальных сетей и отдельных
компьютеров через открытую внешнюю среду передачи
информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных (иногда ее называют защищенной виртуальной сетью). В качестве
внешней среды используется сеть общего пользования (сегодня чаще всего Internet).
Защита информации в VPN в процессе ее передачи
основана на построении защищенных виртуальных каналов связи, называемых туннелями VPN. При использовании криптографии для защиты информации, передаваемой
по туннелям VPN, такие туннели чаще называют криптозащищенными туннелями. Для защиты от повтора, удаления и задержек пакетов сообщений используются встроенные возможности стека протоколов TCP/IP. Для защиты от
отказа получения сообщений предусматривается также
цифровая подпись.
Любой из двух узлов виртуальной сети, между которыми формируется защищенный туннель, может принадлежать конечной или промежуточной точке защищаемого потока сообщений. Соответственно, возможны различные способы образования защищенного виртуального канала:
1) точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений – наилучший с точки зрения безопасности информации вариант.
Однако он связан с децентрализацией управления и избыточности ресурсных затрат. Требуется устанавливать средства создания защищенных туннелей на каждый клиентский компьютер локальной сети, а в большой сети это приводит к весьма трудоемкой процедуре конфигурирования
средств защиты для всех компьютеров;
2) в качестве конечной точки защищенного туннеля
548
выбирается межсетевой экран или пограничный маршрутизатор этой локальной сети. В этом случае должна отсутствовать необходимость защиты трафика внутри локальной сети;
3) в качестве конечных точек защищенного туннеля
выступают провайдеры сети Internet, то есть туннели прокладываются только внутри публичной сети с коммутацией пакетов (это удобно, хотя каналы менее защищены; аргументация состоит в том, что уязвимыми для злоумышленников в большей степени являются сети с коммутацией
пакетов, а не каналы телефонной сети или выделенные каналы связи).
Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты
принято называть инициатором и терминатором туннеля.
Инициатор туннеля инкапсулирует (встраивает, прячет)
пакеты в новый пакет, содержащие наряду с исходными
данными новый заголовок с информацией об отправителе
и получателе. Хотя все передаваемые по туннелю пакеты
являются пакетами IP, инкапсулируемые пакеты могут
принадлежать любому протоколу, например немаршрутизируемому протоколу NetBEUI. Терминатор выполняет
процедуру, обратную инкапсуляции. Сама по себе инкапсуляция не влияет на защищенность пакетов, передаваемых по туннелю VPN. Но благодаря ей, появляется возможность полной криптографической защиты инкапсулируемых пакетов. Целостность и подлинность пакетов обеспечивается формированием цифровой подписи.
С учетом изложенного классификация VPN приведена на рис. 5.31.
Данная классификация в части архитектуры технического решения (предложена компанией Check Point Software
549
Technologies, которая не без основания считается законодателем в области VPN) требует некоторых пояснений.
В варианте «Client/Server VPN» обеспечивается защита передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в
том, что VPN строится между узлами, находящимися, как
правило, в одном сегменте сети, например, между рабочей
станцией и сервером (рис. 5.32).
Такая необходимость очень часто возникает в тех
случаях, когда в одной физической сети необходимо создать несколько логических сетей.
В варианте «Intranet VPN» (рис. 5.33) в сеть объединяются несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи.
Именно этот вариант получил широкое распространение
во всем мире, и именно его в первую очередь реализуют
компании-разработчики.
Вариант «Remote Access VPN» (рис. 5.34) позволяет
реализовать защищенное взаимодействие между сегментом
корпоративной сети (центральным офисом или филиалом) и
одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или
через notebook (мобильный пользователь). Данный вариант
отличается от первого тем, что удаленный пользователь, как
правило, не имеет статического адреса, и он подключается к
защищаемому ресурсу не через выделенное устройство VPN,
а со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции
VPN. Компонент VPN для удаленного пользователя может
быть выполнен как в программном, так и в программноаппаратном виде. В первом случае программное обеспечение
может быть как встроенным в операционную систему, так и
разработанным специально.
550
Частные виртуальные сети (VPN)
По уровню модели OSI
По архитектуре технического решения
VPN канального уровня
Протоколы шифрования L2F, PPTP,
L2TP
VPN сетевого уровня
Протоколы шифрования SKIP, IPSec
VPN сеансового уровня
Внутрикорпоративные VPN
(«Client/Server VPN»)
Межкорпоративные VPN
("Intranet VPN")
VPN с удаленным доступом
отдельных пользователей
(«Remote Access VPN»)
По способу технической реализации
VPN на основе маршрутизаторов
VPN на основе межсетевых
экранов
VPN на основе программных
решений
VPN на основе специальных
аппаратных средств со встроенными шифропроцессорами
Протоколы шифрования TLS,SOCKS
VPN прикладного уровня
Протоколы Secure HTTP (SHTTP),
Secure MIME (SMIME)
Рис. 5.31. Классификация частных виртуальных сетей
551
Рис. 5.32. Внутрикорпоративная частная виртуальная сеть («Client/Server VPN»)
552
Рис. 5.33. Межкорпоративная частная виртуальная сеть («Intranet VPN»)
553
Рис. 5.34. Частная виртуальная сеть с удаленным доступом отдельных
пользователей («Remote Access VPN»)
554
Для независимости от прикладных протоколов и
приложений VPN стремятся формировать на одном из более
низких уровней эталонной модели OSI – канальном, сетевом. На рисунке приведены основные протоколы, используемые на соответствующем уровне модели OSI, для реализации VPN. Следует отметить, что чем ниже уровень модели OSI, на котором реализована защита, тем она прозрачнее
для приложений и незаметнее для пользователей. Однако
при этом уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления.
В виртуальной сети защита может выполняться одновременно на нескольких уровнях эталонной модели. При
этом увеличивается криптостойкость, но снижается скорость преобразований и уменьшается пропускная способность сети. Поэтому на практике, как правило, используют
только один уровень.
Рассмотрим варианты создания VPN на примере
протокола PPTP [55].
Протокол PPTP (Point-to-PointTunnelingProtocol)
предназначен для создания защищенного канала при доступе удаленных пользователей. С помощью этого протокола фактически имитируется нахождение компьютера пользователя во внутренней сети путем туннелирования пакетов сообщений. Данные по туннелю переносятся с помощью стандартного протокола удаленного доступа PPP
(Point-to-Point Protocol), который используется только для
связи с сервером провайдера. В технологии создания защищенного туннеля по протоколу PPTP предусматривается как аутентификация удаленного пользователя, так и зашифрованная передача данных.
В протоколе PPTP определены три схемы его применения: первая – прямое соединение (рис. 5.35) и две другие – по телефонной линии (рис. 5.36) через провайдера.
555
Рис. 5.35. Схема построения VPN при прямом соединении
удаленного компьютера с сетью через Internet
по протоколу PPTP
Рис. 5.36. Схема построения VPN при соединении
удаленного компьютера по телефонной линии
через провайдера Internet
Схемы построения VPNc использованием других
протоколов на канальном и сетевом уровнях похожи, от556
личия заключаются лишь в реализуемых по этим протоколам процедурах создания защищенных туннелей, которые
достаточно подробно описаны, например, в [55]. Так, для
протокола L2TP имеет место следующий порядок установления взаимодействия.
Для установления соединения пользователь связывается по протоколу РРР с концентратором доступа L2TP,
функционирующим на сервере провайдера сети Internet. На
этом этапе концентратор может выполнить аутентификацию пользователя от имени провайдера. Далее концентратор определяет IP-адрес сервера L2TP, принадлежащего
требуемой локальной сети. Устанавливается сессия по
протоколу L2TP. После этого происходит аутентификация
пользователя на сервере L2TP, при этом может быть использован любой алгоритм аутентификации, например,
CHAP3. В случае успешной аутентификации между концентратором и сервером создается криптозащищенный
туннель. С помощью управляющих сообщений осуществляется настройка туннеля. Протокол не специфицирует
конкретные методы криптозащиты и предусматривает
возможность использования различных стандартов шифрования. Однако, если туннель формируется в IP-сетях, то
3
CHAP (англ.ChallengeHandshakeAuthenticationProtocol) — широко
распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа отправляет клиенту строку запроса. На основе этой строки и пароля
пользователя клиент вычисляетхеш-кодMD5(англ. MessageDigest-5) и
передаёт его серверу. Сервер, которому доступен пароль пользователя,
выполняет те же самые вычисления и сравнивает результат с хешкодом, полученным от клиента. В случае совпадения учётные данные
клиента удалённого доступа считаются подлинными, при этом пароль
никогда не пересылается по каналу, что значительно увеличивает
безопасность процесса аутентификации
557
криптозащита должна выполняться в соответствии с протоколом IPSec (InternetProtocolSecurity). В этом случае пакеты L2TP инкапсулируются в UDP-пакеты, которые передаются между концентратором доступа провайдера и сервером локальной сети через IPSec-туннель. Для этого задействуется UDP-порт 1701.
Процедуры создания защищенных каналов на сетевом уровне с использованием протокола IPSec также имеют существенные особенности. В связи с этим необходимо
отметить, что формирование защищенных туннелей на канальном уровне обеспечивает независимость от протоколов сетевого уровня, однако приводит к сложностям конфигурирования и поддержки виртуальных каналов,
уменьшению набора реализуемых функций безопасности,
усложнению управления криптографическими ключами.
В соответствии с протоколом IPSec4 архитектура
средств безопасности информационного обмена разделяется на три уровня (рис. 5.37) [55].
Протокол ISAKMP обеспечивает общее управление
защищенным виртуальным каналом, включая согласование
используемых алгоритмов криптозащиты, генерацию и
распределение ключевой информации.
Протокол AH обеспечивает аутентификацию источника данных, проверку их целостности и подлинности после приемы и защиту от навязывания повторных сообщений.
Протокол ESP обеспечивает криптографическое закрытие передаваемых пакетов сообщений и выполнение
всех функций протокола AH.
4
Протокол IPSecпредставляет собой стек нескольких протоколов
558
Протокол аутентифицирующего
заголовка (AuthenticationHeader –
AH)
Протокол согласования параметров виртуального канала и управления ключами (InternetSecurityAssociationKeyManagementProtocol –ISAKMP)
Протокол инкапсулирующей
защиты содержимого (EncapsulatingSecurityPayload – ESP)
Алгоритмы согласования параметров и
управления ключами
VPN на основе специальных аппаратных средств
со встроенными шифропроцессорами
Алгоритм аутентификации
Алгоритмы шифрования
Рис. 5.37. Архитектура средств безопасности протокола IPSec
559
Использование в IPSec двух различных протоколов
(AH и ESP) обусловлено практикой, применяемого во многих странах ограничения экспорта или импорта криптосредств. Каждый из этих протоколов может использоваться
самостоятельно. Протоколы АН и ESP не зависят от конкретных криптографических алгоритмов, могут использоваться любые методы аутентификации, типы ключей
(симметричные и асимметричные), алгоритмы шифрования и распределения ключей. Например, в каждой стране
могут применяться свои алгоритмы, соответствующие национальным стандартам.
Алгоритмическая независимость протоколов АН и
ESP требует предварительного согласования набора применяемых алгоритмов и их параметров, поддерживаемых
взаимодействующими сторонами. Эту функцию предусматривает протоколISAKMP, в соответствии с которым
при формировании защищенного виртуального канала
стороны должны выработать общий контекст безопасности
(SA – Security Association) и только затем использовать
элементы этого контекста, такие как алгоритмы и ключи.
Роль фундамента в архитектуре IPSec выполняет
так называемый домен интерпретации (DomainofInterpretation), являющийся, по сути, базой данных, хранящей сведения об используемых в IPSec протоколах и алгоритмах,
их параметрах, протокольных идентификаторах и т.д. В
IPSec могут использоваться протоколы и алгоритмы. Которые изначально не разрабатывались для этой архитектуры. Поэтому возникла необходимость в домене интерпретации. Для того чтобы в качестве алгоритмов аутентификации и шифрования в протоколах АН и ESP можно было
использовать, алгоритмы, соответствующие национальным
стандартам, необходимо как минимум зарегистрировать их
в домене интерпретации. В настоящее время для протоко560
лов АН и ESP зарегистрировано 2 алгоритма аутентификации и для протокола ESP-7 алгоритмов шифрования. Эти
протоколы поддерживают работу в двух режимах:
туннельном, при котором IP-пакеты защищаются
целиком;
транспортном, обеспечивающем полную защиту
только содержимого IP-пакетов.
Основным является туннельный режим. При работе
в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в
свою очередь, инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели. После передачи на другую сторону туннеля защищенные IPпакеты «распаковываются» и полученные IP-пакеты передаются компьютерам приемной локальной сети по стандартным правилам.
В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. В этом режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или
UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного, разработан для применения на
оконечных системах, используется для поддержки удаленных и мобильных пользователей, а также для защиты информационных потоков внутри локальных сетей, на шлюзах для защиты внутренних связей между одноранговыми
шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми
561
компонентами инфраструктуры сети.
К протоколам, используемым для создания VPN на
сеансовом уровне, относятся протоколы SSL/TSL и
SOCKS.
Протокол SSL/TSL (Secure Sockets Layer/Transport
Layer Security) или просто SSL, разработан корпорацией
NetScape. Так как сеансовый уровень модели OSI отвечает
за установку логических соединений и управление этими
соединениями, то на данном уровне появляется возможность использования программ - посредников, проверяющих допустимость запрошенных соединений (по аналогии
с межсетевыми экранами). Конфиденциальность передаваемых данных обеспечивается за счет их криптографического закрытия, а аутентификация взаимодействующих
сторон, а также подлинность и целостность циркулирующей информации – за счет формирования и проверки цифровой подписи. В протоколе SSL реализована технология
комплексного использования асимметричных и симметричных криптосистем. В качестве алгоритмов асимметричного шифрования используются такие алгоритмы, как
RSA, Диффи-Хеллмана и др. Допустимыми алгоритмами
симметричного шифрования являются RC2, RC4, DES. Набор этих алгоритмов является расширяемым. Протокол является признанным неофициальным стандартом и, по сути,
вытеснил конкурирующие высокоуровневые протоколы,
такие как протоколSHTTP. Клиентская часть SSL реализована во всех популярных WEB-навигаторах, в том числе в
Internet Explorer, а серверная – в большинстве WWWсерверов.
Протокол предусматривает два этапа взаимодействия клиента и сервера:
1) установление SSL-сессии и 2) защищенное взаимодействие.
562
На первом этапе реализуется процедура «рукопожатия», предшествующая непосредственной защите информационного обмена, при этом решаются такие задачи, как:
аутентификация сторон; согласование криптографических
алгоритмов и алгоритмов сжатия, которые будут использоваться в информационном обмене; формирование общего
секретного мастер-ключа; генерация на основе мастерключа общих секретных сеансовых ключей для криптозащиты информационного обмена. Для аутентификации и
формирования общих секретных ключей чаще всего используют алгоритм RSA. Однозначное и достоверное соответствие между открытыми ключами и их владельцами
устанавливается с помощью цифровых сертификатов, выдаваемых специальными Центрами Сертификации. Такой
сертификат включает имя центра, имя владельца, открытый ключ владельца, период действия сертификата, идентификатор и параметры криптоалгоритма, который должен
использоваться при обработке сертификата, цифровую
подпись центра сертификации, заверяющую данные сертификата. Центр сертификации исполняет роль нотариуса.
В процессе защищенного взаимодействия с установленными криптографическими параметрами SSLсессии выполняются следующие действия:
1) каждая сторона формирует так называемый код
для проверки целостности сообщения (МАС-код) и затем
зашифровывает исходное сообщение вместе с МАС-кодом
по сеансовому секретному ключу;
2) приемная сторона расшифровывает сообщение и
проверяет на целостность (вычисляется текущий МАС-код
и сверяется с МАС-кодом проверки целостности, полученным вместе с сообщением), в случае нарушения целостности SSL-сессия закрывается.
563
Протокол SOCKS (сокращение от«SOCKet Secure»5)
был разработан в 1990 г. для организации посредничества
при взаимодействии между клиент-серверными приложениями на сеансовом уровне модели OSI. На основе этого
протокола можно реализовывать различные функции посредничества при защите межсетевого взаимодействия(трансляция IP-адресов, контроль трафика, разграничение доступа в зависимости от атрибутов пользователя и
др.). В VPN этот протокол позволяет организовывать безопасное взаимодействие и обмен информацией между разными сетями. Следует отметить, что, если основе протоколов канального и сетевого уровня защищенные виртуальные каналы формируются между разными парами взаимодействующих сторон, то на основе протокола SOCKS могут создаваться защищенные туннели для каждого приложения и сеанса в отдельности. Схема сетевого взаимодействия по протоколу SOCKS приведена на рис. 5.38.
5
Сокет –программный интерфейс для обеспечения информационного
обмена между процессами. Другое значение – это специальное гнездо
(разъём) на материнской плате, предназначенное для облегчения замены процессора на другой процессор (здесь не применяется)
564
Рис. 5.38. Схема сетевых взаимодействий по протоколу SOCKS
565
5.8. Ложные информационные системы
и перспективы их применения
Применение традиционных средств защиты информации от НСД (программных средств разграничения доступа операционных систем, межсетевых экранов, систем
обнаружения вторжений, антивирусных средств и др.), не
позволяет в полной мере обеспечить защищённость информации ограниченного доступа, обрабатываемой в
ИТКС, так как такие средства реагируют на несанкционированные действия нарушителя постфактум, что даёт ему
преимущество внезапности.
Данное утверждение подтверждается многочисленными фактами успешного НСД к защищаемой информации путём использования уязвимостей программного
обеспечения.
Повышение общего уровня защищённости информации можно достичь за счёт создания для нарушителя условий неопределённости о составе и структуре атакуемой
им ИТКС. Для этого необходимо одновременно с применением традиционных средств защиты использовать средства, реализующие алгоритмы отвлечения нарушителя от
объектов доступа и имитации деятельности субъектов доступа. В качестве названия указанных средств используется
термин «ложные информационные системы» (ЛИС).
Необходимость применения ЛИС нашло отражение
в нормативном правовом акте [19].
Возможность создания ЛИС без затрат аппаратных
ресурсов сегодня стала реальностью в связи с интенсивным развитием и применением технологии виртуализации,
появлением средств виртуализации, под которыми подразумевается комплекс программных продуктов (например,
VMWare vSphere, Citrix XenServer, VirtualBox, VMware
566
Workstation и др.), позволяющих создать виртуальную инфраструктуру и управлять ею.
Использование средств виртуализации при построении ЛИС позволяет:
упростить процедуру создания ложного компонента вычислительной сети, идентичного целевому (то есть компонента защищаемой информационной системы);
обеспечить возможность скрытного исследования процессов НСД в интересах адекватного выбора мер и средств защиты.
Для построения таких систем важно знать способы
несанкционированного доступа в операционную среду
ИТКС, который может осуществляться, во-первых, внешним нарушителем из сети связи общего пользования с
применением штатных или специально разработанных
программных средств и, во-вторых, путем внедрения вредоносной программы в операционную среду ИТКС и инициации ее функционирования. Штатные или специально
разработанные программные средства и вредоносные программы, используемые для НСД, далее именуются средствами НСД.
В первом случае процесс НСД включает следующие
этапы:
преодоление средств разграничения доступа и
иных средств защиты, установленных в ИТКС, и
проникновение в операционную среду ИТКС;
выбор целевого объекта (рабочей станции и файла ил программы на ней);
преодоление средств защиты целевого объекта;
получение нарушителем защищаемой информации (получения защищаемой информации включает следующие процедуры: поиск на целевом
567
объекте интересующих сведений, создание канала связи с рабочей станцией нарушителя, отправка полученных сведений на рабочую станцию
нарушителя);
маскирование следов НСД.
Во втором случае НСД включает следующие этапы:
внедрение средства НСД в ИТКС и его активизация;
выбор с помощью средства НСД целевого объекта;
преодоление средств защиты целевого объекта;
поиск на целевом объекте сведений в соответствии с заданными критериями поиска, создание
канала связи, возможно скрытого, с рабочей
станцией нарушителя, отправка полученных сведений на рабочую станцию нарушителя;
маскирование следов НСД и уничтожение, перемещение или иные действия, направленные на
скрытие вредоносной программы.
В настоящее время именно второй способ находит
наибольшее применение на практике, при котором с момента внедрения вредоносной программы фактически в
автоматическом режиме осуществляется поиск и передача
из ИТКС нужной нарушителю информации. Эти действия
имеют место и в том случае, когда в самой защищаемой
ИТКС
используются
технологии
виртуализации
(рис. 5.39).
568
Рис. 5.39. Процесс несанкционированного доступа в операционную среду
информационно-телекоммуникационной системы, построенной
с использованием средств виртуализации
569
Средство НСД реализует, как правило, следующие
типовые функции:
сканирование объектов компьютерной сети;
анализ трафика;
поиск и фиксацию наличия уязвимостей программного обеспечения, которые могут быть использованы для НСД;
поиск сведений, интересующих нарушителя и
удовлетворяющих заданному критерию;
создание канала связи, возможно скрытого, с нарушителем.
обновление своих компонент и загрузка дополнительных функциональных модулей;
маскирование;
самоуничтожение или скрытие вредоносной программы.
Средство НСД может быть внедрено с использованием различных способов и приемов, например, при помощи специальным образом сформированного документа,
отправленного по электронной почте или путём преодоления средств защиты ИТКС за счёт эксплуатации уязвимости сетевых службы, доступных из сетей общего пользования, а также при помощи инфицированного электронного
носителя информации, используемого как в ИТКС, так и за
её пределами.
Задачами ЛИС являются:
противодействие сбору сведений о защищаемых
объекта (маскирование сведений о защищаемом
объекте, дезинформирование нарушителя в отношении сведений о защищаемом объекте);
противодействие добыванию защищаемой информации (усложнение условий проведения анализа
570
сетевого трафика, а также поиска в БД и хранилищах данных; дезинформирование нарушителя);
регистрация и учёт действия средства НСД.
Схема классификации ЛИС проведена на рис. 5.40.
По способу реализации ЛИС разделяются на реальные и виртуальные. В реальных ЛИС отсутствуют компоненты, имитирующее поведение аппаратного обеспечения.
В отличие от реальных ЛИС, виртуальные содержат такие
компоненты.
Тип имитируемого объекта определяет функциональные возможности ЛИС, а также определяет уровень
взаимодействия со средствами НСД. Уровень взаимодействия ЛИС со средствами НСД характеризует возможности,
предоставляемые ЛИС средству НСД по реализации компьютерной атаки. Чем больше возможностей предоставляется средствам НСД, тем больше информации можно собрать об их действиях, больше объем работ по установке и
поддержке системы и выше риск ее компрометации.
Важным аспектом с точки зрения выбора путей построения ЛИС является классификация ЛИС по типу имитируемого объекта. ЛИС, генерирующие сетевой трафик,
обладают самым минимальным набором функций, имитирующих только наличие определенных сетевых служб целевой ИТКС. Данные ЛИС не способны отвечать на сетевые запросы средств НСД.
ЛИС, имитирующие работу сетевых служб, должны
обеспечивать реализацию корректной работы сетевых протоколов, по которым работают соответствующие сетевые
службы. Взаимодействуя с такой ЛИС, с помощью средства НСД можно получать только корректные ответы на сетевые запросы, но нельзя внедрить вредоносный код, используя уязвимости сетевых служб, что может быстро
скомпрометировать такие ЛИС.
571
Ложные информационные системы
По способу реализации
Реальные ЛИС,
созданные на специально выделенных серверах
По типу имитируемого
объекта
Генерирующие сетевой трафик
Виртуальные
ЛИС (программно-эмулируемые)
По структуре
Статические ЛИС
Динамические ЛИС
Имитирующие сетевые службы
Имитирующие узлы
Самоорганизующиеся
ЛИС
Имитирующие сегменты сети
Имитирующие информационную систему
По уровню интеграции в целевую информационную систему
По назначению
По уровню корреляции состава и
структуры с целевой информационной системой
ЛИС, не связанные с информационной системой
Производственные ЛИС
ЛИС, идентичные целевой системе
ЛИС, не входящие в состав
информационной системы,
но связанные с ней
Исследовательские
ЛИС
ЛИС, частично совпадающие с целевой системе
ЛИС, входящие в состав
информационной системы,
но связанные с ней
ЛИС смешанного типа
ЛИС, отличные от целевой системе
Рис. 5.40. Классификация ложных информационных систем
572
ЛИС, имитирующие работу узлов вычислительной
сети, реализуют все функции, характерные для компьютера или активного сетевого оборудования вычислительной
сети. Взаимодействуя с такой ЛИС, можно с помощью
средства НСД внедрить вредоносный код, используя уязвимости программного обеспечения ложного узла.
ЛИС, имитирующие работу вычислительной сети,
дополнительно включают функции по организации взаимодействия между имитируемыми узлами. ЛИС, имитирующие работу информационной системы, дополнительно
включают функции по имитации работы пользователей.
В зависимости от типа структуры выделяют статические, динамические и самоорганизующиеся ЛИС. Статические ЛИС сохраняют свою топологию и состав программного обеспечения в изначально заданном состоянии.
В динамических ЛИС изменяется с течением времени их
структура, например, в процессе функционирования такой
ЛИС могут появляться или исчезать какие-либо элементы.
Если же структура ЛИС изменяется в зависимости от действий средств НСД, то это самоорганизующаяся ЛИС.
Уровень интеграции в целевую информационную
систему определяет место ЛИС относительно этой системы, а также способ взаимодействия с ней. ЛИС могут работать отдельно, параллельно и в составе целевой защищаемой информационной системы. ЛИС, расположенная
отдельно от целевой системы, – это территориально удаленная ЛИС, использующая проводные и беспроводные
каналы для связи и взаимодействия с целевой системой.
ЛИС, работающая параллельно целевой системе, размещается на одной территории и подключаются к целевой системе с использованием единого пограничного узла. Также
компоненты ЛИС могут находиться в составе целевой системы.
573
По назначению ЛИС могут быть производственными,
исследовательскими и смешанными. Производственные ЛИС
снижают вероятность успешного осуществления НСД к защищаемой информации за счет увеличения времени ее поиска. Исследовательские ЛИС применяются для изучения
средств НСД, используемых ими алгоритмов с целью построения более эффективных механизмов защиты информации в целевых системах. Смешанные ЛИС сочетают в себе
возможности производственных и исследовательских ЛИС.
Также существенной характеристикой ЛИС является ее степень сходства с целевой информационной системой. Чем ЛИС более сходна с целевой системой, тем труднее с помощью средств НСД выявить обман, но, в то же
время, в случае компрометации ЛИС противник может получить достоверные сведения о составе и структуре целевой системы.
В общем случае ЛИС может обеспечивать три
уровня введения в заблуждение нарушителя (рис. 5.41):
1) уровень сегмента (основных компонентов целевой системы) – на данном уровне имитируется защищаемая целевая система в целом, и при обнаружении атаки
злоумышленник перенаправляется с целевой системы на
компоненты введения в заблуждения;
2) уровень хоста – на данном уровне предполагается размещение компонентов, имитирующих отдельные
хосты, в компьютерной сети целевой системы;
3) уровень сервиса/приложения – в рамках хоста
целевой системы каждое приложение/сервис формируется
следующим образом: целевой модуль сервиса/приложения
вместе с модулем обмана «вкладывается в обертку», в режиме санкционированного использования при вызове сервиса/приложения управление передается целевому моду-
574
лю, при обнаружении несанкционированного обращения
управление передается модулю обмана.
575
Рис. 5.41.Архитектура ЛИС и реализуемые уровни введения в заблуждение
576
В табл. 5.18 приведены некоторые современные
программные средства создания ЛИС, сгруппированные по
типу имитируемого объекта.
Таблица 5.18
Некоторые современные программные средства
создания ЛИС
Тип ЛИС
Наименование программного средства
ЛИС, генерирующие Hping, nemesis, Karat
сетевой трафик
ЛИС, имитирующие Honeyport
Manager,
PatriotBox,
сетевые службы
KFSensor,
Jackpot,
HoneyWeb,
ManTrap,
Bubblegum
Proxypot,
Sendmail SPAM Trap, LaBrea, arpd
ЛИС, имитирующие honeyd, Specter, VMWare (Workstation,
узлы сети
ESX), XenServer, VirtualBox, Hyper-V
ЛИС, имитирующие Honeynets,
VMWare
(Workstation,
сети (сегменты сетей) ESX), XenServer, VirtualBox, honeyd
ЛИС, имитирующие Нет
информационные системы
На сегодняшний день применяются, в основном,
статические ЛИС, имитирующие работу сетевых служб.
Работа таких средств позволяет оказывать противодействие распространенным в сети Internet сетевым атакам на
web-серверы, серверы баз данных, почтовые серверы
(спам) и др. Типовой состав компонентов такой ЛИС приведен на рис. 5.42.
577
Компонент захвата данных и
фиксации данных
Компонент сбора
данных
Компонент контроля действий
нарушителя
Ложная информационная система
Компонент опреКомпонент расделения «свойпознавания плана
чужой» и переаддействия наруресации
шителя
Компонент фильтрации событий
Компонент обнаружения атак
Компонент выявление источника
угроз, трассировка и идентификация нарушителя
Компонент формирования плана действия
Компонент введения
злоумышленника в
заблуждение
Модуль обмана и реагирования на действия нарушителя
Компонент удаленного администрирования
Интерфейс с администратором безопасности
Администратор безопасности
Рис. 5.42. Состав компонентов ложной информационной системы
578
В таких ЛИС имеются:
1)
модуль сбора данных, содержащий:
компонент захвата и фиксации данных, «прослушивающий» сетевого трафика и фиксирующий
данные для последующего анализа;
компонент сбора данных, обеспечивающий сбор и
объединение данных от различных программных и
аппаратных компонентов ИТКС, в частности сенсоров, межсетевых экранов, систем обнаружения
вторжений, маршрутизаторов и др.;
компонент контроля действий нарушителя.
2)
модуль обнаружения атак, трассировки и
идентификации нарушителя и определение плана его действий, содержащий:
компонент определения «свой-чужой» и переадресации, контролирующий запросы и в случаях несанкционированных действий переадресующий их
на ложные компоненты;
компонент фильтрации событий (для автоматической отбраковки несущественных и фокусировки
на значимых событиях);
компонент обнаружения атак;
компонент распознавания плана действия нарушителя;
3)
компонент выявление источника угроз, трассировка и идентификация нарушителя, обеспечивающий
определение типа, квалификации нарушителя и др.модуль
обмана и реагирования на действия нарушителя, содержащий:
компонент формирования плана действия, выполняющий распознавание плана (стратегии)
действий нарушителя, контроль его действий и
579
реагирование на них – оповещение администратора о компрометации, блокирование действий
нарушителя и др.;
компонент введения злоумышленника в заблуждение, обеспечивающий:
формирование плана действий по имитации
целевой информационной системы;
заманивание и обман нарушителя (привлечение внимания, сокрытие реальной структуры
защищаемой системы и ресурсов, камуфляж,
дезинформация) за счет эмуляции сетевых
сегментов, серверов, рабочих станций, в том
числе – передаваемого трафика, и их уязвимостей, автоматическое реагирование на
действия нарушителя, в том числе оповещение администратора;
обеспечение невозможности использования
скомпрометированных компонентов (ресурсов) для атаки или для нанесения вреда другим системам после проникновения нарушителя в ложную систему;
4)
модуль администрирования, содержащий:
компонент удаленного администрирования, документирования, ввода сигнатур, профилей и
другое (обеспечивает централизованное управление, подготовку отчетов);
компонент обеспечения интерфейса с администратором безопасности.
Однако, такие ЛИС имеют «узкую специализацию»
и не позволяют эффективно противодействовать средствам
НСД, функционирующим в локальном сегменте компьютерной сети и использующим для обнаружения методы
пассивного прослушивания сетевого трафика, а также ме580
тоды анализа сетевого окружения, что создает условия для
быстрой компрометации ЛИС.
С развитием технологии виртуализации возрос интерес к построению ЛИС, поскольку такие технологии
предоставляют богатые средства по созданию и организации работы ложных узлов вычислительной сети и сетевого
оборудования. Виртуальные ЛИС также могут быть статическими, динамическими и самоорганизующимися. Статические виртуальные ЛИС проще реализовать, однако, с течением времени такие ЛИС могут быть демаскированы нарушителем, обладающим возможностями продолжительного перехвата и анализа сетевого трафика, обрабатываемого в ИТКС. Для создания динамических виртуальных
ЛИС необходима реализация механизмов периодической
ротации и изменения свойств элементов ЛИС, но такие
ЛИС труднее демаскировать, чем статические виртуальные
ЛИС. Реализация самоорганизующихся виртуальных ЛИС
требует исследований в области искусственного интеллекта в интересах разработки алгоритмов изменения состава и
структуры элементов ЛИС, адаптивных к действиям нарушителя. В настоящий момент в открытых источниках отсутствует информация об успешной реализации самоорганизующихся виртуальных ЛИС.
Основным свойством ЛИС, позволяющим эффективно противодействовать средствам НСД, является её
степень сходства с целевым объектом, достигаемая за счёт
обладания демаскирующими признаками целевого объекта. Однако ЛИС обладают признаками, по которым средство НСД может распознать объект как ложный. Такими
признаками являются отличительные особенности:
сетевого трафика, циркулирующего в ЛИС
(ошибки в реализации протоколов, направление и
интенсивность потоков информации, используе581
мые протоколы и т.д.);
аппаратных, программно-аппаратных и программных средств ЛИС (производительность,
тип операционной системы, версия прикладного
ПО, конфигурация ПО и др.);
средств защиты информации, обрабатываемой в
ЛИС (тип и комплектация средств, значения параметров, в том числе настроек технических и
программных средств);
содержания электронных документов (текстов,
таблиц, графиков, изображений, аудиофайлов и
др.), образующих информационные ресурсы
ЛИС;
использования имитатора действий пользователя
(местоположение, время работы, характер решаемых задач, используемые пароли, индивидуальные особенности работы с информационными
ресурсами и др.).
Возможность выявления демаскирующих признаков
ЛИС напрямую связана с расположением средств НСД нарушителя.
Для противодействия средствам НСД, осуществляющим пассивный анализ компьютерной сети, могут
быть использованы следующие меры:
организация взаимодействия ложных и целевых
систем при помощи имитируемых действий
пользователей в составе ложных и целевых систем;
динамическое изменение состава и структуры
ложных и целевых ИТКС, затрудняющее анализ
компьютерной сети средствами НСД.
Основным недостатком при реализации первой меры является необходимость внесения ложного компонента
582
в целевую ИТКС, что, во-первых, позволяет пользователю
узнать о существовании в компьютерной сети ЛИС, вовторых, в случае получения контроля нарушителем над
ложным компонентом в составе целевой ИТКС, позволяет
ему осуществить НСД к целевой информации. Так, например, для имитации взаимодействия с ложным файловым
сервером на истинной рабочей станции пользователя должен быть реализован механизм, благодаря которому периодически устанавливаются сетевые соединения с ложным файловым сервером и передаются файлы в рамках
данного соединения. Если реализовать такой механизм, то
помимо того, что легитимный пользователь получает информацию о наличии ложного файлового сервера, появляется проблема в фиксировании действий средства НСД.
Кроме того, эффективность такой ЛИС во многом определяется степенью сходства имитируемого поведения пользователя и реального.
Реализация второй меры связана с дополнительными расходами вычислительных ресурсов ИТКС на постоянную ротацию состава и изменения структуры её элементов. Однако, такие расходы могут быть напрасны, если
злоумышленник знает алгоритм ротации состава и изменения структуры компьютерной сети.
Перспективным в этом отношении является построение
динамических ЛИС, способных изменять свой состав и
структуру. Такие ЛИС строятся с широким применением
технологии виртуализации. На рис. 5.43 представлена логическая схема взаимодействия динамической ЛИС с сетевыми средствами защиты информации АС, а также средством управления виртуальной инфраструктурой (СУВИ)
информационной системы, устраняющая выявленные недостатки статических ЛИС.
583
СУВИ
Целевая ИС
Средство
конфигурирования ВМ
Сеть связи
общего
пользования
МЭ
СОВ
Распределенные
виртуальные
коммутаторы
Средство
перемещения
ВМ
ВМ1
ВМ2
Сервер1
Сервер2
ВМ1
ВМ2
...
ВМN
СерверP
...
ВМk
ЛИС
Рис. 5.43. Логическая схема взаимодействия динамической ЛИС с сетевыми средствами
защиты информации информационной системы, а также средством управления
виртуальной инфраструктурой информационной системы
584
СУВИ может быть расположено как на отдельной
физической платформе, так и на одной из виртуальных
машин (ВМ) целевой информационной системы. Распределенные виртуальные коммутаторы (виртуальный коммутатор обеспечивает распределение сетевого трафика между
ВМ гипервизора) являются логическими объектами СУВИ,
согласующими работу каждого гипервизора, входящего в
состав информационной системы. Средство перемещения
(миграции) ВМ изменяет её принадлежность тому или
иному гипервизору (управляющему соответствующим сервером информационной системы).
Средство конфигурирования ВМ периодически изменяет сетевые и аппаратные адреса ВМ целевой информационной системы и ЛИС для того, чтобы усложнить
процедуру анализа сетевого трафика средствами НСД.
Кроме того, в процессе работы истинная ВМ может
изменить свой статус и перейти в разряд ложных при условии
того, что вместо неё будет запущена точно такая же ВМ, на
которую будет переведены все процессы, инициированные
легитимными пользователями. Изменение статуса ВМ осуществляется в момент простоя ВМ, вызванного паузой в работе
легитимных пользователей, например, во время обеденного
перерыва. Реализация статуса ВМ может быть реализовано на
принципах, заложенных в технологии миграции ВМ.
Недостатками динамических ЛИС является:
сложность реализации;
повышенные затраты вычислительных ресурсов
АС, связанные с перемещением ВМ;
возможность демаскирования компонентов ЛИС
за счет анализа средствами НСД команд на перемещение и изменение адресов ВМ.
Динамические ЛИС могут быть реализованы как с
использованием механизма, моделирующего поведение
пользователя, так и без него. Разработка таких средств является перспективным направлением.
585
6. СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
И ПЕРСПЕКТИВЫ ИХ РАЗВИТИЯ
6.1. Стратегии защиты информации при построении
систем защиты
Как отмечалось ранее, создание ИТКС в защищенном исполнении направлено на исключение или существенное затруднение получения злоумышленником конфиденциальной информации или иной нужной ему для выполнения несанкционированных действий информации,
обрабатываемой в системе, а также на исключение или
существенное затруднение несанкционированного и/или
непреднамеренного воздействия на защищаемую информацию и ее носители.
В соответствии с требованиями нормативных правовых актов и методических документов уполномоченных
органов исполнительной власти [18, 19, 52] «защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех
стадиях (этапах) ее создания и в ходе эксплуатации путем
принятия организационных и технических мер защиты
информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной
системе, в рамках системы (подсистемы) защиты информации информационной системы (далее – система
защиты информации информационной системы)». Таким образом, меры и средства защиты информации являются элементами, с помощью которых создается система
защиты информации.
Сегодня систему защиты информации рассматривают как «совокупность организационных мероприятий,
586
технических, программных и программно-технических
средств защиты информации и средств контроля эффективности защиты информации».
Состав и структура СЗИ существенно зависят от
выбранной стратегии защиты, под которой понимается основополагающая идея, такой общий порядок действий по
защите информации, который определяет целевую установку проводимых мероприятий по защите информации в
ИТКС или ее элементе. Классификация возможных стратегий защиты информации приведена на рис. 6.1. Их характеристика кратко сводится к следующему.
По признаку организации защиты стратегии делятся
на периметровую, эшелонированную, выборочную, дифференцированного контроля и реакции и тотального контроля доступа к процессам и элементам системы.
В конце 90-х годов прошлого века преимущественно реализовывалась в компьютерных системах, в том числе в ИТКС, периметровая стратегия, в соответствии с которой защита осуществлялась по периметру сети. Под периметром сети понимается сегмент компьютерной сети,
находящийся между внутренними компьютерными системами и внешними сетями, такими как сеть Internet.Защита
по периметру сети осуществляется с применением, например, средств межсетевого экранирования, шлюзов безопасности, средств организации виртуальных частных сетей, средств обнаружения и предотвращения вторжений,
средств антивирусной защиты и т.п. от угроз, источники
которых расположены за пределами сети.
Однако при стратегии периметровой защиты практически игнорируются угрозы, связанные с внутренними
их источниками - нарушителями, программными и программно-аппаратными закладками, вредоносными программами.
587
Стратегии защиты
информации ИТКС
По организации защиты
Стратегия "периметровой" защиты
Стратегия эшелонированной защиты
По направленности действий
Стратегия пресечения
Стратегия обмана
(отвлечения)
Стратегия "ключевых
элементов" (выборочной защиты)
Стратегия игнорирования последствий и
резервирования информации
Стратегия тотального
контроля
Смешанная стратегия
По признаку адаптивности
Стратегия плановой защиты
(неадаптивная)
Стратегия адаптивной
защиты
Смешанная стратегия
Стратегия дифференцированного контроля
и реакции
Рис. 6.1. Классификация стратегий защиты информации в информационнотелекоммуникационных системах
588
Это обусловило то, что сегодня основное внимание
уделяется более совершенной «эшелонированной» защите.
Эшелонированная защиты – это защита, при которой меры защиты распределяются по определенным «эшелонам», к которым могут относиться: «периметр сети»,
серверы, коммуникационные элементы (коммутаторы,
маршрутизаторы и т.п.), рабочие станции, процессоры серверов и рабочих станций, блоки информации (директории,
каталоги, файлы), выполняемые процессы, команды, инструкции и т.д.
При этом в каждом эшелоне реализуются свои меры
защиты, то есть с переходом от эшелона к эшелону защита
дополняется новыми мерами и средствами защиты и тем
самым усиливается.
Реализация указанных стратегий не всегда возможна в той или иной организации, предприятии из-за неприемлемых затрат финансовых, материальных или иных ресурсов. В этих условиях могут быть применены стратегии
выборочной защиты или дифференцированного контроля и
реакции.
Стратегия выборочной защиты основана на определении некоторого набора «ключевых» элементов системы
(аппаратных, программных компонентов, каталогов, файлов), относительно которых реализуются необходимые меры защиты, при этом угрозы иным ресурсам игнорируются. Такая неполная защита может оказаться ущербной, однако организация (предприятие) вынуждено использовать
такую стратегию из-за неприемлемых затрат при реализации иных стратегий.
Несколько отличается от стратегии выборочнойзащиты стратегия дифференцированного контроля и реакции, суть которой состоит, во-первых, в дифференциации
требований, предъявляемых к защите информации, обра589
батываемой в разных аппаратных и программных элементах системы (например, на сервере и в рабочих станциях),
к разным блокам информации в зависимости от ее содержания (например, к файлам базы данных, к исполняемым
файлам и т.п.), и в выборе соответствующих этим требованиям мер и средств защиты. Несмотря на то, что такая
стратегия является вполне корректной с точки зрения
обеспечения необходимого уровня защиты информации, ее
реализация сопряжена не только со сложностью формирования требований, но с корректным выбором и согласованием применения мер и средств защиты.
По направленности действий по защите различаются стратегии пресечения, обмана (отвлечения) и смешанные стратегии. Сегодня на практике в основном применяется стратегия пресечения, направленная на запрет выполнения любых несанкционированных действий с защищаемой информаций или с воздействием на ее носители и
средства обработки. Вместе с тем сегодня в связи с расширяющимся внедрением технологий виртуализации стали
активно прорабатываться способы защиты, основанные на
стратегии обмана – отвлечения нарушителя на ложный информационных ресурс. Применение такой стратегии связывается, прежде всего, с созданием ЛИС (см. раздел 5).
В настоящее время выбор стратегии защиты не выделяется в отдельную процедуру. Это объясняется непроработанностью общей методологии защиты с использованием разных стратегий, скудностью применяемых мер и
средств защиты, реализующих стратегию обмана нарушителей, однако знать о перспективах применения разных
стратегий защиты нужно и важно для практики.
С учетом выбранной стратегии формируется состав
СЗИ. Обобщенный состав возможных подсистем СЗИ приведен на рис. 6.2.
590
Система защиты информации
Подсистема управления
Функциональные подсистемы
Подсистема разграничения доступа из внешних
сетей (межсетевого экранирования, реализации
прокси-функций и др.)
Подсистема регистрации, учета и внутреннего контроля (аудита)
Подсистема разграничения доступа
(управления доступом) внутри сети
(идентификации, аутентификации, изолирования модулей и др.)
Подсистема обнаружения вторжений
Подсистема защиты информации от утечки во
внешние сети (DLP-системы)
Подсистема сигнализации и блокирования
Подсистема антивирусной защиты
Подсистема резервирования и восстановления
Подсистема тестирования и анализа защищенности
Подсистема контроля вскрытия аппаратуры
Подсистема отвлечения на ложный информационный ресурс (ложная информационная система ЛИС)
Подсистема контроля вскрытия аппаратуры
Подсистема защиты трафика
Рис. 6.2. Состав подсистем системы защиты информации
591
При построение системы защиты возможна реализация нескольких принципов построения (управления системой защиты): централизации построения (управления),
децентрализации построения (управления) и смешанный
принцип (рис. 6.3). Следует отметить, что сегодня в основном реализуется на практике лишь принцип централизации
построения СЗИ. Крайним случаем использования этого
принципа является создание терминальных систем (см.
раздел 6.2). Децентрализация построения систем защиты
приводит к созданию так называемых многоагентных систем (см. раздел 6.3).
Наконец весьма важным для построения СЗИ является то, какие принципы разграничения доступа к информации должны быть реализованы в ней. Наряду с упомянутыми ранее дискреционным и мандатными принципами
(см. раздел 4), могут реализовываться и иные принципы,
краткая характеристика которых приведена на рис. 6.4.
В этой связи необходимо отметить, что развитие
принципа изолирования программной среды объективно
привело к появлению технологий создания доверенных
сред.
Под доверенной вычислительной средой понимается вычислительная среда, в которой выполняются заданные требования разграничения доступа и обеспечивается
определенный уровень доверия к тому, что в ней не могут
выполняться какие-либо несанкционированные действия
лицом или процессом, не допущенным к этой среде.
592
Подсистема защиты трафика
Принцип централизованного управления
системой защиты (построения системы
защиты)
Управление осуществляется программными компонентами, установленными в каждом агенте системы, реализующем функции безопасности одного или нескольких
средств защиты в ИС
Пр
Принцип децентрализованного управления системой защиты (построения системы защиты)
Уп
Управление осуществляется с консоли администратора сети или администратора безопасности
всеми управляемыми средствами и подсистемами
защиты в ИС
Уп
Принцип централизованно-децентрализованного
управления системой защиты (построения системы защиты)
Рис. 6.3. Принципы построения системы защиты информации (управления системой
защиты информации)
593
Дискреционный принцип
Мандатный (полномочный) принцип
Ролевой принцип
ДИСКРЕЦИОННЫЙ ПРИНЦИП – принцип доступа, при котором осуществляется доступ наименованных субъектов к наименованным объектам и для каждой пары (субъект - объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются
санкционированными для данного субъекта к данному ресурсу (объекту)
МАНДАТНЫЙ ПРИНЦИП – принцип доступа на основе присвоения субъектам и объектам классификационных
меток, отражающих место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток
субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий
РОЛЕВОЙ ПРИНЦИП – принцип доступа, при котором права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа
Принцип разграничения
информационных потоков
ПРИНЦИП РАЗГРАНИЧЕНИЯ ПОТОКОВ – принцип доступа, основанный на разделении всего множества потоков информации между объектами ИС на 2 непересекающихся множества: множество благоприятных и множество неблагоприятных потоков с целью исключения получения или передачи неблагоприятных потоков
Принцип изолирования
среды
ПРИНЦИП ИЗОЛИРОВАНИЯ СРЕДЫ – принцип доступа, реализуемый путем изоляции субъектов ИС друг от
друга и путем контроля порождения новых субъектов таким образом, чтобы в системе могли активизироваться
только субъекты из предопределенного списка. При этом должна контролироватьсяцелостность объектов системы
Рис. 6.4. Принципы разграничения доступа к информации
594
В доверенной среде имеет место:
доверенность конфигурации и настройки;
целостность всех элементов;
подконтрольность всех действий;
документированность всех событий;
доверенное окружение и субъекты;
доверенные правила разграничения доступа,
обеспечения целостности и доступности информации (политики безопасности);
доверенная аппаратная платформа (Hard);
доверенная программная платформа (Soft);
доверенные каналы передачи информации.
В настоящее время развитие технологий создания
доверенных сред является одним из важнейших направлений совершенствования способов защиты информации в
отдельных компьютерах, в компьютерных системах, в системах связи различного назначения. Целью формирования
таких сред является создание не только «безопасного компьютера», но и защищенной ИТКС, в которой аппаратное,
программное обеспечение, а также все процессы связи
проверяются и защищаются. Слово «связь» здесь следует
понимать в широком смысле, поскольку сюда же относятся
взаимодействия между различными компонентами программного обеспечения.
Попытки создания доверенных вычислительных
сред стали предприниматься уже в период создания первых компьютеров, на которых стала обрабатываться информация ограниченного доступа. Особенно остро проблема обеспечения доверия к вычислительной среде встала
с развитием сетевых технологий в 70-х годах прошлого
века. Ее решение первоначально связывалось с идентификацией (проверкой имени) и аутентификацией (проверкой
595
подлинности) пользователей, а также с применением криптографии в интересах шифрования паролей и данных. Сегодня активно развиваются и иные технологии, связанные
с созданием эффективных средств контроля доступа на основе применения, например, биометрии, терминальных
систем с ограниченной операционной средой пользователей, программных и аппаратных (программно-аппаратных)
доверенных модулей, обеспечивающих проверку допустимости выполнения операций пользователем и др. Если такая технология связывается с архитектурными изменениями программно-аппаратной среды и направлена на обеспечение доверия к ней, то такую технологию относят к технологии создания доверенной вычислительной среды.
Сегодня практически отсутствует классификация
технологий создания доверенных сред. Вместе с тем имеется достаточно много публикаций, раскрывающих их содержание и позволяющих выделить некоторые признаки
для систематизации и классификации рассматриваемых
технологий. В связи с этим ниже приводится один из вариантов такой классификации основных технологий создания
доверенных вычислительных сред по следующим четырем
признакам:
платформе реализации (аппаратной или программной);
основному способу разграничения доступа в вычислительную среду (на основе контролируемых
признаков, осуществления идентификации и аутентификации пользователя, процессов и устройств и т.п.);
степени зависимости от операционной системы,
реализующей вычислительную среду;
уровню архитектуры доверенной вычислительной среды (на уровне сети, сетевого сервиса, ра596
бочей станции или отдельного компьютера, прикладной программы, ядра операционной системы, процессора компьютера).
Общая классификационная схема современных технологий создания доверенных вычислительных сред приведена на рис. 6.5.
При создании доверенных сред находят широкое
применение меры и средства, рассмотренные в разделе 5, в
том числе электронные замки, средства доверенной загрузки программные и программно-аппаратные комплексы
разграничения доступа, криптографические и биометрические средства аутентификации и т.д. Особенно активно
развиваются технологии создания доверенных сред с использованием приемов криптографии.
Прорыв в этих технологиях связывают, прежде всего, с созданием доверенного платформенного модуля
(Trusted Platform Module, TPM) – специального чипа (от
англ. chip — тонкая пластинка), то есть микросхемы, устанавливаемой на материнской плате, который активизируется в процесс загрузки системы.Базовые принципы работы TPMсводятся к следующему. В первую очередь при
включении компьютера он проверяет состояние системы.
Модули TPM обеспечивают расчет так называемой
хэш-функции (hash) для системы с помощью специального
алгоритма (SHA1 - Secure Hash Algorithm). Значение хэшфункции получается из информации, полученной от всех
ключевых компонентов каждого компьютера системы (например, видеокарты, процессора, дисплея, клавиатуры и
т.д.) в сочетании с программными элементами (операционной системой, среди всего прочего).
597
Технологии создания доверенных
вычислительных сред
По платформе реализации
Технологии, основанные
на создании программных средств
Технологии, основанные
на создании аппаратных
(программноаппаратных) средств
На независимой аппаратной платформе
На аппаратной платформе компьютера, в
котором реализуется
доверенная среда
По степени зависимости от
операционной системы
По основному способу разграничения
доступа в вычислительную среду
Технологии, основанные на идентификации, аутентификации объектов и субъектов доступа и оценке целостности программной среды и данных
Технологии, основанные на применении программных и программно-аппаратных средств,
управляемых определенной операционной системой в составе защищаемого компьютера (компьютерной сети)
Технологии с использованием электронных идентификаторов и паролей без криптографических преобразований
Технологии, основанные на применении программных и программно-аппаратных средств,
функционирующих на собственной программной или программно-аппаратной платформе
Технологии контроля доступа с использованием криптографии
Технологии с использованием биометрических параметров субъектов доступа
Технологии многофакторного контроля
доступа с использованием сочетания
электронной идентификации, аутентификации, проверки целостности программного и аппаратного обеспечения и биометрии
Терминальная технология типа "Тонкий
клиент"
Технологии, основанные на тотальном
контроле функций, выполняемых в вычислительной среде (технология "монитора безопасности"), и комплексные технологии
Рис. 6.5. Классификация технологий создания доверенной вычислительной среды
598
По уровню архитектуры доверенной вычислительной среды
На уровне на уровне сети
компьютерной сети (сервера, сетевого сервиса)
На уровне рабочей станции
или отдельного компьютера
На уровне прикладной программы
На уровне ядра операционной системы, процессора
компьютера
Компьютер будет стартовать только в проверенном
состоянии, когда TPM получит правильное значение хэша.
В проверенном состоянии операционная система получает
доступ к корневому ключу шифрования (encrypted root
key), который требуется для работы приложений и доступа
к данным, защищённым системой TPM. Если при загрузке
было получено неправильное значение хэша, то система
считается недоверенной, и на ней будут работать только
обычные, свободные файлы и программы.
Насущная необходимость разработки и стандартизации решений по архитектуре доверенной среды привела
к появлению за рубежом организации Trusted Computing
Group (TCG). Данная организация разрабатывает и продвигает открытые спецификации промышленного стандарта,
определяющего доверенные модули, их программные интерфейсы, а также спецификации по трем направлениям:
по доверенным рабочим станциям;
по доверенным серверам;
по доверенному сетевому взаимодействию (TrustedNetConnection-TNC).
При этом возможности доверенной платформы не
ограничены одним компьютером. Область применения
технологии доверенной вычислительной среды должна охватывать и сетевые соединения, устройства ввода, накопители и др. В качестве расширений «доверенного платформенного модуля» могут использоваться устройства безопасности вроде считывателя отпечатка пальцев или радужной оболочки глаза и др.
Применяются и специальные приемы проектирования интегральных схем: «запутывание» топологии слоев,
усложняющее анализ функций элементов микросхемы, а
также шифрование данных, хранящихся в памяти и передающихся по шинам.
599
Ряд технологических особенностей чипов безопасности специально не разглашается компаниямипроизводителями, чтобы уменьшить вероятность взлома
даже в том случае, когда для этого применяются современные методы анализа функционирования микросхем и
дорогостоящее оборудование.
В настоящее время TCG объединяет множество
компаний, в том числе поставщиков платформ персональных компьютеров, операционных систем и «доверенных
платформенных модулей». Модули TPM выпускают, в частности, компании Atmel, Infineon, National Semiconductor
и STMicroelectronics. До последнего времени TCG занималась разработкой спецификаций TPM для персональных
компьютеров. В России также активно занимаются внедрением TPM, например, компании «Элвис+», «Анкад»,
корпорация «Крок» и др.
Следующим этапом развития концепции TPM стало
разработка технологии под названием Execute Disable Bit
(XD) у компании Intel, Non Execute (NX) у компании AMD
и Data Execution Protection (DEP) у Microsoft. Эта технология защищает даже от атак типа «Отказ в обслуживании»,
реализуемых, например, путем переполнения буфера: память разделяется на области, из которых может выполняться код и из которых выполнение запрещено. Концепция доверенных вычислений (Trusted Computing) является
продуманным технологическим подходом, который обеспечивает разумные решения по парированию многих рисков нарушений безопасности в информационных системах.
Указанные технологии сегодня постепенно перерастают в
более сложные технологии типа LaGrande (Intel) и Presidio
(AMD), о разработке которых стали писать еще в начале
2000-х годов.
Принципы, на которых базируются технологии типа
LaGrande (LT), сводятся к следующему.
600
Во-первых, требуется защищенное исполнение всех
компонентов системы, причем все компоненты должны
друг друга узнавать. При этом реализуется принцип разделения доменов. Защищенное исполнение позволяет отделить от других ресурсы, используемые одним приложением: исполнительную часть, страницы в памяти и устройства, к которым обращается приложение.
Во-вторых, эта идентификация должна поддерживать автоматическую реконфигурацию платформы. Таким
образом, можно реализовать совместимость с любой платформой. Кроме того, информация об идентификации
должна надежно храниться, легко проверяться. Все эти
функции в технологии LT выполняет модуль TPM, который также имеет защищенное исполнение. Информация о
конфигурации системы в TPM легко обновляется и позволяет судить о том, какие элементы системы имеют защищенное исполнение и, соответственно, какие части приложения защищены. Создается своеобразная «кирпичная
стена», которая отделяет защищенные ресурсы приложения от остальных ресурсов. При выполнении операций
информация в ТРМ сравнивается с конфигурацией платформы, и, если они не совпадают, то защищенная информация оказывается недоступной.
Третьей составляющей технологии LT является само «опечатанное» хранение информации. «Опечатанное»
хранение состоит из процесса идентификации и шифрования. «Опечатанные» данные могут быть доступны, если
только необходимая для этого информация присутствует в
ТРМ.
По сути, такие технологии в определенной мере
реализуют идею создания так называемого «монитора
безопасности». Идеи создания такого «монитора» неоднократно высказывались в научной литературе и применительно к отдельному компьютеру основывались на созда-
601
нии доверенного ядра операционной системы, параллельного основному ее ядру и обеспечивающего полный контроль обращений к основному ядру, проверку их допустимости в соответствии с установленными правилами и условиями. Эта идея получила развитие и для сетевых технологий, поскольку передача и прием сообщений реализуются операционными системами хостов.
В настоящее время ведущими компаниями разрабатываются и предлагаются расширения механизмов сетевой
безопасности систем, связанные с проверкой параметров
операционной платформы и приложений. Существуют
различные механизмы проверки клиентов перед предоставлением доступа к защищаемой сети, например, в архитектурных решенияхкомпании Cisco -NAC6и компании
Microsoft - NAP7 .
И в том, и в другом решении программноаппаратная платформа клиентских приложений содержит
внутри чипа безопасности параметры целостности платформы, подписанные закрытым ключом. При первичном
обращении к сегменту сети с корпоративными серверными
приложениями сервер доступа идентифицирует и аутентифицирует платформу по сертификату открытого ключа
платформы и проверяет переданные ему по защищенному
протоколу параметры целостности платформы. Если идентификация, аутентификация и проверка целостности прошла успешно, то сервер доступа позволяет клиентскому
приложению войти в серверный сегмент и работать с серверными приложениями. При неуспешной идентификации
и аутентификации доступ не предоставляется. При неуспешной проверке целостности возможны различные варианты, в том числе предоставление ограниченного доступа.
6
7
Network Admission Control
Network Access Protection
602
В этом случае проводится анализ причин нарушения целостности, по результатам анализа могут проводиться различные корректирующие мероприятия, заключающиеся в
установке обновлений, «заплат» существующего клиентского программного обеспечения, антивирусная проверка
и очистка, а также другие процедуры. После приведения
клиентской платформы в требуемое состояние осуществляется проверка новых параметров целостности, запись их
в чип безопасности и их передача по защищенному протоколу на сервер доступа. В настоящее время пока отсутствует типовая программная реализация спецификации межсетевых взаимодействий. Некоторые проблемы, которые
сегодня пытаются решить с применением новых технологий создания доверенных вычислительных сред, показаны
в табл. 6.1.
Таким образом, сегодня активно развиваются перспективные технологии защиты информации, при этом ни
один из разработчиков не утверждает, что с их внедрением
проблемы защиты информации будут полностью решены.
Вместе с тем, в интересах повышения защищенности
ИТКС при проектировании систем защиты информации
необходимо учитывать современные тенденции развития
новых технологий защиты.
603
Таблица 6.1
Проблемы обеспечения безопасности и пути их решения
с применением технологий создания доверенных
вычислительных сред
Проблема
Решение
Возможность запуска
пользователем вредоносного приложения и
взлома защищенного
приложения еще до
запуска
Возможность
внедрения
в
работающую
программу чужеродного кода
Возможность
получения
прямого
доступа к памяти
приложения
и,
соответственно,
возможность
кражи
данных
либо
изменения
работающей программы
Проверка
подлинности
запускаемого
приложения
(«защищенный
старт»)
В общем виде не
существует,
но
можно
предотвратить
наиболее
«популярные»
атаки
В
Unix-системах
атака затруднена.
В
Windowsсистемах
защита
обеспечивается
запуском
приложения
в
специальном
изолированном
домене
(«защищенное
выполнение»)
Возможность
В
Unix атака заперехвата
и труднена.
модификации
В Windows защита
вводимых
обеспечивается
пользователем
созданием
данных, атака путем специального
имитации
действий защищенного
пользователя
канала ввода
604
Аппаратная
реализация
TPM + операционная система с
поддержкой LT
Технология Execution Protection
(непосредственно
к LaGrande не
относится)
Изменения
в
процессоре
и
контроллере
памяти; ОС с
поддержкой LT и
специальная
BIOS с поддержкой доменов
Изменения
в
контроллере USB
и
устройствах
ввода — мыши и
клавиатуре; поддержка BIOS и
ОС с поддержкой
LT
Продолжение табл. 6.1
Проблема
Возможность
перехвата
и
модификации
выводимых
пользователю данных
Возможность
маскировки
хакерского
приложения
под
нормальную
программу
Возможность
добавления в систему
специального
хакерского
оборудования
либо
неправильной
настройки оборудования.
Возможность
кражи информации (в
другой компьютер)
Возможность
атаки
при
возникновении
нештатных ситуаций в
программе
Решение
Аппаратная
реализация
В Unix атака за- Изменения
в
труднена.
контроллере AGP
В Windows защита и в видеокарте;
обеспечивается
поддержка BIOS
созданием
и ОС с поддержспециального
кой LT
защищенного
канала
вывода
Специальные
TPM
+
механизмы
специальные
проверки
сервисы
или
подлинности
устройства аттезапущенных
стации
приложений
Проверка
TPM
подлинности
и (непосредственно
корректной работы к LaGrande не
компьютера,
на относится)
котором
выполняется
приложение
В Unix атака за- Ряд специальных
труднена.
В решений в LT
Windows требуется
усиление защиты
605
6.2. Технология терминального доступа
и ее применение в интересах защиты информации
Технология терминального доступа или технология
«Тонкий клиент» появилась, по сути, на заре развития сетевых технологий. Прообразом «Тонкого клиента» являются терминалы первых вычислительных машин. Вначале
весь процесс непосредственного ввода-вывода информации происходил на «терминалах» — специализированных
устройствах, представляющих собой клавиатуру, дисплей
(буквенно-цифровой) и приспособление для ввода перфокарт. Эти терминалы были подключены непосредственно к
центральному компьютеру и не выполняли никаких вычислений, они лишь передавали данные для обработки на
центральную машину и отображали на дисплее полученный результат. Учитывая большой объем требуемых вычислений, эта схема организации работы позволяла максимально использовать невысокую вычислительную мощность первых компьютеров. Пока человек, сидящий за
терминалом, разбирался в полученных результатах, вносил
исправления в программу и заново набивал ее на перфокарту, компьютер выполнял задачу, пришедшую с другого
терминала. Как ни странно, бурное развитие вычислительной техники привело к тому, что современные офисные
персональные компьютера стали использовать свои ресурсы не более чем на 20%. Это обусловило поиски решений,
направленных на повышение эффективности использования компьютеров, снижение ненужных затрат времени и
ресурсов компаний, организаций и предприятий. Одним из
решений стало использование терминальной технологии,
при которой приложения развертываются, управляются и
запускаются полностью на сервере.
Суть технологии состоит в следующем. Специализированная программа, называемая клиентом и выпол-
606
няющаяся на терминале (сам терминал называют «тонким
клиентом»), подключается к серверу, который называют
«терминальным сервером», и получает от него картинку
«рабочего стола» или запущенного приложения. Далее на
терминальный сервер передаются все перемещения мыши
и нажатия клавиатуры, а сервер работает так, как будто эти
мышь и клавиатура подключены прямо к нему. Информация, отображаемая на виртуальном дисплее такого сервера,
передается на терминал, причем не вся, а только изменения, что позволяет сильно снизить нагрузку на локальную
сеть или модемное соединение. Таким образом, если пользователь хочет работать с программой, он запускает ее непосредственно на сервере и эта программа использует ресурсы сервера, а на маломощный клиентский компьютер
передается только картинка, то есть схема работы «тонкого клиента» очень похожа на схему работы первых терминальных сетей.
К выгодным сторонам технологии "Тонкий клиент"
относятся легкое управление, простой доступ, производительность и значительное повышение защищенности системы от внутреннего нарушителя – пользователя системы.
При использовании технологии "Тонкий клиент" вся информация хранится только на сервере, что делает появление в корпоративной сети вредоносных программ, вызванное случайными или намеренными действиями пользователя, крайне маловероятным. Кроме того, на терминалах
могут быть применены эффективные средства контроля
физического доступа, такие как считыватели смарт-карт,
средства биометрической аутентификации пользователей и
др., что избавляет персонал от запоминания трудных и
длинных паролей. При этом отсутствие локальных носителей информации не позволяет персоналу делать копии документов на съемные носители информации, перечень
программ, доступных пользователям, жестко ограничен,
607
что не позволяет пользователям выполнять недопустимые
операции в операционной среде сети.
Конечно, безопасность информации, обрабатываемой в информационной системе, созданной по технологии
«Тонкий клиент», в этом случае сильно зависит от того,
как защищен сервер системы. Поэтому основные усилия
при защите информации в таких системах сосредоточиваются на защите серверов.
Имеется несколько вариантов построения ИТКС с
использованием технологии «Тонкий клиент», когда:
а) все вычисления выполняются полностью на терминальном сервере, то есть все приложения клиентов выполняются на этом сервере (рис. 6.6);
б) вычисления распределяются между серверами
приложений, которыми управляет терминальный сервер,
имеющий эксклюзивную связь с терминалами (рис. 6.7).
Рис. 6.6. Вариант построения терминальной
системы с одним терминальным сервером
608
Рис. 6.7. Вариант построения терминальной системы
с терминальным сервером и несколькими серверами
приложений
Кроме того, возможен вариант, когда пользователи
могут подключаться к сетям общего пользования (например, Internet) с полным контролем такого подключения и
контролем получаемой информации со стороны терминального сервера и серверов-посредников (рис. 6.8).
609
Рис. 6.8. Вариант построения терминальной
системы с подключением к сети общего пользования
Как видно из изложенного, технология «Тонкий
клиент» базируется на трех основных составляющих:
1) стопроцентное выполнение вычислительных задач на сервере;
2) многопользовательская операционная система;
3) распределение отображения пользовательского
интерфейса приложений (пользователи имеют возможность одновременно заходить в систему и выполнять приложения на сервере в разных, защищенных друг от друга
сессиях сервера).
Развертывание сети по технологии «Тонкий клиент»
существенно отличается от развертывания по обычной
610
технологии на базе персональных компьютеров. В последнем случае последовательность действий администратора
выглядит примерно следующим образом: на каждый компьютер необходимо установить и сконфигурировать целый
ряд специальных программных средств, настроить системы управления политиками, антивирусного контроля и
контроля безопасности и т.д., что является достаточно
сложным и дорогостоящим процессом в освоении и сопровождении. Несмотря на наличие утилит, облегчающих работу администратора, всю настройку придется производить столько раз, сколько есть компьютеров в сети. По
сравнению с этим процесс настройки сети, построенной по
технологии «Тонкий клиент», является намного более простым, так как он централизован и выполняется на сервере.
Набор и конфигурация программных продуктов под конкретного пользователя определяются записями в профиле
пользователя. Администрирование этих записей возможно
с единого (в том числе и удалённого) рабочего места, то
есть настройка программного обеспечения непосредственно на рабочих местах пользователей не требуется. Администратор определяет, какие приложения будут доступны
пользователям, контролирует хранимые данные, управляет
распределением ресурсов, имея возможность отдавать критическим задачам больше вычислительной мощности с
тем, чтобы обеспечить их выполнение в срок. Так как все
программы запускаются на сервере, они не привязаны ни к
какому конкретному рабочему месту, а могут «перемещаться» вместе с пользователем (точнее, вместе с его
смарт-картой) с одного терминала на другой. Эти технологии часто используются для совместной работы: один сотрудник может показать другому на его рабочем месте документы или таблицы, над которыми он работает: для этого достаточно лишь вставить его персональную карточку в
терминал. Пользователи имеют возможность покидать
611
свое рабочее место, не закрывая приложений, не выходя из
системы, а просто вынимая свою смарт-карту из устройства. Устройство после этого может быть использовано другим сотрудником. Пользователь может вставить свою
смарт-карту в любое другое свободное устройство в сети,
получить доступ к своим приложениям и продолжить работу с того места, где он прервался, без длительного ожидания загрузки, проверки на вирусы и прочих атрибутов
входа в работу персонального компьютера.
Но, как и у любой технологии, у технологии «Тонкий клиент» есть свои недостатки, в том числе в области
обеспечения безопасности информации. Один из основных
— повышенные требования к безопасности терминального
сервера. Как отмечалось выше, сосредоточение на терминальном сервере практически всего прикладного программного обеспечения и баз данных, полная зависимость
работы терминалов от работоспособности сервера обусловливают повышенные требования к нему, поскольку
его отказ приводит к неработоспособности всей сети. Эта
проблема решается использованием нескольких серверов и
балансировкой нагрузки между ними.
612
6.3. Многоагентные системы защиты и перспективы
их применения
Большинство существующих СЗИ в информационных системах в основном не являются адаптивными, то
есть они функционируют с теми первоначальными конфигурациями и настройками, которые в них были заложены
при установке независимо от последующих изменений в
составе угроз безопасности информации, изменений в самой ИТКС, а также в составе и содержании защищаемой
информации. Исключение составляют некоторые подсистемы, такие как системы защиты от вредоносных программ и системы обнаружения вторжений, которые в определенной мере предназначены для адаптивный реакции
на нарушения безопасности информации и, кроме того,
сами могут содержать в себе реализованные адаптивные
алгоритмы функционирования в зависимости от содержания угроз. Однако даже эти подсистемы не имеют возможности самообучения и оперируют только заложенными в
них заранее правилами. Кроме того, большая часть подсистем и средств в составе систем защиты вообще не являются адаптивными, управление защитой в динамике изменения обстановки (то есть изменений в самой ИТКС, в
составе угроз и т.д.) сегодня практически отсутствует. Это
приводит к неминуемому снижению эффективности защиты. Работы по созданию адаптивных систем защиты сегодня активно ведутся во многих странах.
Одним из интенсивно развиваемых направлений совершенствования СЗИ является переход при создании перспективных адаптивных СЗИ к децентрализованному
принципу их построения или к созданию так называемых
многоагентных систем защиты. Создание таких систем является адекватным ответом на, как правило, разветвленный
и многоуровневый характер процессов реализации угроз в
613
распределенных информационных системах. Важным аспектом, учитываемым при создании многоагентных систем, является также то, что сегодня системы защиты являются уникальными для конкретной ИТКС, а это вынуждает при проектировании систем защиты для других ИТКС
каждый раз проводить их разработки практически заново с
учетом особенностей построения и функционирования каждой конкретной ИТКС. Особенностью многоагентных
систем является то, что при децентрализованном принципе
их построения достаточно просто парируются сложности
создания системы защиты, связанные с наличием большого многообразия вариантов архитектур построения информационных систем.
Основой многоагентных систем являются агенты –
программные или программно-аппаратные компоненты,
реализующие предопределенные функции безопасности,
взаимодействующие между собой, обменивающиеся сообщениями на языке высокого уровня для принятия согласованных решений, адаптирующиеся к реконфигурации
сети, изменению трафика и новым видам атак и иных нарушений безопасности информации, использующие алгоритмы обучения, инициализирующие деятельность других
агентов и решающие, таким образом, весь необходимый
комплекс задач защиты информации в информационной
системе.
Агенты могут быть как статическими (закрепленными за определенным хостом), так и мобильными (перемещаемыми в рамках защищаемой ИТКС).
Некоторые типы агентов приведены на рис. 6.9.
Краткая их характеристика сводится к следующему.
614
Агенты-демоны
Агенты защиты
Агенты
подавления
и пресечения
Агенты оценки повреждений, резервирования и восстановления
целостности
Агенты разграничения
физического
доступа
Агенты
обнаружения нарушений
Мета-агенты
Агенты анализа
защищенности
Агенты обнаружения нарушений в кодах программ
Агенты регистрации протоколирования и аудита
Агенты выявления уязвимостей
нарушений
Агенты выявления
источников
угроз
Агенты обнаружения несанкционированных
действий
Агенты
антивирусной защиты
Агенты обнаружения
вторжений
Каналы обмена сообщениями
Рис. 6.9. Структура многоагентной системы защиты информации
615
Агенты
обучения
Базовыми агентами для многоагентной СЗИ являются агенты защиты, мета-агенты и агенты-демоны.
В составе агентов защиты важнейшую роль играют
агенты обнаружения нарушений. Все действия субъектов
и объектов регистрируются этими агентами. В результате
обработки сообщений, формируемых в защищаемой информационной системе, агенты обнаружения нарушений
могут прекращать информационные процессы, информировать администратора безопасности и уточнять правила
разграничения доступа. При этом отдельно могут выделяться из них агенты выявления источников угроз, обнаружения несанкционированных действий пользователей,
обнаружения вторжений, что обусловлено необходимостью их сопряжения с базами сигнатур сетевых атак. По
аналогичным причинам могут выделяться агенты антивирусной защиты, однако они не только обнаруживают вредоносные программы или последствия инфицирования, но
и осуществляют перемещение вредоносных программ в
карантин, лечение инфицированного программного обеспечения.
Агенты обнаружения нарушений предназначены
для обнаружения НСД в информационную систему, к компонентам системы или к конкретным каталогам и файлам,
определения отклонений действий зарегистрированных
пользователей от предписанного порядка, последствием
которых может стать НСД к информации и нарушение ее
целостности, а также для поиска недокументированных
функций и ошибок в составе аппаратного и программного
обеспечения. Именно в таких агентах реализуются, например, известные методы обнаружения сетевых атак.
Эти агенты совместно с агентами регистрации, протоколирования и аудита должны выполнять все функции
системы регистрации и учета, идентифицировать наличие
616
сценариев НСД и, кроме того, осуществлять статистическую обработку данных о поведении субъектов по отношению к объектам, в соответствии с которой определяются
отклонения от нормального поведения и признаки НСД.
Агенты обнаружения нарушений могут также генерировать отчеты о поведении субъектов защищаемой информационной системы и передавать их администратору безопасности.
Агенты разграничения физического осуществляют
программный или программно-аппаратный контроль доступа пользователей в помещение, к аппаратуре, к сети и
т.д., в том числе с использованием биометрических
средств аутентификации.
Мета-агенты выполняют управление процессами
защиты информации, включая координацию действий других агентов и разрешение конфликтов между ними.
Агенты обнаружения нарушений совместно с метаагентами образуют подсистему обнаружения нарушений и
решают задачи обнаружения и/или классификации нарушений на основании информации, регистрируемой «простыми» агентами-демонами, ассоциированными с различными компонентами программного обеспечения (с сетевыми протоколами, операционной системой, прикладными
программами), а также получаемой от агентов защиты.
Агенты-демоны анализируют сообщения безопасности, циркулирующие в сети и передаваемые агентами.
Они информируют систему о поступающих сообщениях и
выполняют их первичную обработку. Информация от демонов поступает к одному из агентов защиты, которые обрабатывают эти сообщения и активизируют других агентов
(либо напрямую, либо через мета-агента).
Обработка сообщений используется для обучения
посредством использования агентов обучения. Эти агенты
617
используют доступную информацию о нормальных функциональных процессах, возможных аномалиях, каналах и
сценариях НСД. Агенты обнаружения нарушений взаимодействуют с агентами подавления нарушителя или иного
источника угрозы, а также с агентамиоценки повреждений
и восстановления целостности данных.
Координация деятельности агентов каждого хоста
ИТКС частично осуществляется мета-агентом соответствующего хоста. Для организации взаимодействия агентов,
расположенных на различных хостах, в случае обнаружения нарушений также используется мета-агент.
Основные функции мета-агента хоста связаны с
управлением системой обнаружения нарушений и обработкой информации, получаемой от агентов других хостов
сети и мета-агентов информационной системы в целом.
Сообщения, посылаемые мета-агентом хоста, могут формироваться по инициативе администратора или быть реакцией мета-агента на сообщения, полученные от агентов
хоста, мета-агентов других хостов.
Компонент архитектуры многоагентной системы,
ассоциированный с некоторым хостом, может состоять из
одного или нескольких экземпляров агентов каждого типа,
специализированного на выполнении некоторой функции
безопасности.
Зарубежными фирмами в настоящее время разработаны несколько многоагентных систем, таких как NFR
(networkflightrecorder) и NETPROWLER фирмы Symantec,
EMERALD
(EventMonitoringEnablingResponsestoAnomalousLiveDisturbances) лаборатории информатики Стэндфордского исследовательского института и др. Вместе с
тем многие вопросы практического применения таких систем пока не решены. В частности не оценено влияние многоагентной системы на загрузку работы сети, отсутствует
618
методология оптимизации распределения функций между
агентами системы и обоснования состава таких агентов в
системе в зависимости от характеристик защищаемой компьютерной сети и др. Отечественных разработок таких
систем пока нет, однако исследования в направлении их
создания ведутся. Достоинствами таких систем являются:
повышение оперативности выполнения задач защиты информации в силу распараллеливания
функций;
способность продолжать функционировать, когда
часть компонент системы стали разрушенными
или изолированными, то есть робастность и отказоустойчивость системы защиты;
возможность быстрой реконфигурации СЗИ за
счет перераспределения функций агентов системы, перемещения агентов по элементам сети.
Многоагентные системы имеют реальную возможность интегрировать в себе самые передовые достижения
теории искусственного интеллекта. Можно без сомнений
утверждать, что появление этого направления свидетельствует о стремлении достигнуть принципиально нового
уровня защиты информации, а темпы его развития дают
основание предсказывать ему ведущую роль в ближайшие
десятилетия в широком круге приложений.
619
ЗАКЛЮЧЕНИЕ
Данное пособие написано в интересах подготовки
специалистов по специальностям «Информационная безопасность телекоммуникационных систем», «Информационная безопасность автоматизированных систем» и дисциплине «Технология проектирования систем защиты информации в информационно-телекоммуникационных системах».
В пособии содержится минимально необходимый
объем знаний для разработки систем защиты информации
для ИТКС и оно не является инструкцией для разработчиков.
Основное внимание в нем уделено вопросам защиты информации от угроз, связанных с несанкционированным доступом, которые сегодня являются наиболее опасными для ИТКС. Некоторые аспекты проектирования современных ИТКС в данном пособии вообще не затронуты,
например, вопросы защиты информации в ИТКС, создаваемых с использованием новых информационных технологий: суперкомпьютерных технологий, технологий «облачных» вычислений, беспроводных технологий и др. Однако без изложенных в пособии знаний весьма сложно себе представить специалиста по созданию систем защиты
информации в ИТКС.
В пособии учтены самые последние требования
нормативных и правовых документов, касающихся регулирования деятельности в области защиты информации в
информационных системах. Вместе с тем, нормативноправовая база сегодня очень быстро развивается и трудно
определить, какие требования из изложенных и в какие
сроки будут меняться. Однако базовые знания, раскрытые
в данном пособии и определяющие как организацию, так и
620
техническое обеспечение систем защиты информации в
ИТКС, на мой взгляд, еще значительное время будут востребованы.
Автор надеется, что этот труд позволит в определенной мере устранить «пробел», связанный с отсутствием
современных учебных пособий, предназначенных для подготовки специалистов по проектированию ИТКС в защищенном исполнении.
621
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1.
Олифер, В. Г., Компьютерные сети. Принципы, технологии, протоколы [Текст]: учебник для вузов /
В. Г. Олифер, Н. А. Олифер. – 3-е изд. – СПб.: Питер, 2006.
– 958 с.
2.
Кульгин, М. Технологии корпоративных сетей. Энциклопедия [Текст] / М. Кульгин. – СПб.: Питер,
2000. – 704 с.
3.
http://citforum.ru/nets/protocols2/index.shtml.
4.
Ли, Т. Wicrosoft Windiws 2000. TCP/ IP. Протоколы и службы [Текст]: пер. с англ. / Т. Ли, Дж. Элвис. –
М.: СП ЭКОМ, 2003. – 624 с.
5.
СГА Информатика. 1006.02.2 Сети ЭВМ. 1.8.
Технология FDDI [Электронный ресурс]. – Режим доступа:
http://sga-informatika.ru/1006022/290-18-fddi-technology
6.
Основные характеристики технологии FDDI
[Электронный ресурс]. – Режим доступа: http://www.capdesign.ru/ksptp/3_5_1.htm
7.
Хендерсон, Л. Frame Relay. Межсетевое
взаимодействие: пер. с англ. / Л. Хендерсон, Т. Дженкинс.
– Киев: Век+, М.: Горячая линия – Телеком, ЭНТРОП.
2000. – 320 с.
8.
Мартин, Джеймс. Asynchronous Transfer
Mode. Архитектура и реализация АТМ: пер. с англ. /
Джеймс Мартин, Кэтлин Кэвин Чапмен. М.: ЛОРИ, 2000. –
213 с.
9.
Технология телекоммуникационных сетей
MPLS [Электронный ресурс]. – Режим доступа:
http://www.lessons-tva.info/archive/nov029.html
10.
ГОСТ 50922 - 2006. Защита информации.
Основные термины и определения. – М.: Стандартинформ,
2006. – 20 с.
622
11.
Герасименко, В. А. Защита информации в автоматизированных системах обработки данных [Текст] : в
2-х кн. / В. А. Герасименко. – М.: Энергоатомиздат, 1994. –
176 с.
12.
ГОСТ 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном
исполнении. Общие положения. – М.: Стандартинформ,
2014. – 27 с.
13.
ГОСТ 34.601 – 1990. Информационная технология. Комплекс стандартов на автоматизированные
системы. Автоматизированные системы. Стадии создания.
– М.: Стандартинформ, 2009. – 6 с.
14.
ГОСТ 34.602 – 1989. Информационная технология. Комплекс стандартов на автоматизированные
системы. Техническое задание на создание автоматизированной системы. – М.: Стандартинформ, 2009. – 12 с.
15.
ГОСТ Р 53114-2008. Защита информации.
Обеспечение информационной безопасности в организации. Основные термины и определения. – М.: Стандартинформ, 2009. – 16 с.
16.
ГОСТ Р ИСО 7498-2-99. Информационная
технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
– М.: Госстандарт России, 1999. – 36 с.
17.
ГОСТ Р ИСО/МЭК 15408-1,-2,-3 -2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
18.
Состав и содержание организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены приказом ФСТЭК
России от 18 февраля 2013 г. №21. [Электронный ресурс].
623
–
Режим
доступа:
http://fstec.ru/
component/attachments/download/561
19.
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Утверждены
приказом ФСТЭК России от 11 февраля 2013 г. № 17.
[Электронный ресурс]. – Режим доступа: http://fstec.ru/
component/attachments/download/566
20.
NationalVulnerabilityDatabase [Электронный
ресурс]. – Режим доступа: http://nvd.nist.gov/.
21.
Полное руководство по общему стандарту
оценки уязвимостей версии 2, вычисление оценки [Электронный
ресурс].
–
Режим
доступа:
http://www.securitylab.ru/analytics/356476.php .
22.
Медведовский, И. Д. Атака на Internet [Текст]
/ И. Д. Медведовский, В. Д. Семьянов, В. В. Платонов; под
научной редакцией проф. П. Д. Зегжды. – СПб.: НПО
«Мир и семья-95», 1997.
23.
Требования к защите персональных данных
при их обработке в информационных системах персональных данных. Постановление Правительства Россий Федерации от 1 ноября 2012 г. № 1119. [Электронный ресурс]. –
Режим доступа: http://www.rg.ru/ 2012/11/07/pers-dannyedok.html
24.
Лукацкий, А. В. Обнаружение атак [Текст] /
А. В. Лукацкий. – СПб.: БХВ - Петербург, 2001. – 611 с.
25.
Норткатт, С. Обнаружение вторжений в сеть
[Текст] / С. Норткатт, Д. Новак. – М.: ЛОРИ, 2001. – 384 с.
26.
Глушаков С.В. Секреты хакера: защита и
атака/ С.В. Глушаков, М.И.Бабенко, Н.С.Тесленко. – изд.
2-е и перераб. – М.: АСТ: АСТ Москва; Владимир: ВКТ,
2009. – 544 с. – (Учебный курс), с.365.
624
27.
Вирусная Энциклопедия, Антивирус Касперского OFF-LINE [Электронный ресурс]. – Режим доступа:
http://www.mediacenter.ru/shop/delo/vir_enc-avkas-1cd/.
28.
Жуматий, В. П. Угрозы программноматематического воздействия [Текст]: учеб. пособие / В. П.
Жуматий, С. А. Будников, Н. В. Паршин – Воронеж: ГУП
ВО «Воронежская областная типография – издательство
им. Е. А. Волховитинова», 2010. – 231 с.
29.
ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов.
Часть 1. Общие положения. – М.: Стандартинформ, 2009. –
8 с.
30.
ГОСТ Р 53113.2-2009 - Информационная
технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов.
– М.: Стандартинформ, 2010. – 8 с.
31.
Грушо, А. А. Скрытые каналы и безопасность информации в компьютерных системах [Текст] /
А.А. Грушо // Дискретная математика. –Т.10. –Вып. 1. –
1998. – С. 3-9.
32.
Indiana University of Pennsylvania [Электронныйресурс] / K. Reiland W. Oblitey, S. Ezekiel, J. Wolfe. –
Covert Timing Channels in Network and Multilevel Environments. – Режимдоступа: http://www.iup.edu/ WorkArea/linkit.aspx?LinkIdentifier=id&ItemID=60879
33.
Trusted Computer System Evaluation Criteria
(«The Orange Book») // DoD 5200.28-STD. –1993.
625
34.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 2008. [Электронный ресурс].
–
Режим
доступа:
http://fstec.ru/
component/attachments/download/289.
35.
Базовая модель угроз безопасности в ключевых системах информационной инфраструктуры. 2007.
[Электронный
ресурс].
–
Режим
доступа:
http://fstec.ru/normativnye-i-metodicheskie-dokumenty-tzi/
114-deyatelnost/tekushchaya/tekhnicheskaya-zashchitainformatsii/normativnye-i-metodicheskie-dokumenty/
spetsialnye-normativnye-dokumenty/379-bazovaya-modelugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotkev-informatsionnykh-sistemakh-personalnykh-dannykhvypiska-fstek-rossii-2008-god
36.
Хинчин, А. Я. Работы по математической
теории массового обслуживания [Текст] / А. Я. Хинчин. –
Физматгиз, 1962. – 564 с.
37.
Большаков, И. А. Прикладная теория случайных потоков [Текст] / И. А. Большаков, В. С. Ракошиц.
– М.: Сов. Радио, 1978. – 248 с.
38.
Тихонов, В. И. Марковские процессы [Текст]
/ В. И. Тихонов, М. А. Миронов. – М.: Советское радио,
1977. – 488 с.
39.
Сильверстов, Д. С. Полумарковские процессы с дискретным множеством состояний [Текст] / Д. С.
Сильверстов. – М.: Советское радио, 1980. – 272 с.
40.
Гнеденко, Б. В. Введение в теорию массового
обслуживания [Текст] : 2-е изд., перераб. и доп. / Б. В. Гнеденко, И. Н. Коваленко. – М.: Наука, 1987. – 336 с.
41.
Игнатьев, В. М. Сети Петри-Маркова [Текст]
/ В. М. Игнатьев, Е. В. Ларкин. – Тула: ТулГТУ, 1994. –
163 с.
626
42.
Тихонов, В. И. Статистическая радиотехника
[Текст] / В. И. Тихонов. – М.: Сов. радио, 1966. – 678 с.
43.
Справочник по теории вероятностей и математической статистике [Текст] / В. С. Королюк, Н. И. Портенко, А. В. Скороход, А. Ф. Турбин. – М.: Наука, 1985. –
640 с.
44.
Климов, Г. П. Стохастические системы обслуживания [Текст] / Г. П. Климов. – М.: Наука, 1966. –
241 с.
45.
Язов, Ю. К. Основы методологии количественной оценки эффективности защиты информации в компьютерных системах [Текст] / Ю. К. Язов. – Ростов-наДону: СКНЦ ВШ, 2006. – 274 с.
46.
Тарасов, В. Б. От многоагентных систем к
интеллектуальным организациям: философия, психология,
информатика [Текст] / В. Б. Тарасов. – М.: Эдиториал
УРСС, 2002. – 352 с.
47.
Петренко, С. А. Управление информационными рисками. Экономически оправданная безопасность
[Текст] / Петренко С. А., Симонов С. В. – М.: Компания
АйТи; ДМК Пресс, 2004. – 392 с.
48.
Руководящий документ. Гостехкомиссия
России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации – М.: Военное издательство, 1992. – 29 с.
49.
Руководящий документ. Гостехкомиссия
России. Руководящий документ. Средства вычислительной
техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации – М.: Военное издательство, 1992. – 21 с.
627
50.
Руководящий документ. Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114. [Электронный
ресурс].
–
Режим
доступа:
http://fstec.ru/component/attachments/download/294.
51.
ГОСТ Р 51624-2000. Защита информации.
Автоматизированные системы в защищенном исполнении.
Общие положения.
52.
Специальные требования и рекомендации по
технической защите конфиденциальной информации.
ФСТЭК России. 2001.
53.
Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: 1997. [Электронный ресурс]. – Режим доступа:
http://fstec.ru/component/attachments/download/295.
54.
Галицкий, А. В. Защита информации в сети –
анализ технологий и синтез решений [Текст] / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: ДМК Пресс, 2004. –
616 с.
55.
Зима, В. М., Безопасность глобальных сетевых технологий [Текст]: 2-е изд. / В. М. Зима, А. А. Молдовян, Н. А. Молдовян. – СПб.: БХВ-Петербург, 2014. –
368 с.
56.
C. Warrender, S. Forrest, B. PearlMutter Detecting Intrusions Using System Calls: Alternative Data Models,
IEEE Symposium on Security and Privacy, 1999.
628
57.
Котов, В. Е. Сети Петри [Текст] / В. Е. Котов.
– М.: Наука, Главная редакция физико-математической литературы, 1984. – 160 с.
58.
Требования к системам обнаружения вторжений. Утверждены Приказом ФСТЭК России от 6 декабря 2011 года N 638. [Электронный ресурс]. – Режим доступа: http://fstec.ru/component/attachments/download/305.
59.
ГОСТ 51241-2008. Средства и системы контроля и управления доступом. Классификация. общие технические требования. Методы испытаний. – М.: Госстандарт России, 2008.
60.
Требования о защите информации, содержащейся в информационных системах общего пользования.
Утверждены приказом ФСБ России и ФСТЭК России от 31
августа 2010 г. № 416/ 489). [Электронный ресурс]. – Режим
доступа:
http://fstec.ru/component/
attachments/download/283.
61.
Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством
Российской Федерации иной информации ограниченного
доступа (требования к средствам антивирусной защиты).
Утверждены приказом ФСТЭК России от 20 марта 2012 г.
№ 28. [Электронный ресурс]. – Режим доступа:
http://fstec.ru/component/
attachments/download/402.
62.
Андреев, А. Электронный паспорт: основные
константы [Текст] / А. Андреев // Электроника: НТБ. –
№ 8. – 2006. – С. 82-89. [Электронный ресурс]. – Режим
доступа: http://electronics.ru/main.html.
63.
Фунтиков, В. А. Национальные стандарты
России: конфиденциальность персональных биометриче629
ских данных [Текст] / В. А. Фунтиков, И. Г. Назаров, А. А.
Бурушкин // Стандарты и качество. – № 7. – 2010. – С. 2833.
64.
Нейросетевая защиты персональных биометрических данных [Текст]: Монография / В. И. Волчихин,
А. И. Иванов, И. Г. Назаров, В. А. Фунтиков, Ю. К. Язов;
под ред. Ю. К. Язова. – М.: Радиотехника, 2012. – 160 с.
65.
ГОСТ 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.– М.: Стандартинформ, 2007. – 24 с.
66.
Dodis Y., Ostrovsky R., Reyzin L., Smith A.,
“Fuzzy extractors: How to generate strong keys from biometrics and other noisy data”, SIAM J. Computing, 38:1 (2008),
р. 97–139.
67.
Справочник по нейросетям [Электронный
ресурс]. – Режим доступа: http://www.forekc.ru/940/.
68.
ГОСТ 52633.1-2009. Защита информации.
Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной
биометрической аутентификации.– М.: Стандартинформ,
2010. – 20 с.
69.
Кораблев С. Сравнение DLP-систем. Состояние на осень 2013 года [Текст] / С. Кораблев // Windows IT/
Pro. – № 1. – 2014.
70.
P. Moulin, J. O’Sullivan, Information-theoretic
analysis of information hiding, IEEE Int. Symposium on Information Theory, Sorrento, Italy, June 2000.
71.
Компьютерная стеганография [Текст] / В. Г.
Грибунин, И. Н. Оков, И. В. Туринцев, В. Ю. Головачев,
А. В. Коняев. – М: Солон-Р, 2002. – 240c.
630
72.
M. Kutter, F. Jordan, F. Bossen, Digital signature of color images using amplitude modulation, Proc. of the
SPIE Storage and Retrieval for Image and Video Databases V,
1997 , vol. 3022.
73.
Provos N. Defending against statistical steganalysis, 10th USENIX Security Symposium, Washington, DC,
2001.
631
ОГЛАВЛЕНИЕ
СОКРАЩЕНИЯ И ОСНОВНЫЕ ТЕРМИНЫ,
ИСПОЛЬЗУЕМЫЕ В ТЕКСТЕ
3
ВВЕДЕНИЕ
6
1. ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ
СИСТЕМЫ КАК ОБЪЕКТЫ ЗАЩИТЫ ОТ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
10
1.1. Состав и классификация информационнотелекоммуникационных систем
10
1.2. Базовые сетевые технологии
и их характеристика
30
1.3. Адресация и маршрутизация в информационнотелекоммуникационных системах
76
1.4. Стандартная модель взаимодействия открытых
систем и протоколы межсетевого взаимодействия 91
2. ОБОБЩЕННАЯ ТЕХНОЛОГИЧЕСКАЯ СХЕМА
ПРОЕКТИРОВАНИЯ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ
В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
2.1. Основные направления защиты информации
в информационно-телекоммуникационных
системах
2.2. Понятие защищенной информационнотелекоммуникационной системы
2.3. Общие подходы к проектированию
информационно-телекоммуникационных
систем в защищенном исполнении
632
146
146
151
154
2.4. Основные стадии и технологическая схема
проектирования информационнотелекоммуникационной системы
в защищенном исполнении
158
2.5. Некоторые особенности проектирования систем
защиты информации в соответствии
с международными стандартами
175
3. АНАЛИЗ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМАХ ПРИ ПРОЕКТИРОВАНИИ СИСТЕМ
ЗАЩИТЫ ИНФОРМАЦИИ
185
3.1. Понятие угрозы безопасности информации
185
3.2. Источники угроз безопасности информации
192
3.3. Уязвимости информационнотелекоммуникационной системы, используемые
для реализации угроз безопасности информации
202
3.4. Классификация угроз безопасности
информации
215
3.5. Краткая характеристика типовых сетевых атак в
информационно-телекоммуникационных системах 225
3.6. Угрозы применения вредоносных программ
250
3.7. Угрозы утечки информации
по нетрадиционным информационным каналам
269
3.8. Методология анализа угроз безопасности
информации в информационно-телекоммуникационных
системах
284
4. ОБОСНОВАНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ
ИНФОРМАЦИИ В ПРОЕКТИРУЕМЫХ
ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМАХ
336
4.1. Система требований по защите информации
336
633
4.2. Требования по защите информации
в соответствии действующими руководящими
документами ФСТЭК России
348
4.3. Особенности задания требований
к государственным информационнотелекоммуникационным системам
376
4.4. Особенности задания требований
к информационным системам персональных данных 388
4.5. Требования международных стандартов
ИСО/МЭК и особенности их реализации
в информационно-телекоммуникационных системах398
4.6. Специальные требования и рекомендации
по защите информации
415
5. МЕРЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМАХ
422
5.1. Общая характеристика и классификация мер
и средств защиты информации в информационнотелекоммуникационных системах
422
5.2. Межсетевые экраны, требования к ним
и способы применения
447
5.3. Системы обнаружения вторжений,
требования к ним и способы применения
462
5.4. Средства антивирусной защиты, требования
к ним и способы применения
499
5.5. Перспективные технологии биометрической
аутентификации
518
5.6. DLP-системы, их возможности и перспективы
применения
533
5.7. Частные виртуальные сети и их применение
556
5.8. Ложные информационные системы
и перспективы их применения
575
634
6. СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
И ПЕРСПЕКТИВЫ ИХ РАЗВИТИЯ
594
6.1. Стратегии защиты информации
при построении систем защиты
594
6.2. Технология терминального доступа
и ее применение в интересах защиты информации 614
6.3. Многоагентные системы защиты и перспективы
их применения
621
ЗАКЛЮЧЕНИЕ
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
635
628
630
Учебное издание
Язов Юрий Константинович
ПРОЕКТИРОВАНИЕ ЗАЩИЩЕННЫХ
ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМ
В авторской редакции
Подписано к изданию 06.11.2014
Объем данных 6,97 Мб
ФГБОУ ВПО «Воронежский государственный
технический университет»
394026 Воронеж, Московский просп., 14
